Nos Micro-Services

Qu’est-ce que la surveillance de l’intégrité des fichiers ? Et en avez-vous besoin ?

par | Mai 2, 2022 | Hébergement | 0 commentaires

L’environnement informatique d’une entreprise est un lieu en constante évolution. Les logiciels et le matériel évoluent. Il en va de même pour les fichiers de configuration et d’autres actifs importants. La plupart de ces changements sont autorisés – ils se produisent lorsque les fichiers sont corrigés, par exemple. Mais les changements inattendus sont source d’inquiétude. C’est là que la surveillance de l’intégrité des fichiers entre en jeu.

La surveillance de l’intégrité des fichiers, ou FIM, ne se limite pas à savoir ce qui se passe sur votre système. Il s’agit de préserver la sécurité des données personnelles et d’éviter une attaque tout en se conformant aux réglementations. Voyons ce qu’est le FIM, pourquoi vous en avez besoin et comment il fonctionne.

Qu’est-ce que la surveillance de l’intégrité des fichiers ?

Le contrôle d’intégrité des fichiers vous donne une visibilité au niveau des fichiers sur ce qui est important pour votre organisation. Cela comprend :

  • Fichiers de configuration
  • Données clients
  • Informations sur la santé
  • Fichiers de clés et d’informations d’identification
  • Fichiers d’applications système

Ensuite, FIM vous permet de savoir qui modifie, supprime ou déplace les fichiers, et qui a un accès non autorisé à ces fichiers.

Certaines normes réglementaires exigent des entreprises qu’elles sachent qui a accès aux fichiers critiques et quelles modifications ont été apportées. Le FIM est obligatoire pour les entreprises qui doivent respecter des réglementations de conformité telles que NERC CIP, NIST CSF et PCI DSS, entre autres. Bien que le FIM ne soit pas spécifiquement requis pour le GDPR et l’HIPAA, il peut être utile lors des audits. Ce type de visibilité sur les actifs est important pour ces deux réglementations – donc dans ces cas, le FIM ne fera certainement pas de mal.

De quelles menaces vous protège-t-il ?

Lorsqu’un utilisateur non autorisé ou nuisible a accès à votre réseau, il peut modifier tout ce qu’il veut. Il peut également supprimer les journaux d’événements pour éviter d’être détecté. Voici le pire scénario possible : Une alerte FIM se déclenche parce que quelqu’un a obtenu un accès interne à votre réseau et modifie vos fichiers. L’attaquant peut analyser votre réseau pour trouver d’autres ressources et les compromettre, se faire passer pour un employé, voler des informations d’identification, etc. Si quelqu’un accède à votre système, il peut faire ce qu’il veut, du moins jusqu’à ce qu’il soit arrêté.

Comment fonctionne le FIM ?

Quel que soit le logiciel que vous choisissez, le FIM fonctionne essentiellement comme suit :

  • Vous définissez les fichiers système et les registres à surveiller. Idéalement, vous réduirez le champ d’application pour ne pas être infiltré par des alertes inutiles.
  • Vous établissez une ligne de base afin que l’outil FIM dispose d’un point de référence pour vérifier les fichiers.
  • L’outil FIM surveille les fichiers et les registres prédéterminés 24 heures sur 24.
  • Lorsqu’un événement critique se produit (un fichier qui est modifié ou supprimé, par exemple), l’outil FIM capture des données. Ces données comprennent l’événement qui a eu lieu, le bien affecté, l’utilisateur qui a effectué la modification et un horodatage.
  • L’analyse des données de l’événement avec d’autres données donne une image plus complète de ce qui s’est passé et si c’est hors norme.
  • Si l’événement est malveillant ou suspect, une alerte est émise. (Les bons changements, comme les correctifs et les mises à jour de sécurité, sont placés sur une liste blanche afin que vous ne receviez pas d’alerte)
  • L’outil FIM fournira (si tout va bien) d’autres données relatives à l’événement afin que votre équipe informatique puisse comprendre ce qui s’est passé exactement.

