Professional Documents
Culture Documents
Gestion Des Configurations
Gestion Des Configurations
M O N D E S
G E S T I
LA R A T I O N S
CON e F I G U
n t re p ri s
en e
Découverte du SCM :
le guide
AUTEURS
Steve Marriner
Chris Orr
Tim Erlin
CHAPITRE 1 • PAGE 3
PRÉPARATIFS
Gestion des configurations : les fondamentaux
CHAPITRE 2 • PAGE 11
AVIS DE TEMPÊTE
Quelles menaces pour l’entreprise ?
CHAPITRE 3 • PAGE 17
©2020 Tripwire, Inc. Tripwire est une marque déposée de Tripwire, Inc.
Tous les autres noms de produits et d’entreprises cités appartiennent à leurs détenteurs respectifs.
Tous droits réservés. v08a
INTRODUCTION
La gestion des configurations de sécurité (SCM, Security
configuration management) n’est certes pas l’outil de protection
dernier cri contre les cyberattaques, mais elle est clairement l’un
des mécanismes de lutte les plus essentiels. En effet, à l’heure où les
cybercriminels ne cessent de se réinventer, les contrôles de sécurité
fondamentaux restent votre meilleur atout pour prévenir, détecter
et neutraliser les compromissions potentielles, tout en assurant la
conformité de votre entreprise.
2
• CHA
PITRE 1
• PRÉPARATIFS
Gestion des
configurations :
les fondamentaux
3
SCM ET SÉCURITÉ
Les erreurs de configuration créent des points d’entrée exploitables par les hackers.
C'est pourquoi une bonne configuration des systèmes joue un rôle critique dans la
protection de vos données.
Avant de pouvoir identifier les erreurs de
configuration, il convient d’établir une base
de référence, c'est-à-dire un état de sécurité
considéré comme fiable. Les contrôles En définissant la configuration
continus effectués par la suite vous de référence à un état de sécurité
indiqueront alors les écarts potentiels.
connu de vos systèmes, puis en
L’entreprise doit définir des configu surveillant continuellement la
rations sécurisées de référence pour
chaque type d’équipement géré. Une fois
présence d'éventuels indicateurs de
la certitude acquise que vos systèmes compromission, vous pouvez identifier
sont configurés de façon adéquate, rapidement des violations autrement
le SCM consiste à assurer la surveillance indétectables. Cette détection précoce
permanente de ces configurations. Il s’agit des incidents vous permet d’atténuer
ici de détecter les dérives de configuration
potentiellement dangereuses par rapport à
les dommages d’une attaque.
l’état de sécurité et de conformité de référence.
SCM ET CONFORMITÉ
La sécurité des configurations est un élément absolument essentiel pour l’entreprise,
au point que la quasi-totalité des normes et réglementations sectorielles l’intègrent
à des degrés divers. Les outils SCM apportent en effet plusieurs avantages. Ils vous
aident notamment à réduire la durée de préparation d’un audit, tout en accélérant son
exécution.
Le SCM contribue également au maintien de la conformité du système post-audit :
connaître votre niveau de conformité au moment de l'audit est une bonne chose, mais
l’objectif reste de pouvoir déterminer votre degré exact de conformité à tout moment.
Lorsque de nouvelles
100 % ressources sont déployées,
la confiance dans leur
sécurité et leur conformité
CONFIANCE
100 %
FIANCE
4
DURÉE
CONFIANCE
au fur et à mesure qu’ils
apparaissent. Il vous est
ainsi possible de déterminer
immédiatement les modi
fications déviant de l'état
de conformité de référence,
puis d'engager les actions
correctives nécessaires. Vous 0%
pouvez donc maintenir le DURÉE
degré de confiance originel
au fil du temps.
Sans solution SCM, la préparation d’un audit peut s’avérer à la fois chronophage et
coûteuse. De même, une fois cet exercice terminé, toutes les opérations mises en
TÉ
A LI
D IS
suspens avant l'audit peuvent refaire surface et altérer l’état de sécurité de référence.
I
ENT
P ON
On rentre ainsi dans un cercle vicieux, avec une conformité qui n’est assurée qu’au
F ID
rythme des audits. De fait, plus l’écart de conformité s'étend dans la durée, plus le
IBIL
CON
INTÉGRITÉ
Le SCM vous permet d’appliquer différents frameworks de renforcement de la sécurité
comme CIS, NIST et ISO 27001, ainsi que des normes de conformité soumises à audit,
comme le standard PCI DSS (Payment Card Industry Data Security Standard), la loi
Sarbanes-Oxley (SOX) ou le Health Insurance Portability and Accountability Act (HIPAA).
Sécurité des configurations
serveur et réseau
SUCCÈS SUCCÈS
DURÉE
5
CORRIGEZ RAPIDE- Compromission
MENT VOS ERREURS
DE CONFIGURATION Exfiltration
Il ne faut parfois que quelques
minutes à un hacker pour
compromettre un système.
Or, les entreprises mettent Détection
souvent des jours, des mois,
voire des années à s’apercevoir
d’une intrusion et à engager les Neutralisation
mesures correctives adaptées.
