Les fondations de la sécurité : connaitre les équipements IT et les logiciels présents sur le réseau

Les standards de sécurité sont développés par une myriade d’organisations au fil des années, afin de répondre aux risques qui pèsent sur les systèmes d’entreprise et leurs données critiques. Le SANS Institute est l’une des plus importantes sources pour la formation à la sécurité des données et la certification de sécurité dans le monde. En 2008, le SANS Institute a dirigé un consortium d’agences internationales et d’experts de la sécurité pour créer une liste hiérarchisée des contrôles de sécurité ayant le plus d’impact sur l’amélioration de la protection des entreprises face aux risques et menaces.

La liste du SANS Institute se concentre sur la capacité des entreprises et organisations à gérer activement (inventaires, identification et correction) tous les équipements IT connectés au réseau, de sorte que seuls les appareils autorisés puissent avoir un accès. Selon SANS, ce contrôle est critique car les cybercriminels scannent en permanence les entreprises ciblées, guettant les systèmes non protégés se connectant au réseau. Ils traquent également les appareils qui se connectent et se déconnectent du réseau (tels que les PC portables), et qui peuvent ne pas être actualisés au niveau des patchs et mises à jour de sécurité.

Le deuxième contrôle de sécurité listé par le SANS Institute est l’inventaire des logiciels autorisés et non-autorisés. Il est conseillé aux entreprises de gérer activement (inventaire, identification, correction) tous les logiciels sur le réseau, de sorte que seuls les logiciels autorisés sont installés et exécutés. Il s’agit d’un aspect critique car, selon le SANS, les cybercriminels surveillent en permanence les entreprises pour identifier les versions vulnérables de logiciels qui peuvent être contrôlées à distance. Par exemple, si un employé utilisant un navigateur vulnérable est redirigé vers un site non vérifié, les cybercriminels peuvent compromettre sa machine en installant un programme caché et des robots leur donnant un contrôle à long terme sur le système. Une fois qu’une première machine est exploitée, les cybercriminels peuvent l’utiliser comme point de départ pour collecter des données sensibles à partir des autres machines connectées. Pour cette raison et d’autres, SANS explique que les entreprises ne disposant pas d’inventaires complets de leurs logiciels ne peuvent pas identifier les systèmes et logiciels vulnérables, et donc se prémunir contre les attaques.

La capacité des organisations à inventorier les actifs IT pour identifier les équipements et logiciels autorisés et non-autorisés, représente les fondations nécessaires pour mettre en place les autres défenses de cyber-sécurité. Sans ces fondations, les cybercriminels trouveront toujours de nouvelles machines et de nouveaux logiciels vulnérables aussitôt que ceux-ci seront sur le réseau, et ce dès que les brèches connues seront sécurisées et fortifiées par l’entreprise.

C’est la conclusion d’un rapport récent de BSA/IDC, intitulé Unlicensed Software and Cybersecurity Threats. Selon ce rapport, plus des logiciels sans licence fonctionnent sur le réseau d’une entreprise, plus le risque de malware est grand. Le rapport conclut que diminuer l’incidence des logiciels non-autorisés permet de réduire le risque de cyber-sécurité.

La plupart des entreprises ne sont pas en mesure d’inventorier leurs logiciels

La facilité avec laquelle les logiciels sans licences ou non-autorisés peuvent se propager dans les systèmes d’entreprise est frappante. La plupart des employés peuvent aller sur internet et télécharger les logiciels dont ils ont besoin pour faire leur travail. Et ils le font souvent sans en faire la requête au préalable auprès de leur département informatique et sans attendre l’approbation. De même, beaucoup d’employés installent des applications qui ne sont pas directement liées à leur travail sur leurs appareils professionnels, comme des applications de musique ou de vidéo, dont la provenance n’est pas toujours sûre.

De manière évidente, la capacité à inventorier les équipements et logiciels est essentielle pour disposer de fondations solides pour la cyber-sécurité. Et on pourrait s’attendre à ce que ce principe de gestion des actifs IT soit mis en œuvre dans la plupart des entreprises. C’est en fait rarement le cas.

