La surveillance de l'intégrité des fichiers, parfois appelée « gestion de l'intégrité des fichiers », est un processus de sécurité qui contrôle et analyse l'intégrité des ressources critiques, notamment les fichiers système, les répertoires, les bases de données, les terminaux réseau, le système d'exploitation, les composants du système d'exploitation et les applications logicielles, afin de détecter tout signe d'altération ou de corruption susceptible d'indiquer une cyberattaque.
Les outils de surveillance de l'intégrité des fichiers s'appuient sur deux méthodes de vérification différentes pour contrôler l'intégrité des fichiers système et autres ressources critiques : un audit réactif / par investigation et un suivi proactif / basé sur des règles. Dans les deux cas, l'outil de surveillance de l'intégrité des fichiers compare le fichier existant à une version de référence, puis déclenche une alerte si le fichier a été altéré ou mis à jour d'une manière qui va à l'encontre des règles de sécurité prédéfinies de l'entreprise.
Pourquoi la surveillance de l'intégrité des fichiers est-elle si importante ?
Ces dernières années, les cybercriminels ont fait preuve d'un niveau croissant de sophistication dans leur utilisation des logiciels malveillants et autres techniques afin de modifier des éléments critiques, comme des fichiers système, des répertoires, des données et des endpoints, et mener à bien des cyberattaques avancées. Pour peu qu'ils échappent à la détection, les cyberpirates peuvent voler des données, des éléments de propriété intellectuelle et des informations sur les clients, ou encore perturber les activités métier.
La généralisation rapide du télétravail provoquée par la pandémie de COVID-19 ainsi que l'explosion du nombre de terminaux IoT ont considérablement élargi la surface d'attaque pour les cybercriminels, leur offrant ainsi de nombreux points d'accès aux réseaux.
La surveillance de l'intégrité des fichiers offre un niveau de protection important pour les fichiers sensibles, les données, les applications et les terminaux grâce à des analyses, des vérifications et des contrôles réguliers de l'intégrité de ces ressources. Elle permet également d'identifier plus rapidement les problèmes de sécurité potentiels et d'améliorer la précision des efforts de correction de l'équipe de réponse à incident.
Cas d'usage de la surveillance de l'intégrité des fichiers
Vous trouverez ci-dessous quelques cas d'usage courants d'un outil de gestion de l'intégrité des fichiers :
Détection d'une cyberattaque
Lors des premières phases d'une attaque complexe, les cybercriminels peuvent avoir besoin de modifier certains fichiers critiques liés au système d'exploitation ou aux applications. Les cyberattaquants les plus ingénieux peuvent même intervenir sur les fichiers journaux pour effacer toute trace de leurs activités. Les outils de surveillance de l'intégrité des fichiers permettent toutefois de détecter ces modifications, dans la mesure où ils analysent les fichiers en fonction d'une version de référence, au lieu de simplement examiner les fichiers journaux.
Accélération de la détection des menaces, de la réponse à incident et de la correction
En détectant une menace aux premiers stades de la chaîne de frappe cybercriminelle (cyber kill chain), les entreprises augmentent leurs chances d'empêcher la compromission avant qu'elle ne provoque des dégâts coûteux ou importants. La surveillance de l'intégrité des fichiers renforce considérablement la capacité des entreprises à détecter des attaques que d'autres mesures de sécurité n'auraient pas forcément détectées.
Identification des faiblesses au sein de l'infrastructure informatique
Bien qu'innocentes par nature, certaines modifications apportées par des administrateurs ou des collaborateurs peuvent malencontreusement exposer l'entreprise à des risques importants. La surveillance de l'intégrité des fichiers permet d'identifier et de corriger ces vulnérabilités avant qu'elles ne soient exploitées par des cyberadversaires.
Simplification des mesures de mise en conformité
Les entreprises évoluent dans un environnement réglementaire de plus en plus complexe. Dans quasiment tous les secteurs, les entreprises sont obligées de contrôler leur environnement informatique et de communiquer les mesures mises en place pour assurer la conformité aux principales réglementations, notamment la loi HIPAA (Health Insurance Portability & Accountability Act), le règlement général sur la protection des données (RGPD), la norme ISO 17799 ou encore la norme PCI DSS (Payment Card Industry Data Security Standard).
Comment fonctionne la surveillance de l'intégrité des fichiers
Vous trouverez ci-dessous les six principales mesures prises par les entreprises pour une surveillance efficace de l'intégrité des fichiers :
Définition d'une règle d'intégrité des fichiers : avant qu'un outil de surveillance de l'intégrité des fichiers puisse être déployé, l'entreprise doit préciser quelles ressources seront surveillées et quels types de modifications devront être détectés.