Le Rapport d’enquête sur les
compromissions de données2
(DBIR) annuel de Verizon
montre bien que cette tendance
DURÉE
affecte depuis longtemps les
entreprises du monde entier.
Les solutions SCM permettent de raccourcir le délai entre, d’une part, la compromission
du système et l’exfiltration de données sensibles et, d’autre part, la découverte et la
réponse à l'incident. Côté prévention, le SCM vous informe de tout écart de configuration
pour vous permettre d'enclencher rapidement les mesures proactives adéquates.
Nous ne sommes d'ailleurs pas les seuls à le dire. Des organismes de cybersécurité
indépendants comme le CIS (Center for Internet Security) conseillent aux entreprises
d’intégrer une solution SCM au cœur de leurs processus de sécurité.
6
LES PRINCIPAUX CONTRÔLES DU CIS
Les vingt contrôles préconisés par le CIS sont classés par ordre de priorité. Nous
vous conseillons de commencer par les six premiers afin de développer les bases du
programme de cybersécurité de votre organisation. Vous pourrez ensuite vous atteler un
à un aux contrôles restants de façon à renforcer progressivement votre sécurité. Le SCM
figure à la cinquième place des contrôles du CIS : c'est dire son caractère essentiel.
ASTUCE TRIPWIRE : une solution SCM efficace passe d'abord par une compréhension
de base de votre environnement. Pour ce faire, il convient d’appliquer les quatre
premiers contrôles du CIS : dressez l’inventaire de vos ressources matérielles et
logicielles, déployez votre processus de gestion des vulnérabilités et contrôlez les
privilèges d’administrateur. C'est somme toute une question de logique : comment bien
gérer vos configurations sans connaître précisément ce que vous devez protéger ?
7
TÉ
A LI
D IS
I
ENT
P ON
F ID
IBIL
CON
ITÉ
INTÉGRITÉ
8
QU’EST-CE QUE LE FIM ?
Le FIM est le processus de sécurité qui surveille et détecte les changements au
sein de votre environnement. Il vous informe des menaces de cybersécurité et
vous aide à y remédier. Les données FIM sont un élément clé de l'efficacité de
votre SCM : les deux fonctionnent en synergie.
Alors que les systèmes SCM évaluent la cohérence de la configuration actuelle par
rapport à une politique prédéfinie ou un état attendu, les solutions FIM détectent
les changements apportés aux
fichiers et aux attributs système
par rapport à leur état de référence
précédent. Cela inclut par exemple
les modifications liées aux serveurs,
aux équipements réseau, aux bases
de données, aux images virtuelles ou
aux comptes de services cloud.
Aussi, deux autres processus de
sécurité interviennent fréquemment
dans le prolongement du SCM : la
gestion des vulnérabilités (VM) et la
gestion des journaux (LM).
9
Gestion des journaux et SCM
La gestion des journaux (ou logs) consiste à recueillir les données journalisées des
équipements et des applications de votre infrastructure. La centralisation et l’agrégation
de ces journaux vous permettent de reconstituer une chaîne d’événements sans lien
apparent. Les données SCM permettent de contextualiser ces événements, vous
permettant ainsi de vous concentrer sur les priorités.
LM SCM
Sécurité
complète
FIM VM
Les quatre processus que nous venons d'aborder font partie des nombreuses mesures
de cybersécurité à appliquer en complément d'une solution SCM.
10
PITRE 2
CHA
• •
AVIS DE
TEMPÊTE
Quelles menaces
pour l’entreprise ?
3,32 M€
3,32 millions d’euros par incident.4
C'est là que les systèmes SCM prennent toute leur importance
car ils surveillent directement l’état des ressources. Les écarts
observés par rapport aux valeurs attendues sont alors signalés, PAR COMPRO-
que leur origine soit interne ou externe, accidentelle ou mal
veillante. Cependant, pour être véritablement efficaces, ces
MISSION
contrôles doivent être déployés à l’échelle de toute la structure. DE DONNÉES
11
En effet, votre périmètre ne se limite plus aux data centers traditionnels sur site.
Aujourd’hui, les équipes de sécurité doivent surveiller et gérer simultanément l’ensemble
des ressources informatiques : ordinateurs portables des télétravailleurs, systèmes
distribués, serveurs physiques, équipements réseau, ressources cloud ou encore
applications SaaS.
À première vue, la quantité de travail associée aux systèmes SCM et aux autres contrôles
de base du CIS a de quoi intimider, mais cela ne doit pas être un frein : il vous suffit de
vous lancer et de procéder par priorité. En matière de gestion des risques, le mieux
est de se concentrer d'abord sur les menaces les plus sérieuses, puis d’optimiser
progressivement par la suite.
3,32 M€
PAR COMPRO-
MISSION
DE DONNÉES
12
SYSTÈMES SCM DE BASE
La configuration de vos équipements réseau, bases de données, serveurs d’annuaire,
terminaux POS, postes de travail, ordinateurs portables, tablettes, systèmes
d’exploitation et applications n’est pas sécurisée par défaut. En réalité, les paramètres
d’usine d'appareils neufs sont souvent pensés dans une optique de simplicité
d’installation, et non de sécurité.