Selon un rapport IDC/Flexera Software intitulé 2013-14 Key Trends in Software Pricing & Licensing Report, seuls 36% des répondants déclarent utiliser des solutions automatisées pour gérer leurs actifs et états logiciels. La plupart des répondants ont recours à un mix de différentes méthodes, ou ne font rien du tout. 25% des répondants disent gérer leurs licences logicielles avec des méthodes manuelles, et 9% utilisent des systèmes propriétaires. 18% utilisent les outils de tracking fournis par leurs éditeurs de logiciels, et 7% ne gèrent pas du tout leurs licences logicielles.

Les challenges liés à l’inventaire des logiciels

Etant donné le grand nombre de systèmes de gestion des licences logicielles qui sont déployés par les entreprises, on peut se demander pourquoi l’inventaire des actifs logiciels est une tâche si complexe et difficile. Il y a plusieurs raisons à cela.
Par exemple, pour les applications PC, différentes sources de données peuvent être utilisée pour identifier les applications logicielles. Aucune ne fournit suffisamment de données à elle seule. Elles doivent toutes être prises en compte pour inventorier les installations locales. Ces sources de données sont notamment :

• Les données des packages logiciels : les entrées de programme Add/Remove (ou Programs et Features) sur les appareils Windows, les RPM (RedHat Package Manager) sur Linux, etc. Sur les appareils Windows, les données de packaging fournissent une liste très précise des applications installées sur la machine. Dans certains cas, des données supplémentaires peuvent être requises pour identifier clairement les logiciels, comme par exemple la version installée.

• Données de dossiers : les dossiers exécutables dll, ini, jar manifest, etc. sur le disque dur. Sur plateforme Windows, le nom du dossier fournit parfois des informations telles que l’éditeur, la version et le nom de l’application. La taille, le nom, le checksum ou le contenu d’un dossier peuvent également être utilisés pour identifier l’application.

• Information du registre sur les appareils Windows : la description du système d’exploitation, la version et l’édition peuvent être trouvées dans le registre Windows.

• Dossiers tag ISO : la certification ISO 19770-2 est probablement le moyen le plus adapté et le plus précis pour identifier un logiciel installé sur un appareil. Elle fournit le nom, la version et l’édition des produits installés, tels que vendus par les éditeurs. Elle peut également contenir la liste des composants logiciels et des relations entre eux. Seuls quelques éditeurs comme CA, Adobe, Symantec, Flexera Software et Microsoft utilisent des tags ISO 19770-2 sur les dernières versions de leurs produits.

Les données brutes fournies par ces sources doivent être filtrées et traitées pour extraire le nom commercial des produits qui exigent une licence. Ces données représentent jusqu’à 90% du total des données collectées dans beaucoup de cas.
Beaucoup d’outils sont capables de mener à bien des inventaires. La clé est de maintenir la précision de ces inventaires dans le temps. Chaque jour, de nouvelles machines sont ajoutées et les anciennes sont retirées, des logiciels sont installés, des mises à jour sont effectués. Si une entreprise possède un parc de 10 000 PC et portables, avec une durée de vie moyenne de trois ans, ce sont en moyenne 15 machines qui sont retirées et 15 qui sont provisionnées chaque jour ouvré.
Des processus dédiés sont nécessaires pour retirer ou désactiver des PC dans l’outil qui gère la configuration, au moment où ils sont physiquement retirés. La même chose s’applique aux ordinateurs qui n’ont pas été répertoriés depuis un long moment, car ils sont alors considérés comme perdus ou volés. Dans ce cas, le processus doit prendre en compte le fait que les utilisateurs peuvent être déconnectés du réseau pendant une longue période, par exemple lorsqu’ils sont en vacances, lorsqu’ils sont en déplacement ou lorsqu’ils travaillent à distance chez eux. L’inventaire n’est pas effectué sur tous les appareils à la fois, mais par étapes : l’inventaire n’est jamais précis à 100% à un instant donné ; le challenge consiste à limiter la zone d’incertitude.

