Le changement est prolifique dans les environnements informatiques des organisations. Les ressources matérielles changent. Les logiciels changent. Les états de configuration changent. Certaines de ces modifications sont autorisées dans la mesure où elles se produisent pendant le cycle régulier de correctifs d’une organisation, tandis que d’autres suscitent des inquiétudes en apparaissant de manière inattendue.

Les organisations réagissent généralement à ce dynamisme en investissant dans la découverte d’actifs et la gestion sécurisée de la configuration (SCM). Ces contrôles fondamentaux permettent aux entreprises de constituer un inventaire des équipements approuvés et de surveiller les configurations de ces produits. Malgré tout, les entreprises se retrouvent avec un défi important : concilier les changements dans les dossiers importants. Pour relever ce défi, de nombreuses entreprises se tournent vers la gestion de l’intégrité des fichiers (FIM).

• Qu’est-ce qu’exactement le FIM ?
  

Le FIM (Gestion de l’intégrité des fichiers) est une technologie qui surveille et détecte les modifications de fichiers qui pourraient indiquer une cyberattaque. Autrement connu sous le nom de surveillance des modifications, FIM implique spécifiquement l’examen des fichiers pour voir si et quand ils changent, comment ils changent, qui les a modifiés et ce qui peut être fait pour restaurer ces fichiers si ces modifications ne sont pas autorisées. Les entreprises peuvent tirer parti du contrôle pour surveiller les fichiers statiques afin de détecter des modifications suspectes telles que des ajustements de leur pile IP et de la configuration de leur client de messagerie. Le FIM est utile pour détecter les logiciels malveillants ainsi que pour se conformer aux réglementations telles que la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS).

La surveillance de l’intégrité des fichiers a été inventée en partie par le fondateur de Tripwire, Gene Kim. À partir de là, il est devenu le contrôle de sécurité autour duquel de nombreuses organisations construisent désormais leurs programmes de cybersécurité. Le terme spécifique « Gestion de l’intégrité des fichiers » lui-même a été largement popularisé par la norme PCI DSS.

Malheureusement, pour de nombreuses organisations, FIM signifie surtout du bruit qui complique le travail du personnel de sécurité. Trop de changements, aucun contexte autour de ces changements et très peu d’informations pour savoir si les changements placent réellement les équipes de sécurité de la force dans une position où elles doivent enquêter sur les changements liés les uns aux autres. Dans le processus, ces professionnels pourraient perdre leur temps à rechercher des faux positifs, contribuant ainsi à un sentiment de fatigue d’alerte qui expose les organisations aux violations de données et autres menaces numériques.

Cela met en évidence la réalité du FIM. Il s’agit d’un contrôle de sécurité essentiel, mais il doit fournir suffisamment d’informations et d’informations exploitables pour que les organisations renforcent leurs postures de sécurité.

3 avantages d’exécuter un programme de gestion de l’intégrité des fichiers réussi

1. Protégez l’infrastructure IT : les solutions FIM surveillent les modifications de fichiers sur les serveurs, les bases de données, les équipements réseaux, les serveurs d’annuaire, les applications, les environnements cloud et les images virtuelles pour vous alerter des modifications non autorisées.
   
2. Réduction du bruit : une solution FIM puissante utilise l’intelligence des changements pour vous avertir uniquement en cas de besoin, ainsi que le contexte commercial et les étapes de correction. Recherchez des mesures de sécurité détaillées et des tableaux de bord dans votre solution FIM.
   
3. Restez conforme : le FIM vous aide à respecter de nombreuses normes de conformité réglementaires telles que PCI-DSS, NERC CIP, FISMA, SOX, NIST et HIPAA, ainsi que des cadres de bonnes pratiques tels que les contrôles de sécurité CIS.

Comment fonctionne la gestion de l’intégrité des fichiers (en 5 étapes)

La gestion de l’intégrité des fichiers comporte cinq étapes :

1. Définition d’une politique : le FIM commence lorsqu’une organisation définit une politique pertinente. Cette étape consiste à identifier quels fichiers sur quels ordinateurs l’entreprise doit surveiller.
   
   
2. Établir une base de référence pour les fichiers : avant de pouvoir surveiller activement les modifications des fichiers, les organisations ont besoin d’un point de référence par rapport auquel elles peuvent utiliser pour détecter les modifications. Les entreprises doivent donc documenter une ligne de base ou un bon état connu pour les fichiers qui relèveront de leur politique FIM. Cette norme doit prendre en compte la version, la date de création, la date de modification et d’autres données qui peuvent aider les professionnels de l’informatique à garantir que le fichier est légitime à l’avenir.
   
3. Surveillance des modifications : avec une ligne de base détaillée, les entreprises peuvent procéder à la surveillance de tous les fichiers désignés à la recherche de modifications. Ils peuvent augmenter leurs processus de surveillance en promouvant automatiquement les changements attendus, minimisant ainsi les cas de faux positifs.
   
4. Envoi d’une alerte : si leur solution de surveillance de l’intégrité des fichiers détecte une modification non autorisée, les responsables du processus doivent envoyer une alerte au personnel concerné afin qu’ils puissent résoudre rapidement le problème.
   
5. Rapporter les résultats : Parfois, les entreprises utilisent des outils FIM pour assurer la conformité PCI DSS. Dans ce cas, les organisations pourraient avoir besoin de générer des rapports d’audit afin de justifier le déploiement de leur évaluateur de surveillance de l’intégrité des fichiers.

Auteur : David BISSON
Traduit par Naoufal MZALI