Par ailleurs, en modifiant ces réglages, vous courez le risque de créer des « écarts de
configuration » (aussi appelées « dérives de configuration ») qui rendent vos systèmes
vulnérables. Ce phénomène peut prendre plusieurs formes, comme l’escalade
des privilèges, l'ouverture des ports de communication, ou bien le libre accès aux
compartiments AWS (Amazon Web Services) S3.
Pour compliquer encore l'équation, rappelons que ces ressources sont réparties dans
plusieurs environnements : bureaux, domiciles des salariés, campus, data centers
distribués, voire même différents fournisseurs cloud. Autant d’éléments sujets à
d'éventuels écarts de configuration, tant individuellement que collectivement. Une
simple modification de configuration d’un routeur peut en effet déconnecter des réseaux
entiers et empêcher vos collaborateurs de faire leur travail ou, à l'autre extrême, rendre
votre système librement accessible depuis Internet.
Le premier rôle de vos équipes de sécurité est de surveiller les paramètres de configu
ration des équipements et des applications afin de les maintenir à leur état de référence.
Il s'agit là d'un processus continu et non d'une action ponctuelle. Les audits et contrôles
de configuration réguliers ne permettent de mesurer la sécurité qu'à un instant t.
Mais une fois l'audit ou le contrôle terminé, le risque va croissant. À chaque seconde,
l’état de configuration connu et fiable s’étiole, créant peu à peu le terreau d’une possible
compromission.
13
SCM DANS LE CLOUD
Aujourd'hui, les entreprises n'opèrent quasiment jamais sur un modèle 100 % sur site
Appareils sous surveillance SCM
(on-prem) ou 100 % cloud. La norme s'établit sur un mélange des deux mondes, ce qui
leur permet de répondre à leurs divers objectifs métiers, informatiques et sécuritaires.
En panachant ainsi des ressources on-prem et cloud, on obtient ce que l’on appelle un
environnement hybride.
L'hybridité offre des avantages indéniables, notamment en matière d’évolutivité,
d’économie et de personnalisation granulaire de l’infrastructure. Mais, parallèlement,
elle élargit aussi votre surface d’attaque. Par ailleurs, les environnements hybrides
sont fréquemment
Systèmes constitués
de fichiers Base de plusieurs
de données Serveursfournisseurs
d’annuaire cloud. Les entreprisesÉquipements
Infrastructures
virtuelles réseau
cherchent ainsi à exploiter les avantages respectifs de chaque service tout en évitant
l’enfermement propriétaire.
La sécurité multicloud requiert par conséquent des outils SCM automatisés, capables de
surveiller les configurations
Signalement cloud de la même manière qu'elle le fait pour les systèmes
physiques sur site. Rapprochement
Les configurations de compartiments Remédiation
AWS S3 sont en effet l’un des
et notification
vecteurs d’attaque les plus courants et nécessitent donc une attention constante. Le
rapport DBIR de Verizon montre que les erreurs de configuration de stockage cloud sont
l’une des principales causes de compromission.1
CLIENT
RESPONSABLE DE LA SÉCURITÉ
« DANS » LE CLOUD
Données client
Gestion de la plateforme, des applications, des identités et des accès (IAM)
Configuration du système d’exploitation, du réseau et des pare-feu
Données côté client Chiffrement côté serveur Protection du trafic
Chiffrement et intégrité des données (système de fichiers réseau (chiffrement,
Authentification et/ou données) intégrité, identité)
LOGICIELS
Calcul Stockage Base de données Réseau
AWS
RESPONSABLE DE LA SÉCURITÉ
« DU » CLOUD
14
Contrairement à ce que l’on pourrait croire, les données et configurations systèmes ne
sont pas automatiquement sécurisées par les fournisseurs cloud. La sécurité fait ici
l’objet d’une responsabilité partagée. Il est donc important de tracer une ligne claire
entre vos obligations et celles de vos fournisseurs, comme AWS, Google Cloud Platform
ou Azure. Vous êtes en effet tenu de protéger vos données et vos applications, tout en
étant responsable de la gestion des configurations de vos comptes cloud.
Enfin, le DevOps est un autre domaine méritant l’attention particulière des responsables
de la cybersécurité. En effet, en privilégiant la rapidité et l’efficacité du pipeline CI/CD,
les équipes DevOps relèguent parfois les questions de sécurité au second plan. Avant
l'apparition des containers, les cycles de développement logiciel étaient beaucoup plus
longs. Aujourd'hui, les nouvelles builds apparaissent au fil des besoins économiques, et
les applications déployées sont bien souvent containerisées. Désormais, les applications
et les services ne sont plus perçus comme des unités discrètes. Les erreurs de configu
ration de containers et d'images doivent donc être contrôlées individuellement et con
tinuellement afin de ramener le DevOps dans le champ du SCM.
15
! Vecteurs d'attaques bloqués par les solutions
SCM industrielles
SCM ET TÉLÉTRAVAIL
Le recours massif au télétravail et aux outils associés présente de nouveaux risques
en matière de gestion des configurations. Ce phénomène altère de façon drastique le
périmètre du réseau, élargissant de facto la surface d’attaque.
En premier lieu, on pense évidemment aux ordinateurs portables utilisés à domicile,
mais ces derniers ne sont qu'une partie du problème. En effet, la mise en place du
télétravail ne se résume pas à la distribution d’ordinateurs et à l'octroi de permissions.