Établissement d'un cadre de référence : les outils de surveillance de l'intégrité des fichiers créent une référence initiale qui servira de point de comparaison pour toutes les activités ultérieures. Sont ainsi pris en compte l'ensemble des attributs des fichiers, notamment la taille, le contenu, les paramètres d'accès, les privilèges, les identifiants de connexion et les valeurs de configuration.
Application d'une signature de hachage cryptographique : dans le cadre de l'établissement du cadre de référence, l'équipe informatique affecte à chaque fichier une signature de hachage cryptographique inaltérable. Toute modification apportée aux fichiers, qu'elle soit autorisée ou non, modifie également la valeur de hachage du fichier, ce qui simplifie grandement la détection des altérations et des mises à jour de fichiers.
Contrôle, analyse et vérification de l'intégrité des fichiers : un outil de surveillance de l'intégrité des fichiers compare les valeurs de hachage des fichiers afin de détecter de manière rapide et précise toute modification anormale. Les équipes informatiques peuvent toutefois exclure certaines modifications des contrôles afin d'éviter le déclenchement d'alertes en cas de mise à jour ou de changement programmé.
Émission d'une alerte : dès qu'une modification inattendue ou non autorisée est détectée, l'outil de surveillance de l'intégrité des fichiers avertit également l'équipe de sécurité des informations de la nécessité d'une investigation approfondie et d'une éventuelle correction.
Génération de rapports et respect des réglementations : dans certains cas, les entreprises doivent signaler les compromissions aux autorités compétentes, comme prévu par la loi. Les outils de surveillance de l'intégrité des fichiers permettent à l'équipe responsable des questions réglementaires de compiler ces informations à des fins de génération de rapports.
Comment choisir l'outil de surveillance de l'intégrité des fichiers le mieux adapté
Bien que la surveillance de l'intégrité des fichiers soit une mission critique des équipes de cybersécurité, de nombreux outils ne proposent pas les fonctions opérationnelles, de personnalisation, de configuration et d'intégration dont les entreprises ont réellement besoin.
Vous trouverez ci-dessous une liste de questions utiles à l'heure de sélectionner l'outil de surveillance de l'intégrité des fichiers le mieux adapté à votre entreprise :
Compatibilité
- La solution de surveillance de l'intégrité des fichiers est-elle compatible avec tous les autres aspects de l'architecture de cybersécurité existante de l'entreprise ?
- L'outil de surveillance de l'intégrité des fichiers peut-il prendre en charge les règles d'intégrité des fichiers déjà déployées dans l'entreprise ?
Personnalisation
- L'outil de surveillance de l'intégrité des fichiers peut-il être personnalisé de façon à prendre en charge les cas d'usage spécifiques de détection des menaces et de correction identifiés par l'entreprise ?
- Le logiciel de surveillance de l'intégrité des fichiers permet-il d'automatiser et de simplifier l'application de mesures de mise en conformité réglementaire spécifiques à l'entreprise ?
- La solution de surveillance de l'intégrité des fichiers permet-elle la prise en charge de fonctionnalités complémentaires dont l'entreprise pourrait avoir besoin à l'avenir ?
Configuration
- Quel niveau d'assistance le fournisseur offre-t-il pendant la phase de configuration pour limiter les alertes non pertinentes et faire la part des choses entre les menaces réelles et les faux positifs ?
- Dans quel délai le logiciel de surveillance de l'intégrité des fichiers peut-il être mis à jour ? En quoi consiste le processus de contrôle qualité prévu pour garantir le bon fonctionnement des configurations existantes ?
Convivialité
- L'outil de surveillance de l'intégrité des fichiers permet-il d'automatiser l'analyse des fichiers et, si oui, dans quelle mesure ?
- Les contrôles de sécurité de la solution de surveillance de l'intégrité des fichiers peuvent-ils être facilement activés ou désactivés, et mis à jour selon les besoins ?
- Comment les alertes de l'outil de surveillance de l'intégrité des fichiers sont-elles transmises à l'équipe informatique ?
- Dans quel format les données des alertes sont-elles présentées pour permettre une exploitation efficace des informations ?
Intégration
- Comment l'outil de surveillance de l'intégrité des fichiers s'intègre-t-il à l'architecture de cybersécurité existante de l'entreprise (solution SIEM incluse) ?
- Quel niveau d'assistance le fournisseur offre-t-il pour garantir que l'outil de surveillance de l'intégrité des fichiers s'intègre correctement à d'autres outils ou technologies ?