Maintenir le système d’information à jour #CyberSecMonth

par | Oct 25, 2018 | Actualités, CyberSecMonth

Bien que quelques jours nous séparent de la fin de l’édition 2018 du CyberSecMonth, il est encore temps d’apprendre et de partager de bonnes pratiques sur la sécurité du numérique. C’est d’ailleurs toute notre ambition avec cette nouvelle infographie sur le maintien du système d’information. La rédaction de ce CyberConseil nous tient à cœur puisque nous avons développé une solution qui répond parfaitement aux enjeux de la maintenance d’un parc informatique. On vous en dit plus juste en dessous !

Cybersécurité : Visualiser, comprendre, décider

Cette semaine le Cigref, réseau de grandes entreprises et administrations publiques françaises axé sur le numérique, a publié un rapport sur la Cybersécurité. Ce rapport a pour objectif d’aider les organisations dans la prise en compte des enjeux de la cybersécurité. Ainsi le groupe de travail du Cigref a identifié et structuré les informations stratégiques et les indicateurs indispensables de manière à fournir un tableau de bord sur la cybersécurité. Ce document, essentiellement à destination des DSI, comporte plusieurs rubriques (système d’information, vulnérabilité de l’entreprise, etc) et se base sur des données de l’actualité, d’analyses de risques, d’éléments de coûts et d’indicateurs quantitatifs agrégés.

Un système d’information à jour pour un parc sécurisé

À l’époque où la transformation numérique ne cesse de gagner en importance, les systèmes d’information ainsi que les logiciels sont en perpétuelle évolution. Ces solutions sont souvent soumises à des mises à jour, que ce soit pour déployer de nouvelles fonctionnalités ou apporter des correctifs. Du fait de cette « instabilité », il n’est donc pas étonnant que des failles de sécurité soient régulièrement découvertes.

Du point de vue des cyber-attaquants, ces brèches de sécurité sont de très bonnes opportunités pour s’introduire dans le système d’information et atteindre des données sensibles ou contaminer le réseau. Bien qu’il est impossible d’empêcher les logiciels d’évoluer, il existe tout de même des solutions pour limiter les risques que représentent la mise à jour fréquente des solutions utilisées au sein d’une organisation.

Comment limiter les risques ?

Mettre à jour les composants du système d’information :

Le seul moyen de prévenir ce risque est de s’informer de la découverte de nouvelles vulnérabilités pour agir rapidement. Le CERT-FR est le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques et assure le rôle de CERT (Computer Emergency Response Team) gouvernemental français en réalisant de la veille technologique et en communiquant sur l’état de l’art des systèmes et logiciels. Cet organisme permet donc de rester informé des différentes failles de sécurité découvertes. Par la suite, il est important d’appliquer les correctifs de sécurité sur l’ensemble des composants du système d’information sous un délai maximum d’un mois après la publication de l’éditeur. Il est également conseillé de définir et de mettre en place une politique de mise à jour précisant :

  • La manière dont l’inventaire des composants du système d’information est réalisé.
  • Les sources d’information relatives à la publication des mises à jour.
  • Les outils pour déployer les correctifs sur le parc.
  • L’éventuelle qualification des correctifs et leur déploiement progressif sur le parc.

Les composants obsolètes n’étant plus supportés par les fabricants doivent être isolés du reste du système. Cette mesure concerne également le réseau (filtrage strict des flux) mais aussi les secrets d’authentification (dédiés à ces systèmes).

Surveiller l’obsolescence des logiciels utilisés  :

Utiliser un système ou un logiciel obsolète représente un risque supplémentaire de subir une cyberattaque. Dès lors que des correctifs ne sont plus apportés à un système, ce dernier devient vulnérable. Beaucoup d’outils malveillants disponibles sur le web exploitent ce manque de correction de sécurité de la part de l’éditeur. Il existe tout de même des précautions pour éviter l’obsolescence de ces systèmes :

  • Créer et maintenir un inventaire des systèmes et applications du système d’information.
  • Privilégier des solutions dont la fonction de support est garantie au minima pour la durée d’utilisation.
  • Assurer un suivi des mises à jour et des dates de fin de support des logiciels.
  • Conserver l’homogénéité du parc informatique, le cumul de plusieurs versions d’un logiciel peut entrainer des problèmes et compliquer le suivi du parc.
  • Limiter les dépendances de fonctionnement d’un logiciel à un autre (adhérences logicielles), en effet la durée de support de ces solutions n’est pas équivalente.
  • Inclure dans les contrats avec les prestataires et fournisseurs des clauses de suivi des correctifs de sécurité et de gestion des obsolescences.
  • Identifier les délais et ressources nécessaires à la migration de chaque logiciel en phase de déclin (test de non régression, procédure de sauvegarde et de migration de données, etc).