Plusieurs infrastructures sont ainsi requises pour fournir des services comme l’accès à
distance, l’authentification et l’assistance technique.
Dans un environnement majoritairement en distanciel, l'efficacité du SCM passe d'abord
par un inventaire complet des systèmes sous-tendant ce mode d’organisation. Ce n'est
qu'au terme de cet exercice que vous pourrez appliquer vos processus SCM à l’ensemble
des composants concernés. Vous garantirez ainsi une authentification sécurisée de
vos utilisateurs et une configuration adaptée des accès à distance, tout en veillant à la
sécurité et la conformité des terminaux distants.
16
PITRE 3
CHA •
HISSER
•
LES VOILES
Le SCM en pratique
Signalement
Rapprochement Remédiation
et notification
17
LES QUATRE POINTS CARDINAUX D’UNE SOLUTION RENFORCÉE
La détection d’appareils, l’établissement de bases de référence, la gestion des
changements et la remédiation représentent les quatre points cardinaux de l’approche
SCM. Les outils SCM dignes de ce nom automatisent ces tâches tout en offrant une
visibilité approfondie du système. Toute erreur de configuration doit ainsi être signalée
immédiatement et accompagnée de recommandations pour les actions correctives à
engager.
3 Gestion des changements : dès que votre base de référence est définie,
votre outil SCM doit commencer à identifier et signaler les changements. Une
fois les appareils détectés et catégorisés, vous devrez déterminer la fréquence
d’évaluation SCM. Il s'agit en substance de préciser la périodicité d’exécution de vos
contrôles de politiques. Les contrôles temps réel ne sont pas requis pour tous les cas
d'usage (nous y reviendrons ultérieurement).
la mise en œuvre de
MÉDIATION •
18
PROCESSUS SCM ESSENTIELS
Le processus en quatre étapes (détection, définition des bases de référence, gestion
des changements et remédiation) constitue le socle de votre programme SCM. Nous
allons maintenant décrire les aspects pratiques et fondamentaux des bibliothèques de
politiques, de l’évaluation SCM, des tableaux de bord et des comptes-rendus SCM.
Politiques personnalisées
Une solution SCM efficace vous permettra d’importer de nombreuses autres politiques
et de créer vos propres politiques personnalisées. Chaque politique doit comporter ces
quatre caractéristiques :
» Des tests permettant de contrôler l’état d’un paramètre de configuration
spécifique à un instant t
» Des scores de conformité générale d’un système ou d’un équipement
» Des coefficients indiquant l’importance relative d’un test
» Des seuils visant à mettre en relief les échecs d'audit à traiter en priorité
19
ASTUCE TRIPWIRE : certains outils SCM octroient les dérogations de façon dyna-
mique, en fonction des groupes et des étiquettes, plutôt que par le simple biais
d’associations rigides entre des ressources et des tests spécifiques. Les éléments
éphémères et dynamiques peuvent donc bénéficier d’exceptions aux contrôles
de politiques, dans la mesure où ils démarrent et s'arrêtent selon les détails les
reliant à une étiquette ou à un groupe de ressources donné. Les dérogations sont
ainsi permises dans les environnements cloud dynamiques.
MONITORING
Définir les politiques et processus dans les règles de l'art est un bon début, mais encore
faut-il disposer des moyens de surveiller les ressources auxquelles ces politiques et
processus s'appliquent. Ce faisant, vous garantirez leur conformité tout en veillant à ce
que les collaborateurs désignés soient alertés du moindre écart.
20
WORKFLOWS DE REMÉDIATION LM SCM
Une fois que vous connaissez les ressources non conformesSécurité
aux politiques et
complète
réglementations, vous devez pouvoir corriger rapidement le tir. Outre la description
FIM VM
du problème rencontré, une solution SCM complète vous fournira toutes les
recommandations nécessaires pour le résoudre efficacement.
Un programme SCM peut en outre être associé à un processus de gestion des 3,32 M€
changements ou, mieux encore, une solution ad hoc automatisée. Cette approche PAR COMPRO-
MISSION
favorisera le processus de remédiation, permettant ainsi aux business units de DE DONNÉES
préserver la disponibilité de leurs systèmes.