Comment mettre en œuvre la surveillance de l’intégrité des fichiers avec WordPress

La mise en œuvre du FIM avec WordPress va au-delà de la recherche d’un outil qui vous alertera lorsqu’un fichier est modifié. Il est préférable d’utiliser le FIM avec d’autres mesures de sécurité, comme la journalisation des audits et la surveillance des utilisateurs. Votre outil de sécurité doit être doté d’un système de détection à plusieurs niveaux, comprenant des règles de conformité et une détection proactive. Vous devez détecter d’autres actions plus tôt dans l’attaque afin de pouvoir les arrêter dès que possible.

Rapid7 est un système de suivi des événements de fichiers basé sur le cloud. Vous choisissez les actifs à surveiller, puis le logiciel surveille les modifications de fichiers et leur auteur. Vous recevrez une alerte si un fichier ou un dossier critique est supprimé, modifié ou déplacé. Vous pouvez également afficher des mesures en temps réel si vous souhaitez garder un œil sur l’activité en cours. En plus de l’alerte FIM, vous serez en mesure de voir tous les autres mouvements qui se sont produits autour d’elle afin que vous puissiez enquêter et répondre à l’attaque, et vous pouvez exporter l’activité de modification comme un tableau de bord graphique. Pour en savoir plus sur l’extension WordPress Rapid7 , cliquez ici.

Qualys est un autre outil FIM que vous pouvez utiliser pour WordPress. Pendant que vous déterminez l’étendue de ce que vous voulez surveiller, les profils prêts à l’emploi de Qualys vous permettent d’être opérationnel immédiatement, puis d’ajuster l’étendue au fur et à mesure que vous apprenez à connaître vos besoins. La plateforme en nuage permet également de détecter les changements en temps réel. Lorsqu’un fichier est modifié, les données recueillies comprennent l’utilisateur, le nom du fichier, les détails du bien et un horodatage. De plus, vous pouvez évoluer sans avoir à acheter plus de logiciels ou de stockage.

Parmi les autres outils FIM très appréciés, citons OSSEC et Tripwire. Nous avons également une liste des six meilleurs plugins de sécurité WordPress que vous pouvez installer dès maintenant, au cas où vous voudriez associer l’un d’entre eux à votre solution FIM.

Réflexions finales sur le contrôle de l’intégrité des fichiers

Si votre entreprise doit se conformer à des réglementations telles que la FISMA, la SOX ou une multitude d’autres réglementations qui requièrent un système de gestion de l’intégrité des fichiers, vous avez certainement besoin d’un outil de surveillance de l’intégrité des fichiers. Non seulement il assurera la sécurité de vos clients, de vos données, de vos fichiers et de votre système, mais il permettra également à votre entreprise d’être en règle lors d’un audit.

La principale chose à éviter est un piège dans lequel tombent de nombreuses entreprises : trop de bruit. S’il y a trop de fichiers sous surveillance, cela se traduira par une surabondance d’alertes FIM. Et si les alertes arrivent sans aucun contexte, il est impossible de déterminer ce qui est ou n’est pas une menace. Une solution FIM efficace ne surveille que les fichiers et dossiers nécessaires, puis fournit des alertes avec des informations utiles.

Enfin, n’oubliez pas ces deux meilleures pratiques de FIM. Soyez précis quant aux fichiers qui vont être surveillés. Si la surveillance est trop large, vous risquez d’être submergé par des alertes et des activités dès que quelque chose est modifié. Ensuite, prenez des mesures en examinant une alerte FIM. Il est important de savoir si d’autres utilisateurs ou actifs ont été affectés. Certains outils autonomes n’offrent pas ce contexte. Vous avez besoin d’un outil de gestion des journaux ou d’une plateforme d’investigation qui puisse vous aider dans votre enquête.

Utilisez-vous une solution FIM que vous suggérez ? Faites-nous en part !


Poster le commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *