Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Le contrôle des applications sécurise le système informatique sans créer d’obstacles pour les équipes

novembre 2020 par Benjamin De Rose, VP Europe du Sud chez DriveLock

Les attaques informatiques sont de plus en plus nombreuses et sophistiquées. Le contrôle des applications - whitelisting et blacklisting - est un procédé simple qui permet de sécuriser le système informatique tout en offrant une liberté suffisante aux équipes pour travailler de façon fluide.

La transformation digitale est une ouverture des systèmes informatiques de l’entreprise : vers ses utilisateurs hors les murs, vers les systèmes informatiques d’autres organisations, ou encore en laissant entrer des données et fichiers de l’extérieur au sein de l’entreprise. Cependant, cette porosité des frontières n’est pas sans risques.

Un paysage de la menace qui s’assombrit

Ces risques ont amené la communauté de la cybersécurité à développer des technologies de contrôle des applications. Il s’agit aujourd’hui d’un pilier des stratégies de sécurité des terminaux car elle est à la fois sécurisée et flexible. La flexibilité est importante car certains DSI ont une approche paralysante et vont jusqu’à bloquer complètement l’installation de nouveaux logiciels ou de mises à jour sur les terminaux, afin d’éviter qu’un virus en profite pour infecter le terminal. C’est efficace sur le plan sécuritaire mais ne permet pas aux équipes de faire leur travail correctement car elles sont limitées dans les outils à leur disposition.

Pour autant, on ne peut pas négliger la sécurité car le paysage de la menace est inquiétant : manque de sensibilisation des collaborateurs à la cybersécurité, attaques de plus en plus sophistiquées, multiplication des points d’attaque, standards de sécurité applicables aux données personnels de plus en plus élevées avec notamment le RGPD... Rien qu’en 2019, plus d’un milliard de malwares et ransomwares ont été décomptées.

De plus, la plupart des attaques ne sont pas détectées avant plusieurs mois. Selon le Ponemon Institute, en 2019, les attaques n’étaient détectées qu’au bout de 279 jours en moyenne. Or plus un système est infiltré longtemps sans réponse à cette infection, plus celle-ci coûte cher à l’entreprise. Les sommes sont mirobolantes : on parle de millions d’euros pour chaque attaque réussie. C’est important pour les grandes entreprises et fatal pour les PME.

Sécurité et flexibilité : une aporie ?

Nous avons donc été face à un dilemme pendant un certain temps : d’un côté il est nécessaire de bloquer les attaques, de l’autre il faut laisser assez de liberté aux collaborateurs pour qu’ils travaillent de façon efficace. Pour résoudre cette équation, le contrôle des applications est maintenant enrichi grâce à l’intelligence artificielle (IA).

L’IA permet de combiner deux approches complémentaires : le blacklisting (mettre des applications sur liste noire et ne pas les autoriser) et le whitelisting (n’autoriser que des applications ciblées) ; la première est plus efficace d’un point de vue sécurité, mais la seconde offre une fluidité appréciable pour le personnel. Les deux peuvent être combinés en grâce à des règles de priorisation : en cas de conflit entre deux listes, la blacklist l’emporte. Ainsi, si un dossier est whitelisté mais une application qui s’y trouve y est blacklistée, elle ne pourra pas être lancée.

Cela fait du contrôle des applications un élément crucial de la stratégie de cybersécurité des entreprises. Cependant, si les listes blanches et noires sont statiques, elles sont sources de frustration tant pour la DSI que pour les utilisateurs. Une des façons de les dynamiser est de classifier certains dossiers comme étant de confiance. Par exemple, si le dossier Microsoft est considéré comme de confiance, ses mises à jour et ses nouveaux logiciels seront automatiquement whitelistés. Un mécanisme similaire peut être mis en place par utilisateurs : les logiciels installés par l’administrateur peuvent être automatiquement whitelistés, mais pas ceux des autres utilisateurs.

Le contrôle des applications est au cœur de stratégies de cybersécurité
Le contrôle de l’exécution des applications réduit la surface d’attaque. Par exemple, les logiciels malveillants qui utilisent abusivement MS Office comme vecteur d’attaque exécutent souvent des macros VBA et exploitent le code pour télécharger et tenter d’exécuter des programmes tiers. Toutefois, certaines applications industrielles légitimes peuvent également créer des sous-processus à des fins utiles, comme la création d’une invite de commande ou l’utilisation de PowerShell pour configurer les paramètres du registre.

En définitive, les mécanismes d’autorisation des applications offrent deux avantages majeurs : ils empêchent l’exécution d’applications malveillantes activées par un programme légitime, et ils définissent des droits spécifiques pour chaque application. Ensemble, ils réduisent la surface d’attaque pour les pirates sans entraver le travail des équipes.


Voir les articles précédents

    

Voir les articles suivants