Avec la montée en puissance des cybermenaces, de nombreuses entreprises ont formé des équipes de sécurité informatique dont le rôle est de définir des stratégies, et de détecter et éliminer les cyber-risques. Elles sont également nombreuses à compter une équipe Opérations IT, dont l’objectif est de garantir la productivité de l’entreprise et d’appliquer les stratégies dictées par les équipes de sécurité.

L’équipe de sécurité informatique choisit souvent ses propres outils, sans s’intéresser à ceux qu’utilise l’équipe Opérations IT. Elle n’en a pas conscience et pourtant, dans de nombreux cas, les outils du service informatique pourraient l’aider à être plus productive, à améliorer sa position en matière de sécurité et à éliminer plus efficacement les cyber-risques, le tout avec moins d’interruptions des flux de travail pour les utilisateurs finaux.

Voici quelques scénarios où la collaboration entre les équipes de Sécurité informatique et des Opérations IT, notamment via l’utilisation d’outils communs, permettrait d’améliorer la sécurité de l’entreprise.

Découvrir le matériel pour mieux le gérer, et mieux le protéger

La découverte permet de déterminer les éléments qui existent sur votre réseau. Elle est probablement l’exigence de sécurité la plus importante de toutes. Le CIS (Center for Internet Security) classe la découverte du matériel et celle des logiciels comme les deux premières priorités d’une entreprise pour mettre en place un système de sécurité efficace.

La logique est très simple : vous ne pouvez pas protéger (ou vous préserver de) ce dont vous n’avez pas connaissance dans votre environnement. Or, du point de vue du service des Opérations IT, la découverte est également essentielle parce qu’il est impossible de gérer ce que vous ne savez pas que vous possédez.

Cette capacité de découverte répond donc aux besoins du service informatique comme à ceux de l’équipe Sécurité. Et comme elle est généralement intégrée à toute solution mature de gestion du poste client, il est vraisemblable que l’équipe IT l’utilise et connaît déjà relativement bien tous les périphériques gérés et non gérés.

La plupart des solutions de découverte IT utilisent le protocole NMAP standard pour analyser le réseau à la recherche de biens. Les plus avancées comportent également une couche « passive » qui permet une détection en quasi temps réel des nouveaux équipements matériels qui se connectent au réseau, à l’aide de technologies passives comme le sniffing ARP. Elles permettent ainsi d’établir une cartographie réseau des périphériques gérés et non gérés. L’équipe IT peut utiliser ce mappage réseau pour distribuer en push des agents de gestion aux périphériques non gérés. Et l’équipe Sécurité peut l’utiliser pour obtenir une carte à jour de tous les périphériques du réseau, qu’ils soient gérés ou non.

Optimiser l’utilisation des logiciels, c’est aussi valable pour les antivirus et le déploiement des correctifs

Les solutions de découverte avancées utilisées par le service informatique ne se contentent pas de découvrir le matériel ; elles fournissent également un inventaire détaillé des logiciels.

C’est important pour la gestion IT, mais les équipes de sécurité peuvent également exploiter ces données. Par exemple, pour rechercher les machines qui, d’après leur configuration, ne sont pas conformes aux stratégies de sécurité de l’entreprise, celles qui n’exécutent pas d’antivirus, celles qui n’ont pas de solution antivirus à jour ou celles à qui il manque des correctifs.

Utiliser les outils de réparation à distance pour des opérations de sécurité

Dans de nombreuses entreprises, lorsqu’un comportement suspect est détecté sur un poste client, celui-ci est retiré du réseau – en débranchant le câble Internet ou en le bloquant sur le routeur. Une fois la machine écartée, elle ne peut plus infecter les autres.

Aussi efficace soit-il, ce type d’approche engendre des difficultés. Notamment, l’utilisateur du poste compromis (qui peut se situer sur un autre site) doit être retrouvé, et la machine rapportée au service IT pour une analyse forensique. Le plus souvent, elle reçoit alors tout simplement une nouvelle image, puis elle est rendue à l’utilisateur.

Cette procédure s’avère être longue et peu efficace. Elle serait gérée bien plus rapidement et de façon plus productive à l’aide d’outils IT modernes. Ces derniers permettent d’isoler une machine du réseau à distance, en autorisant uniquement le service IT à s’y connecter. La machine peut ainsi être retirée du réseau sans avoir besoin de la débrancher physiquement ou de manipuler les tables de routage. Et même isolée du réseau, l’équipe de sécurité peut toujours y exécuter le logiciel ou le script de son choix, et l’équipe IT peut lui appliquer à distance une nouvelle image et y réinstaller ensuite tous les logiciels.

Toutes ces actions peuvent aussi être automatisées. Lorsqu’un logiciel antivirus détecte un malware sur une machine, les outils IT peuvent isoler automatiquement cette machine du réseau, puis exécuter un logiciel ou un script pour analyser plus précisément le risque. L’équipe IT peut ensuite contrôler la machine à distance pour affiner le diagnostic ou lui appliquer une nouvelle image.

Très peu de produits de sécurité sont capables d’isoler une machine du réseau à distance. Cependant, la plupart des outils de dépannage informatique gèrent le contrôle à distance, la gestion des fichiers, l’application d’une nouvelle à image, etc. Y faire appel pour éliminer les risques de sécurité, à la fois du point de vue des opérations IT (nouvelle image, sauvegarde, etc.) et du point de vue de la sécurité (analyse forensique, nettoyage, etc.), constitue une méthode bien plus rapide, plus efficace et plus performante.

___________
Vincent Peulvey est Directeur Avant-Vente Europe du Sud, Moyen-Orient et Afrique d’Ivanti