Contrôle CIS 2 : Inventaire et contrôle des actifs logiciels

Les organisations modernes dépendent d'une multitude vertigineuse de logiciels : systèmes d'exploitation, applications de traitement de texte, outils RH et financiers, solutions de sauvegarde et de récupération, systèmes de bases de données, et bien plus encore. Ces actifs logiciels sont souvent vitaux pour les opérations commerciales critiques — mais ils posent également d'importants risques de sécurité. Par exemple, les attaquants ciblent souvent des logiciels vulnérables pour accéder aux réseaux d'entreprise, et peuvent installer des logiciels malveillants (malware) qui peuvent voler ou chiffrer des données ou perturber les opérations commerciales.

Le CIS Control 2 est conçu pour vous aider à atténuer ces risques. Il recommande à chaque organisation de créer un inventaire complet des logiciels et de développer un programme de gestion des logiciels solide qui comprend une révision régulière de tous les logiciels installés, un contrôle sur les logiciels pouvant être exécutés, et plus encore.

Voici un résumé des sept sous-contrôles dans CIS Control 2 : Inventaire et contrôle des actifs logiciels.

2.1. Établir et maintenir un inventaire des logiciels

Créez et maintenez un registre détaillé de tous les logiciels sur les ordinateurs de votre réseau. Pour chaque actif logiciel, incluez autant d'informations que possible : titre, éditeur, date d'installation, systèmes pris en charge, objectif commercial, URLs associées, méthode de déploiement, version, date de mise hors service, etc. Ces informations peuvent être consignées dans un document ou une base de données.

Maintenez votre inventaire logiciel à jour en le révisant et en le mettant à jour au moins deux fois par an. Certains des sous-contrôles ci-dessous fournissent des orientations sur les logiciels à retirer et pourquoi.

2.2. Assurez-vous que le logiciel autorisé est actuellement pris en charge

Une bonne pratique importante consiste à s'assurer que tous les systèmes d'exploitation et les applications logicielles de votre inventaire de logiciels autorisés sont toujours pris en charge par le fournisseur de logiciels. Les logiciels non pris en charge ne reçoivent pas de correctifs de sécurité ni de mises à jour, ce qui augmente l'exposition aux risques de votre organisation car les cybercriminels ciblent souvent les vulnérabilités connues.

Si vous trouvez des logiciels obsolètes ou non pris en charge dans votre environnement, essayez d'adopter rapidement des solutions alternatives. Si aucune alternative n'est disponible et que le logiciel non pris en charge est nécessaire pour vos opérations, évaluez les risques qu'il pose et examinez les contrôles d'atténuation. Documentez ensuite l'exception, les contrôles mis en œuvre et l'acceptation du risque résiduel.

2.3. Traiter les logiciels non autorisés

Les employés installent parfois des logiciels sur les systèmes d'entreprise sans l'approbation du département informatique. Supprimer ce logiciel non autorisé réduit les risques pour votre entreprise. Si un logiciel non autorisé est nécessaire, ajoutez-le soit à la liste des outils autorisés, soit documentez l'exception dans votre inventaire de logiciels.

Vérifiez la présence de logiciels non autorisés aussi souvent que possible, au moins une fois par mois.

2.4. Utilisez des outils automatisés d'inventaire de logiciels

Créer et maintenir un inventaire de logiciels manuellement peut être chronophage et sujet à des erreurs humaines. Par conséquent, il est recommandé d'automatiser le processus de découverte et de documentation des actifs logiciels installés lorsque cela est possible.

Par exemple, Netwrix Change Tracker peut automatiquement suivre tous les actifs logiciels installés dans votre organisation, y compris les noms des applications, les versions, les dates et les niveaux de correctifs.

2.5. Autoriser les logiciels autorisés

Même vos meilleurs efforts peuvent ne pas garantir que des logiciels non autorisés ne soient pas installés sur vos systèmes. Par conséquent, il est également important de mettre en place des contrôles qui assurent que seules les applications autorisées puissent s'exécuter.

Les listes d'autorisation sont plus strictes que les listes de blocage. Une liste d'autorisation permet uniquement l'exécution des logiciels spécifiés, tandis qu'une liste de blocage empêche simplement l'exécution de programmes indésirables.

Vous pouvez utiliser un mélange de règles et de technologies commerciales pour mettre en œuvre votre liste d'autorisation. Par exemple, de nombreux programmes anti-malware et systèmes d'exploitation populaires incluent des fonctionnalités pour empêcher l'exécution de logiciels non autorisés. Des outils gratuits, tels que Applocker, sont également disponibles. Certains outils collectent même des informations sur le niveau de correctif du programme installé pour vous aider à vous assurer que vous utilisez uniquement les dernières versions des logiciels.

Une liste d'autorisation détaillée peut inclure des attributs tels que le nom du fichier, le chemin, la taille ou la signature, ce qui aidera également lors de l'analyse de logiciels non autorisés non explicitement répertoriés.

2.6. Autoriser les bibliothèques approuvées

En plus de maintenir un inventaire de logiciels et une liste d'autorisation de logiciels autorisés, il est crucial de s'assurer que les utilisateurs chargent des fichiers, y compris des applications, uniquement à partir de bibliothèques autorisées. Vous devriez également former tout le monde à éviter de télécharger des fichiers provenant de sources inconnues ou non vérifiées sur vos systèmes et vous assurer qu'ils comprennent les risques de sécurité liés à la violation de cette politique, y compris comment cela pourrait permettre aux attaquants d'accéder à vos systèmes et données.

2.7. Autoriser les scripts autorisés

L'installation de logiciels et d'autres tâches administratives nécessitent souvent des interprètes de scripts. Cependant, les cybercriminels peuvent cibler ces moteurs de scripts et causer des dommages à vos systèmes et processus. Développer une liste blanche de scripts autorisés limite l'accès des utilisateurs non autorisés et des attaquants. Les administrateurs système peuvent décider qui peut exécuter ces scripts.

Ce contrôle exige que votre équipe informatique signe numériquement tous vos scripts ; cela peut être contraignant, mais c'est nécessaire pour sécuriser vos systèmes. Les méthodes techniques pour mettre en œuvre ce contrôle incluent le contrôle de version et les signatures numériques.

Résumé

Une gestion complète des actifs logiciels est essentielle pour la sécurité des systèmes et des données de votre organisation. Le CIS Control 2 guide votre organisation à travers les processus d'identification, de surveillance et d'automatisation de vos solutions de gestion de logiciels. Ce contrôle peut se résumer en trois pratiques :

• Identifiez et documentez tous vos actifs logiciels et supprimez les éléments indésirables, obsolètes ou vulnérables
• Créez une liste d'autorisation de logiciels approuvés pour aider à prévenir l'installation et l'utilisation de logiciels non autorisés.
• Surveillez et gérez vos applications logicielles grâce à des analyses et des mises à jour constantes.

Créer et maintenir un inventaire de logiciels manuellement est trop chronophage et sujet à erreurs pour être une approche viable dans tout réseau moderne. Netwrix Change Tracker automatise le travail de suivi de tous les logiciels installés sur vos systèmes et vous tient informé de tout écart par rapport à votre liste de logiciels autorisés. Il peut même être utilisé pour identifier les correctifs manquants et les mises à jour de version, vous aidant ainsi à renforcer davantage la sécurité des systèmes informatiques.