reduce_your_breach_risk_file_integrity_moni
Limitez les risques de violation
grâce au monitoring de l’intégrité
des fichiers, afin d’assurer la
sécurité des données et la
conformité à la norme PCI DSS
Livre blanc
Change Guardian
Directory and Resource Administrator
Sentinel
La fonctionnalité la plus importante de tout programme
de sécurité informatique est sa capacité à détecter
rapidement les violations de données et à y remédier
sans délai. Pourtant, chaque jour, des données
confidentielles sont consultées sans même que les
entreprises auxquelles elles appartiennent ne s’en
rendent compte. Que la violation résulte d’une attaque
ciblée perpétrée par des cybercriminels ou d’une erreur
commise par un utilisateur bénéficiant de privilèges,
l’impact est désastreux. Lorsque la violation passe
inaperçue pendant une période prolongée, l’impact peut
très vite prendre des proportions incalculables.
Table des matières page
Introduction ........................................................1
Le monitoring de l’intégrité des chiers : une pièce maîtresse dans
le puzzle de la sécurité ..............................................2
Cas de conformité d’entreprise : PCI DSS ................................6
Gestion du monitoring de l’intégrité des chiers à des ns de sécurité
et de conformité : NetIQ Change Guardian .............................7
Conclusion ..........................................................8
À propos de NetIQ ...................................................9
1
www.netiq.com
Introduction
Le présent document traite de l’importance
du processus de monitoring de l’intégrité des
fichiers, qui a pour but de permettre la détection
des attaques de cybercriminels ainsi que des
menaces internes. En effet, les conséquences
de telles violations de données peuvent être
très coûteuses. Le document aborde aussi le
monitoring de l’intégrité des fichiers en tant
que facteur clé pour assurer la conformité à la
norme de sécurité informatique des données de
l’industrie des cartes de paiement (PCI-DSS). En
outre, la gamme de produits NetIQ® de gestion
des identités et de la sécurité sera présentée,
ainsi que son importance dans l’optimisation de
la sécurité et de la conformité.
Nous vivons une époque où l’adage « on n’est jamais trop prudent » prend toute sa
signication. Malgré la sensibilisation croissante et la mise en oeuvre de mesures de sécurité
et de protection, des affaires de violations de données continuent à faire la une de la presse
spécialisée. Les chiffres parlent d’eux-mêmes : le rapport d’enquête sur les violations de
données (Data Breach Investigations Report, DBIR) produit par Verizon Business RISK
team dénombre plus de 2 500 violations de données et 1,1 milliard de registres compromis
en neuf ans1. Plus inquiétant encore : ces violations se sont produites au nez et à la barbe des
équipes de sécurité informatique, comme le montre le cas de Heartland Payment Systems,
où environ 100 millions de comptes de cartes de crédit ont été la cible d’une violation restée
inaperçue pendant 18 mois2.
__________
1 Verizon Business RISK Team, «2013
DBIR», Verizon Business, April 2013,
www.verizonenterprise.com/
DBIR/2013/.
2 John Kindervag, «PCI X-Ray: File Integrity
Monitoring», Forrester Research, Inc.,
26 October, 2009, www.forrester.com/
rb/research.
2
Livre blanc
Limitez les risques de violation grâce au monitoring de l'intégrité des fichiers, afin d'assurer la sécurité des données et la conformité à la norme PCI DSS
Le monitoring de l’intégrité des fichiers: une
pièce maîtresse dans le puzzle de la sécurité
Le monitoring de l’intégrité des chiers est devenu une pièce maîtresse du puzzle de
la sécurité. En effet, les menaces envers les données condentielles des entreprises se
caractérisent par une redoutable capacité à évoluer rapidement. Une nouvelle classe
d’attaques a récemment vu le jour : il s’agit d’attaques fomentées par des groupes organisés
de criminels qui parviennent systématiquement et méthodiquement à obtenir l’accès
aux systèmes en restant indétectables pendant une durée prolongée, ce qui leur permet
d’atteindre leurs objectifs, qui vont généralement au-delà du gain nancier immédiat. Ce
scénario, qui constitue une « menace persistante avancée » (Advanced Persistent Threat
- APT), se manifeste souvent par des violations exploitant des relations de conance, en
passant notamment par des comptes légitimes, pour accéder aux systèmes ciblés et les
compromettre. Il devient donc nécessaire de mettre en place des couches supplémentaires
de protection, y compris des solutions de monitoring de l’intégrité des chiers, pour protéger
les données condentielles contre ce type de menace.
D’après le rapport DBIR de 2013, 14 % des violations ont impliqué des membres du
personnel3. Dans la plupart des cas, il a été clairement avéré que les infractions les plus
importantes faisaient suite à des abus de privilèges accordés à des employés. La portée
du concept de menace interne augmente exponentiellement puisque, quand l’attaquant
a pénétré le système (par exemple en utilisant un logiciel malveillant), il est presque
impossible de le distinguer d’un membre du personnel.
Selon le rapport de Verizon, dans de nombreux cas, un pirate informatique pénètre dans
le réseau de la victime (par exemple, par le biais de références d’identication volées ou
faibles) et installe des logiciels malveillants sur les systèmes an de subtiliser des données.
Bien que l’utilisation de logiciels malveillants personnalisés au cours de ces attaques n’ait
pas progressée, ces logiciels sont devenus de plus en plus difciles à détecter, ce qui leur
permet de contourner de manière concluante les contrôles standard. En l’occurrence, un
logiciel malveillant personnalisé a permis les violations du cas de Heartland, ainsi que dans
d’autres affaires importantes de violation de cartes de crédit. D’après Forrester Research4,
la meilleure façon de réduire le risque de ce type d’attaques consiste à déployer des outils
de monitoring de l’intégrité des chiers qui déclenchent des alertes immédiates en cas
d’installation d’un logiciel non autorisé ou si des chiers stratégiques sont modiés ou qu’un
utilisateur bénéciant de privilèges y accède.
Le déploiement de logiciel de monitoring de l’intégrité des chiers (FIM) est non seulement
une meilleure pratique pour protéger votre entreprise contre les violations de sécurité, mais
également une exigence de la norme de sécurité informatique des données de l’industrie des
cartes de paiement (PCI-DSS). Plus précisément, la norme PCI DSS suppose le déploiement
d’une solution FIM an d’alerter le personnel de toute modication non autorisée de chiers
système, de chiers de conguration ou de données stratégiques. En détectant les accès et
les changements apportés aux chiers système effectués sans autorisation, le monitoring de
l’intégrité des chiers réduit les risques suivants :
Bien que l’utilisation de
logiciels malveillants
personnalisés au cours
de ces attaques n’ait pas
progressée, ces logiciels
sont devenus de plus en
plus difficiles à détecter,
ce qui leur permet de
contourner de manière
concluante les contrôles
standard.
_________
3 Verizon Business RISK Team,
«2013 DBIR».
4 John Kindervag, «PCI X-Ray:
File Integrity Monitoring».
3
www.netiq.com
Violation de données — due en particulier à l’utilisation abusive d’accès privilégiés
Indisponibilité du système — provoquée par des modifications apportées à des fichiers, des
systèmes ou des applications, en dehors de toute planification ou autorisation
Non-conformité — résultant de l’incapacité à faire preuve d’un contrôle des accès et des
modifications touchant les données confidentielles (le monitoring de l’intégrité des fichiers est un
élément important de tout programme de sécurité informatique performant)
Perspective sur la menace interne
Au niveau le plus élémentaire, il existe deux sortes de menaces internes : malveillantes et
non malveillantes. Les menaces non malveillantes comprennent l’exposition des systèmes
ou des données stratégiques par erreur, ou en raison d’un manque de discernement ou d’un
acte involontaire. Elles peuvent résulter de l’utilisation du courrier électronique ou d’autres
applications, ou encore de la perte ou du vol d’ordinateurs portables et de smartphones.
Étant donné que les périphériques mobiles appartenant aux employés ou à l’entreprise
font de plus en plus partie du paysage de la sécurité informatique, les contrôles de sécurité
et les stratégies de défense existants sont sans doute insufsants pour limiter l’exposition
via ces vecteurs. En conséquence, les menaces internes non malveillantes deviennent une
préoccupation croissante.
Les membres malveillants du personnel, souvent motivés par l’appât du gain ou par
une colère à l’encontre de leur employeur, peuvent causer d’importants dommages sur
une longue période et contribuer à des violations externes. L’expérience montre que les
infractions les plus graves sont causées par des utilisateurs autorisés aux privilèges élevés
qui ne sont pas surveillés judicieusement ou par des utilisateurs dont les privilèges d’accès
sont gérés de façon inadéquate tout au long du cycle de vie de leur identité. Verizon Business
enregistre chaque année des violations causées par des employés mécontents qui abusent de
privilèges restés actifs.
Cyberattaques motivées par l’appât du gain
Plusieurs des violations de sécurité les plus dévastatrices sur le plan nancier de la dernière
décennie ont été le résultat d’attaques ciblées et personnalisées, perpétrées par des pirates
informatiques ingénieux. La violation subie par Heartland Payment Systems est l’un des
exemples les plus tristement célèbres, en raison de son ampleur (les experts en sécurité
estiment que 100 millions de cartes de crédit émises par 650 sociétés de services nanciers
peuvent avoir été compromises). L’impact nancier a été colossal5 pour Heartland (perte
de 300 millions de dollars américains en capitalisation boursière et plus de 30 millions de
dollars américains de pertes directes).
Le ver Stuxnet est un autre exemple d’attaque multi-vecteurs sophistiquée. Selon les termes
de Bruce Schneier6, le ver Stuxnet « est un logiciel malware inédit d’une telle sournoiserie
dans son exploitation des vulnérabilités restées sans correction et d’une telle sophistication
dans son approche multiple que les chercheurs en sécurité l’ayant percé à jour estiment
L’expérience montre que
les infractions les plus
graves sont causées par
des utilisateurs autorisés
aux privilèges élevés qui
ne sont pas surveillés
judicieusement ou par
des utilisateurs dont
les privilèges d’accès
sont gérés de façon
inadéquate tout au long
du cycle de vie de leur
identité.
_________
5 Ibid.
6 Bruce Schneier, «Schneier on
Security: The Stuxnet Worm»,
www.schneier.com/blog/
archives/2010/09/the_
stuxnet_wor.html (consulté le
10 février 2011).
6
7
8
9
10
11
12
1
/
12
100%