21
• CH A
PITRE 4
• CAP SUR UNE
CONFORMITÉ
PERMANENTE
Le SCM au service
du maintien de la
conformité
22
FRAMEWORKS DE Les contrôles du CIS
BONNES PRATIQUES
Il est important de faire la
distinction entre les frameworks Contrôles de base
de bonnes pratiques et les normes 1. Inventaire et contrôle des
réglementaires. Les premiers, ressources matérielles
fournis par des organismes comme
2. Inventaire et contrôle des
le CIS et le NIST, sont des ressources ressources logicielles
auxquelles vous pouvez adhérer
afin de maintenir un programme de 3. Gestion continue des vulnérabilités
cybersécurité efficace et d’actualité. 4. Utilisation contrôlée des droits
d’administrateur
Ces frameworks recommandent
des pratiques de sécurité de base, 5. Configuration sécurisée des
matériels et logiciels des terminaux
dont le SCM fait partie. Toutefois, mobiles, des ordinateurs portables,
ces pratiques ne sont soumises des postes de travail fixes et des
à aucun audit. De leur côté, les serveurs
normes réglementaires conseillent 6. Maintenance, surveillance et
également l’adoption du SCM. Voilà analyse des journaux d’audit
donc deux bonnes raisons de mettre
en place un système de gestion de vos
configurations
Contrôles essentiels
7. Protection des e-mails et de la
Il existe plusieurs frameworks navigation Internet
destinés à renforcer l'efficacité de
votre programme de cybersécurité, 8. Protection anti-malware
les plus répandus étant les contrôles 9. Restriction et contrôle des ports,
du CIS ou les standards NIST et protocoles et services réseau
MITRE ATT&CK, tous de très bonnes 10. Fonctions de récupération des
références pour mettre en place un données
système SCM bien huilé. 11. Configuration sécurisée d’équipe-
ments réseau comme les pare-feu,
les routeurs et les commutateurs
LES CONTRÔLES DU CIS 12. Défense périmétrique
Comme nous l’avons vu au chapitre 1, 13. Protection des données
les contrôles du CIS (Center for
14. Contrôle des accès basé sur le
Internet Security) sont la référence
principe du « besoin d’en savoir »
absolue en matière de cybersécurité
des entreprises. Les vingt contrôles 15. Contrôle des accès sans fil
sont classés selon leur importance. 16. Surveillance et contrôle des
D'où l'importance de les appliquer comptes
en respectant l’ordre indiqué. Les
programmes SCM figurent à la Contrôles organisationnels
cinquième place : « configuration
sécurisée des matériels et logiciels 17. Implémentation d’un programme
de formation et de sensibilisation
des terminaux mobiles, des aux enjeux de sécurité
ordinateurs portables, des postes de
travail fixes et des serveurs. » 18. Sécurité des applications
19. Gestion et réponse à incident
20. Tests d’intrusion et simulations
Red Team
23
NIST
Le NIST constitue le cadre directeur des systèmes informatiques fédéraux aux États-
Unis, en lien direct avec le Federal Information Security Modernization Act (FISMA). La
publication spéciale (SP) 800-53, intitulée « Security and Privacy Controls for Federal
Information Systems and Organizations », s’adresse également aux entreprises du
privé : elle aide les responsables de la sécurité, tous secteurs confondus, à renforcer
l’efficacité de leur SCM.
Le contrôle 800-53 du NIST recommande le recours à l’automatisation dans la gestion
des configurations : « Les outils d'automatisation peuvent être utilisés à l’échelle de
l’entreprise, de la mission, du processus métier ou bien du système, sur les postes de
travail, les serveurs, les ordinateurs portables, les composants réseau ou encore les
terminaux mobiles. Les actions de réponse automatisée permettent par exemple de
suspendre les fonctions et les processus systèmes, ou d’envoyer des alertes ou des
notifications aux équipes de sécurité dès qu'une modification de configuration non
autorisée est détectée. »6
24
« Le NIST est probablement le framework le plus réfléchi, exhaustif, recherché
et reconnu. Sa fiabilité et sa flexibilité lui permettent à la fois de renforcer les
mesures existantes des grandes entreprises et de donner aux PME une feuille
de route claire pour améliorer leur cybersécurité. »
MITRE
MITRE est une organisation à but non lucratif qui dirige des centres de recherche et de
développement financés par le gouvernement américain. Son framework ATT&CK est un
modèle de cybersécurité détaillant les modes opératoires des attaquants et les mesures
à appliquer pour atténuer le risque et renforcer la sécurité.
Là où le CIS offre aux entreprises une liste d’actions prioritaires, le framework MITRE
ATT&CK aborde la cybersécurité du point de vue des attaquants.
Il répertorie en effet les tactiques et techniques employées par les criminels et les
présente sous la forme d’une matrice détaillée. Il apparaît ainsi que le SCM permet de
bloquer l’escalade des privilèges, l’accès aux identifiants et le déplacement latéral, dans
la mesure où ces méthodes d’attaque ont un lien direct avec les configurations et seront
donc signalées par votre outil SCM.
— MITRE
25
NORMES DE CONFORMITÉ RÉGLEMENTAIRES
Après ce tour d'horizon des principaux frameworks de bonnes pratiques en matière
de SCM, penchons-nous sur les obligations de conformité réglementaire soumises à
l’audit. La plupart des secteurs sont soumis à un cadre réglementaire de référence,
comme HIPAA pour la santé aux États-Unis. En parallèle, certaines réglementations
ont une portée beaucoup plus vaste, à l'image du RGPD (Règlement Général sur la
Protection des Données). En règle générale, vos audits procéderont nécessairement au
contrôle de vos processus SCM.
PCI DSS
À leur arrivée dans l’espace numérique, les organismes de cartes de crédit ont
rapidement pris conscience du besoin de se protéger contre la fraude informatique.
L’utilisation frauduleuse des instruments de paiement reste en effet un enjeu majeur :
chaque nouvel incident repris dans les médias contribue à diminuer un peu plus la
confiance des clients, même envers les plus grandes entreprises.