Si les inventaires classiques de PC et portables peuvent être effectués avec les outils qui gèrent l’inventaire et la configuration, les technologies de virtualisation demandent une approche différente. Dans la plupart des cas, les applications virtualisées laissent des traces sur les appareils qui peuvent être tracées en fonction de l’utilisation. C’est par exemple possible avec les dernières versions de Microsoft App-V. Une solution alternative consiste à appeler directement l’API de technologie de virtualisation et obtenir soit la relation entre les applications virtualisées et les utilisateurs, soit les données d’utilisation, si elles sont disponibles.
La plus grande difficulté dans un environnement virtualisé est d’identifier les appareils finaux utilisant la machine virtuelle. Encore une fois, pour les applications rattachées à un appareil en fonction des métriques de licence, cette information est nécessaire. Il existe différentes techniques pour obtenir ces données, mais seuls un nombre restreint d’appareils sont capables de les collecter. Le dernier challenge consiste à mesurer l’utilisation des applications qui fonctionnent sur la machine virtuelle, certaines d’entre elles pouvant être virtualisées. Dans ce cas, l’utilisation de l’application virtualisée doit être comparée avec les données de la machine virtuelle pour identifier clairement l’appareil final. Les outils de surveillance de l’utilisation des applications virtualisées indiquent l’utilisation de la machine virtuelle plutôt que celle de l’appareil final.

L’inventaire des PC ne peut pas uniquement reposer sur les outils de gestion de la configuration et d’inventaire dédiés. Lorsque des technologies de virtualisation sont utilisées, ces outils touchent leurs limites et ne peuvent pas fournir des inventaires ou des données d’utilisation précis. La solution consiste à combiner plusieurs outils d’inventaire et adaptateurs pour les environnements cloud et virtualisés afin de collecter les données et les fusionner dans une repository de gestion des actifs logiciels – en vue de leur utilisation par un outil d’optimisation des licences logicielles.

Au-delà d’inventorier les logiciels PC, l’environnement du datacenter a l’avantage d’être plus petit et plus stable. Toutefois, la gestion des licences logicielles dans cet environnement nécessite des données supplémentaires – par exemple sur les propriétés des équipements hardware, ou sur les relations entre les machines hôtes, les machines virtuelles, les partitions et les clusters. Certains modèles complexes de licence serveur requièrent également davantage de données. L’identification des logiciels est également plus complexe en raison de la nature hétérogène des datacenters et du manque de standards.

L’inventaire des datacenters est très différent du monde des PC. Malgré un nombre plus petit d’appareils, il s’agit d’un environnement plus complexe et délicat à cause de la diversité des systèmes d’exploitation et des technologies, des métriques de licence qui nécessitent des données supplémentaires, et de l’émergence des clouds hybrides et privés. Plusieurs techniques peuvent être utilisées. Un inventaire basé sur les appareils ne pourra pas fournir de reporting précis sur les inventaires et les données d’utilisation. Comme pour les PC, seule une combinaison d’outils permettra de fournir les données nécessaires pour la gestion et l’optimisation des licences logicielles.

Conclusion

Alors que la plupart des entreprises utilisent plusieurs sources de données d’inventaire pour les logiciels et les équipements hardware, elles n’ont habituellement pas les moyens de consolider ces données sur tous leurs systèmes et environnements et de parvenir à un inventaire précis. Et ne peuvent donc pas disposer de données fiables sur les systèmes autorisés et non-autorisés sur le réseau de l’entreprise. Et c’est ce manque qui rend les fondations de la forteresse vulnérables.

Les solutions d’optimisation des licences logicielles permettent d’obtenir des analyses détaillées, de rester en conformité constante avec les termes des licences, de n’acheter que les produits dont l’entreprise a besoin et d’utiliser ceux qu’elle a achetés.

Il est également possible de les utiliser pour se conformer aux contrôles de sécurité critiques listés par le SANS Institute. La meilleure stratégie consiste à comprendre quelles sources de données sont disponibles dans l’entreprise et de les utiliser en premier. On peut ensuite déployer et utiliser des fonctionnalités supplémentaires d’optimisation des licences logicielles pour parvenir à des inventaires plus précis et à jour.