Faciliter la mise en place de ces bonnes pratiques

S’assurer de la conformité des logiciels :

SUMo (pour Software Update Monitor) est un outil qui est simple d’utilisation et est pourtant très utile puisqu’il permet de détecter automatiquement, via une analyse du disque dur, les nouvelles versions des logiciels installés sur l’ordinateur en question. Le petit plus de cette solution vraiment pratique c’est qu’elle est gratuite et disponible en français. Lors d’une analyse, si SUMo découvre une nouvelle version d’un logiciel, la console affiche la version actuellement installée sur le poste et la nouvelle version du logiciel ainsi qu’un lien pour la télécharger. Il existe également une version payante permettant de télécharger les mises à jour directement sur les sites des développeurs.

WAPT pour une gestion de parc simplifiée :

WAPT, notre solution open source de déploiement de logiciel pour Windows, a été conçu pour simplifier la gestion des parcs informatiques en centralisant les actions d’administration dans une seule console. WAPT permet de créer, de tester, d’installer, de mettre à jour et de désinstaller rapidement des paquets logiciels ou des configurations sur l’ensemble d’un parc. Les informations remontent directement dans la console et il est donc possible de connaître l’avancement des actions menées sur le parc en temps réel. Il est également possible de programmer à distance le déploiement de logiciels pour ne pas déranger les utilisateurs. La simplicité du logiciel vous permet de gagner en réactivité et de corriger rapidement les failles de sécurité en maintenant votre parc à jour en quelques clics.

Concernant le déploiement des paquets logiciels, vous disposez de trois options. Premièrement, il est possible de télécharger les paquets sécurisés depuis notre store (disposant de plus de 1000 paquets disponibles). Sinon, il vous est possible de créer vos propres paquets via la console WAPT, nous utilisons le package wizard et l’environnement PyScripter pour véritablement simplifier la création de paquet, comme vous pouvez le constater juste en dessous. Si tout cela vous parait tout de même complexe, il reste possible de nous demander de développer vos paquets pour vous.

L’Agence Nationale de la Sécurité des Systèmes d’Information a reconnu la sécurité et la robustesse du logiciel en attribuant à la version 1.5 de WAPT Enterprise la qualification de l’ANSSI. Cette version offre plus de flexibilité quant à la gestion des plus grands parcs que ce soit grâce à l’authentification par AD, la séparation des rôles d’utilisation ou la gestion simplifiée de sites distants ou des différents dépôts.
Vous avez besoin de maintenir votre parc à jour ?

Bénéficier de notre savoir-faire

Étant les créateurs de WAPT, nous sommes les plus à même de répondre à vos interrogations et de solutionner vos problèmes, que ce soit par le biais de nos tickets de support ou grâce aux formations certifiées datadock que nous dispensons sur notre logiciel. Nos méthodologies de travail DevSecOps et nos 15 années d’expertise dans la sécurisation du réseau local font de nous des partenaires de confiance pour agir efficacement sur un parc informatique.

Ce qu’il ne fallait pas manquer :

Qui suivre pendant le #CyberSecMonth ?

Les articles à ne pas manquer :

Retrouvez toutes nos recommandations sur Twitter et LinkedIn et sur les hashtag : #TousSecNum, #CyberSecMonth, #ECSM2018 et #ECSM. Suivez aussi notre hashtag #CyberConseil pour suivre les conseils de Tranquil IT et découvrir les infographies suivantes.

Active Directory pour votre GIA

Active Directory pour votre GIA

Chez Tranquil IT, nous sommes experts Samba Active Directory et conseillons de manière systématique la mise en place d'un AD chez nos clients. Pourquoi Active Directory est-il votre allié du quotidien ? Nous allons tenter de vous l'expliquer. Gérer l'authentification...

Tranquil IT est référencée à l’UGAP

Tranquil IT est référencée à l’UGAP

Tranquil IT est maintenant référencée à l'UGAP par l'intermédiaire du contrat multi-éditeur porté par SCC. Derrière tous ces termes un peu bureaucratiques se cache une très bonne nouvelle pour ceux et celles qui veulent acheter les produits et services innovants...