Créé en 2006, le PCI Security Standards Council joue aujourd'hui un rôle prédominant
dans la sécurité des transactions numériques. D’un côté, l’organisme veille à la
protection des données de titulaires de cartes, tout en limitant la responsabilité des
émetteurs de cartes et des banques lorsqu'un marchand subit des pertes dues à une
compromission.
Pour vous protéger efficacement contre les vecteurs d’attaque les plus fréquents,
votre solution SCM doit couvrir les systèmes d’exploitation des serveurs, les systèmes
POS, les systèmes virtuels, les ressources cloud, les équipements réseau, les serveurs
d’annuaire et les bases de données. En cas d’écart avec les normes de conformité PCI,
votre outil SCM doit vous recommander des actions correctives des configurations
systèmes. L’article 11.5 décrit spécifiquement les avantages de capacités FIM pour vous
informer notamment des modifications à l’origine d’un écart.
HIPAA
La loi américaine HIPAA de 1996 est gérée par le département de la Santé et des
Services sociaux. Cette loi a été établie dans un souci de sécurité, de confidentialité,
d’intégrité et de disponibilité des données médicales des patients.
Les outils SCM surveillent les systèmes à la recherche de changements non autorisés,
tout en traitant les vulnérabilités par ordre de priorité pour veiller à ce qu’aucune
donnée de santé ne soit compromise. L’informatique médicale compte de nombreux
types d’environnements qui, en cas de mauvaise configuration, sont susceptibles de
fournir aux cybercriminels l’accès aux dossiers médicaux des patients. C'est aussi dans
ce secteur que la facture de compromission de données est la plus élevée : le vol d’un
dossier médical électronique coûte en moyenne 429 $ aux établissements de santé8 et
peut rapporter aux cybercriminels entre 250 et 1 000 dollars sur le Dark Web9.
Un processus SCM pertinent vous livrera des rapports et tableaux de bord qui vous
permettront de vérifier rapidement votre niveau de conformité HIPAA. Ces rapports
peuvent également être produits à tout moment pour apporter des preuves de
conformité aux auditeurs. L’article 164.312, sous-partie C, partie 164 du titre II de la
loi HIPAA décrit un ensemble d’exigences techniques auxquelles le SCM apporte des
réponses, comme le contrôle des accès10.
26
NERC
La North American Energy Reliance Commission (NERC) est un organisme de régle
mentation international créé aux États-Unis. Son objectif est de réduire les risques
associés à l’infrastructure des réseaux électriques. À cette fin, la NERC développe
continuellement de nouvelles normes, tout en menant en parallèle des actions de
sensibilisation, de formation et de certification destinées aux personnels du secteur.
Les professionnels de la cybersécurité travaillant au sein du réseau de production-
transport d’électricité (RPTE) et pour d’autres opérateurs d'importance vitale (OIV)
sont tenus de se conformer à la norme NERC CIP (Critical Infrastructure Protection).
La non-conformité NERC peut coûter jusqu’à 1 million de dollars par jour et par com
promission. On comprend donc mieux l'empressement des acteurs de l'énergie à
injecter de vastes ressources pour atteindre et maintenir cette conformité11.
La sous-norme NERC CIP 010, qui concerne la gestion des changements de
configuration et l’évaluation des vulnérabilités, est particulièrement du ressort du SCM.
Celle-ci a pour but de « prévenir et détecter les changements non autorisés apportés
aux systèmes cyber du RPTE en spécifiant des exigences de gestion des changements
de configuration et d’évaluation des vulnérabilités visant à éviter toute mauvaise
opération ou instabilité dudit RPTE. »12
SOX
En vertu de la loi américaine Sarbanes-Oxley (SOX), toutes les sociétés anonymes sont
tenues d'établir des contrôles et procédures internes de reporting financier visant à
réduire le risque de fraude. La loi SOX ne spécifie pas les types de contrôles requis,
mais elle suggère aux entreprises de suivre le framework COBIT (Control Objectives for
Information and Related Technologies) en matière de gouvernance informatique.
Voici ce qu'indique le standard COBIT DS9 (livraison et support) au sujet du SCM :
« Gérer la configuration : l’intégrité des configurations matérielles et logicielles passe
par l’établissement et le maintien d’un référentiel de configuration précis et complet.
Ce processus implique de recueillir les données de confirmation initiales, d’établir
des bases de référence, de vérifier et de contrôler les informations de configuration,
puis de modifier, le cas échéant, le référentiel de configuration. Une gestion efficace
des configurations permet d’augmenter la disponibilité des systèmes, de réduire
les problèmes de production et de résoudre les erreurs plus rapidement. »13 Votre
entreprise peut se conformer à la loi SOX par le bais d’une politique COBIT intégrée à
votre outil SCM.
Les normes et les frameworks cités dans ce chapitre ne sont pas exhaustifs : il s’agit
d’un échantillon des principales exigences pour lesquelles votre entreprise peut faire
l’objet d’un audit.
27
PITRE 5
• CHA • TOUT LE MONDE
SUR LE PONT
Achat et déploiement
de solutions SCM
» Exigences matérielles : avant d’acheter votre solution SCM, examinez de près les
exigences matérielles nécessaires à sa bonne exécution. Requiert-elle un serveur
à plus de 100 000 euros ? Sa gestion opérationnelle devra-t-elle être assurée par
équivalent temps plein (ETP) ? Le fournisseur propose-t-il une solution hébergée ?
28
Vous n’avez par exemple aucun intérêt à choisir un outil exécuté sous Linux alors que
la plupart de vos serveurs tournent sous Windows. Quid de l’évolutivité ? Bien que vos
exigences initiales ne couvrent que quelques dizaines ou centaines de serveurs, votre
solution pourra-t-elle évoluer au fil de votre croissance ?
» Principaux outils tiers : Quels outils et applications essentiels sont déjà présents dans
votre environnement ? Dressez l’inventaire des outils en question (sources de Threat
Intelligence, applications de gestion et d’exécution de correctifs, solutions SIEM et de
journalisation, systèmes de gestion des tickets, etc.) et optez pour une solution SCM
qui s’y intègre facilement.
30
DÉPLOIEMENT
Une fois la solution SCM choisie et les licences achetées, vous devrez tenir compte d'un
certain nombre de contraintes pour le déploiement. Il vous faudra ainsi évaluer vos
compétences internes et déterminer les formations nécessaires. D’un autre côté, les
services proposés par votre fournisseur peuvent faciliter la mise en œuvre de votre outil,
voire sa gestion opérationnelle à distance. Pour assurer une bonne maîtrise des coûts,
le fournisseur devra vous présenter dans tous les cas un plan de projet et un énoncé
précis des missions à remplir (SOW, Statement of Work).
Si vous comptez intégrer la solution SCM à d’autres éléments de votre environnement,
adressez-vous aux experts des applications concernées. En effet, ces exigences doivent
faire partie du plan de projet et du SOW.
Établissez la procédure d'achat et de déploiement du matériel sur lequel sera installé
votre outil SCM. Pour éviter tout surcoût inutile, vous devrez vous assurer que cet
équipement soit installé et opérationnel avant l’arrivée de l’équipe du fournisseur.
Ensuite, étudiez les ports et les services qui seront nécessaires à la mise en œuvre de
votre solution. Vous devrez pour cela vous rapprocher de l’équipe réseau afin de veiller à
remplir chacune de ces exigences.
31
L’APPROCHE SCM DE TRIPWIRE
Tripwire propose des solutions complètes de gestion des politiques, de l’intégrité des
fichiers et de la remédiation. Celles-ci forment une suite SCM complète capable de
répondre aux défis de sécurité et de conformité immédiats des entreprises, tout en
posant les bases d’une protection à la hauteur des enjeux de demain.
Tripwire propose la plus grande bibliothèque de politiques et de plateformes du
marché, avec au total plus de 2 000 politiques couvrant tout un éventail de systèmes
d’exploitation et d’équipements. Nos solutions vous offrent une visibilité incomparable
sur l’état et le niveau actuels de vos systèmes de sécurité. Enfin, les capacités
de remédiation de Tripwire automatisent les processus et vous aident à corriger
rapidement les erreurs de configuration ayant une incidence sur la sécurité et la
conformité.
TRIPWIRE®
CONFIGURATION
MANAGER
Tripwire® Enterprise est une Tripwire Configuration
suite complète qui rassemble les Manager vous permet
outils FIM et SCM les plus respectés d’élargir la surveillance de vos
du marché, fournissant ainsi un suivi configurations pour inclure dans
des changements et une détection une seule console les comptes et
des menaces en temps réel. Pour les les ressources cloud exécutées
responsables conformité, Tripwire sur Amazon Web Services (AWS),
Enterprise offre une solution proactive Microsoft Azure et d’autres
de renforcement des systèmes, fournisseurs de services cloud.
assortie d'outils automatisés de Cet outil vous permet d’appliquer
mise en application des mesures de automatiquement vos règles de
conformité, avec à la clé une réduction configuration et calcule des scores
des cycles et des coûts d'audit. Des de risques permettant aux équipe
milliers d’entreprises ont fait de de sécurité de donner la priorité
Tripwire Enterprise le noyau dur de aux problèmes les plus urgents.
leur programme de cybersécurité.
TRIPWIRE®
TRIPWIRE®
EXPERTOPS INDUSTRIAL
VISIBILITY
Tripwire ExpertOpsSM SCM Tripwire Industrial Visibility
offre un service cloud d'infogérance procure aux opérateurs ICS une
des meilleures solutions SCM du visibilité totale des équipements et
marché. En souscrivant un seul et de l’activité réseau. L'outil utilise
même contrat, vous aurez accès aux la gestion des changements, la
conseils personnalisés d’experts et à journalisation des événements
des outils de gestion pratiques pour et la modélisation des menaces
assurer la conformité et la sécurité afin d’assurer la protection de vos
de vos ressources critiques. ressources les plus sensibles.
32
POUR EN SAVOIR PLUS
TÉLÉCHARGEZ LA
FICHE TECHNIQUE DE TRIPWIRE ENTERPRISE
OU DEMANDEZ UNE DÉMO
www.tripwire.com
@tripwireinc
33
AUTEURS
Chris Orr
Chris Orr a rejoint Tripwire en septembre 2000. À son arrivée,
Chris s’occupe du développement et de la prestation de
formations sur des logiciels phare comme Tripwire for Servers et
Tripwire for Routers. Rapidement, il intègre l’équipe d'ingénieurs
commerciaux dans un rôle d’assistance technique couvrant
27 États américains et l’ensemble des administrations fédérales.
Aujourd’hui, son territoire s’étend à tout l’Ouest du Mississippi, soit
la zone géographique la plus vaste confiée à un seul collaborateur.
Résidant à Lake Stevens, dans l’État de Washington, Chris aime
voyager, jouer de la guitare avec sa fille et découvrir la nature avec
son fils.
Steve Marriner
Steve Marriner est le directeur général de Yosemite Group. En
plus de trente ans de carrière, il a su développer une expérience
approfondie des systèmes, des applications et de la cybersécurité.
Steve fournit des conseils en gestion, marketing et stratégie
produit aux grandes entreprises du secteur de la sécurité comme
Tripwire, Voltage Security et Iovation. Il est diplômé en sciences
mathématiques et informatiques de l’université du Connecticut et
est titulaire d'un MBA de l’université de Stanford.
Tim Erlin
Tim Erlin, VP gestion et stratégie produit chez Tripwire, anime
également notre podcast Talking Cybersecurity. Il était avant cela
responsable de la gamme de produits de gestion des vulnérabilités
de Tripwire. Sa formation d'ingénieur commercial lui permet
de maîtriser les réalités du marché et d'exprimer toutes ses
qualités de leader et d'expert produits. Au fil de son parcours dans
l'industrie informatique, Tim a tour à tour fait ses armes dans
la gestion de projets, le service client ainsi que l’administration
système et réseau. Il s'implique activement dans la communauté
de la sécurité informatique à travers des blogs, des podcasts, des
articles de presse, des interventions publiques et télévisées.
34
Sources
1. Johnson, Arnold, et al. « Guide for Security-Focused Configuration Management of
Information Systems. » NIST, 31 oct. 2019.
2. « 2019 Data Breach Investigations Report. » Verizon Enterprise, 2019.
3. « CIS Control 12: Boundary Defense. » CIS, www.cisecurity.org/controls/boundary-
defense/.
4. « 2019 Cost of a Data Breach Report: IBM Security. » IBM Security, 2019,
databreachcalculator.mybluemix.net/.
5. « CIS Control 5: Secure Configuration for Hardware and Software on Mobile Devices,
Laptops, Workstations and Servers. » CIS, www.cisecurity.org/controls/secure-
configuration-for-hardware-and-software-on-mobile-devices-laptops-workstations-and-
servers/.
6. « Security and Privacy Controls for Information Systems and Organizations (Final Public
Draft). » NIST CSRC, 16 mars 2020, csrc.nist.gov/publications/detail/sp/800-53/rev-5/draft.
7. Strom, Blake E., et al. « MITRE ATT&CK™: Design and Philosophy. » The MITRE
Corporation, 11 oct. 2019, www.mitre.org/publications/technical-papers/mitre-attack-
design-and-philosophy.
8. Davis, Jessica. « Data Breaches Cost Healthcare $6.5M, or $429 Per Patient Record. »
HealthITSecurity, HealthITSecurity, 23 juillet 2019, healthitsecurity.com/news/data-
breaches-cost-healthcare-6.5m-or-429-per-patient-record.
9. Columbus, Louis. « 5 Strategies Healthcare Providers Are Using To Secure
Networks. » Forbes, Forbes Magazine, 20 oct. 2019, www.forbes.com/sites/
louiscolumbus/2019/10/20/5-strategies-healthcare-providers-are-using-to-secure-
networks/#3299f9954b40.
10. « 45 CFR § 164.312 - Technical Safeguards. » Cornell Law School, Legal Information
Institute, www.law.cornell.edu/cfr/text/45/164.312.
11. « NERC Compliance Regulations & Requirements. » Compliance Guidelines, 2020,
complianceguidelines.com/nerc-compliance.htm.
12. « CIP-010-1. » NERC, 2020, www.nerc.com/pa/Stand/Pages/CIP0101RI.aspx.
13. Tripwire Inc. Sustaining SOX Compliance, www.tripwire.com/solutions/compliance-
solutions/sox-it-compliance/sustaining-sox-compliance-register.
14. Tripwire Inc. 2020 Cybersecurity Skills Gap Survey, www.tripwire.com/misc/skills-gap-
survey-2019-register/.
35
36
MAÎTRISER LA GESTION DES CONFIGURATIONS
Aujourd’hui, le périmètre de l’entreprise ne se limite plus aux data centers
traditionnels sur site. Les équipes de sécurité doivent ainsi défendre une
surface d’attaque à la fois élargie, poreuse et en perpétuelle expansion.
C'est là que les systèmes de gestion des configurations de sécurité (SCM)
prennent toute leur importance car ils surveillent directement l’état des
ressources. Les écarts observés par rapport aux valeurs attendues sont
alors signalés – que leur origine soit interne ou externe, accidentelle ou
malveillante – et les actions correctives engagées.
Ce guide vous invite à découvrir les outils SCM et leur rôle clé pour la
sécurité et la conformité. Vous pourrez ainsi vous armer des compétences
nécessaires pour affronter les défis immédiats de votre entreprise.
37