La tendance aux environnements de travail en mode hybride a forcé les entreprises à réfléchir à la manière de protéger leur entreprise contre l’utilisation accrue de terminaux « apportez votre propre appareil » (BYOD) et d’autres nouveaux appareils. Ce n’est pas un petit défi, comme le savent les entreprises MSP (fournisseurs de services gérés). L’essor du travail à distance représente l’un des changements les plus importants que nous ayons jamais connus dans le domaine de la cybersécurité.
Et tous ces nouveaux appareils distants présentent un risque unique pour vos clients. En moyenne, les terminaux BYOD non découverts sont 71 % plus susceptibles de faire partie d’une cyber-fraude. Nous savons pourquoi, bien sûr. Lorsque les équipes chargées de la sécurité et de l’informatique ne disposent pas d’une vue d’ensemble des appareils présents sur un réseau, elles ne sont guère en mesure de définir les bons paramètres et configurations de sécurité, d’exécuter les mises à jour et de corriger les vulnérabilités des systèmes d’exploitation et des logiciels.
Les appareils non découverts constituent une menace que tous les professionnels de l’informatique devraient connaître. Dans cet article, nous aborderons les méthodes courantes pour traquer les appareils non découverts et non gérés, les sécuriser et mettre en place des politiques qui minimisent cette menace particulière.
Quels sont les risques liés aux terminaux non gérés ?
BYOD et les travailleurs à distance ne sont pas quelque chose de nouveau. Les MSP les gèrent depuis de nombreuses années, car les réseaux d’entreprise s’enrichissent d’un flux constant de nouveaux appareils qui échappent au contrôle du service informatique. L’évolution vers la mobilité et l’IdO a conduit à un grand nombre de terminaux ingérables qui représentent un risque de sécurité évident.
Les éclairages intelligents, les claviers Bluetooth, les téléviseurs intelligents, les caméras de surveillance, les imprimantes, les commutateurs réseau et les routeurs sont autant d’appareils connectés qui ne disposent souvent d’aucune sécurité intégrée. Lorsque les acteurs de la menace recherchent les faiblesses d’un réseau, ces appareils constituent un angle mort facilement exploitable.
Qu’est-ce qu’un « appareil non géré » ?
Les appareils non gérés peuvent être définis comme des appareils connectés à un réseau IP sur lesquels aucun agent ou solution de configuration n’est installé et qui ne sont pas sécurisés par un agent de terminal.
Dans cette Étude Forrester, 69% des personnes interrogées ont déclaré que la moitié ou plus des appareils présents sur leurs réseaux étaient des appareils non gérés ou des appareils IoT qui échappaient à leur visibilité. En outre, 26% ont indiqué qu’ils avaient trois fois plus d’appareils non gérés que d’appareils gérés sur leurs réseaux. L’étude a également montré que 79% des professionnels de la sécurité en entreprise étaient très ou extrêmement préoccupés par la sécurité des appareils
Comment découvrir les appareils non gérés sur le réseau ?
Il y a une raison pour laquelle il y a tant d’appareils perdus dans ces réseaux : il n’est pas facile de trouver des appareils non gérés. Un MSP ne peut pas simplement demander à Active Directory d’afficher les appareils qui ne sont pas gérés. Il est possible de comparer manuellement les données AD et les logiciels de gestion de réseau, mais cette méthode est longue et sujette aux erreurs.
La plupart des MSP utilisent (ou ont besoin) d’une solution capable de corréler et de dédupliquer automatiquement les données afin de les mettre sur la voie la plus rapide pour corriger le problème.
Types de données nécessaires à la recherche de appareils non gérés
Dans le cadre d’une recherche manuelle typique d’appareils non gérés, vous aurez besoin des sources de données suivantes :
- Données sur les réseaux et les infrastructures : Obtenir une visibilité sur tous les appareils d’un environnement en accédant à l’infrastructure du réseau
- Services d’annuaire : Services comme Active Directory ou Azure AD qui authentifient les utilisateurs et les appareils
- Solutions de gestion des terminaux : Services tels que SCCM et Jamf Pro
Utilisation de Microsoft Defender pour découvrir les appareils non gérés
Microsoft a ajouté à Microsoft Defender for Endpoint la possibilité de découvrir et de sécuriser les terminaux et les périphériques réseau non gérés. Comme il s’agit d’une fonction intégrée, aucun déploiement de matériel ou de logiciel n’est nécessaire dans les environnements informatiques compatibles.
Une fois que les appareils réseau sont découverts à l’aide de cette méthode, les administrateurs informatiques reçoivent les dernières recommandations en matière de sécurité et les dernières vulnérabilités concernant ces appareils. Les terminaux découverts peuvent être intégrés à Microsoft Defender for Endpoints.
Les solutions natives de Microsoft présentent des limites évidentes. La plupart des MSP ont besoin d’une solution qui soit agnostique en termes de système d’exploitation et de technologie et qui soit capable de découvrir n’importe quel appareil dans n’importe quel environnement.
Utilisation de NinjaOne pour découvrir les terminaux non gérés
NinjaOne permet de s’assurer facilement que tous les terminaux sont entièrement gérés grâce à la découverte et au déploiement automatisés des actifs à l’aide de Microsoft Active Directory. Des analyses périodiques peuvent être programmées pour identifier les appareils non gérés et déployer un agent de gestion sur le bien de manière optimale. Les appareils compatibles SNMP sont également facilement détectables par la sonde de surveillance du réseau intégrée.
Tous les actifs sont automatiquement regroupés et consultables en fonction des points de données collectés, ce qui rend la recherche et la gestion d’un actif incroyablement rapides et faciles. Grâce à des champs personnalisés flexibles, vous pouvez collecter presque toutes les données sur un terminal pour la classification et la gestion des appareils.
Comment maintenir les terminaux non gérés hors du réseau ?
Dans un monde parfait, il ne devrait pas être nécessaire de trouver et de gérer des appareils non autorisés. Vous ne savez que trop bien que dans les réseaux opérationnels réels, de nouveaux appareils trouveront toujours leur place sur le réseau. Les MSP et leurs clients peuvent prendre des mesures pour réduire le nombre de dispositifs non autorisés et non gérés sur le réseau, et pour déterminer qui est responsable de ces appareils.
Selon la FAQ CISA sur la gestion des accès les mesures suivantes peuvent être prises pour réduire le nombre d’appareils non autorisés et non gérés qui apparaissent sur le réseau :
- La politique peut exiger des administrateurs qu’ils placent les nouveaux appareils dans l’inventaire de l’état souhaité avant de les ajouter. Souvent, les administrateurs système connectent de nouveaux appareils, puis les corrigent et les configurent sur le réseau de production. Cela permet de compromettre les appareils. En outre, les appareils sont souvent ajoutés au réseau avant d’être enregistrés dans Active Directory (ou toute autre source de données utilisée pour l’état souhaité). Faire en sorte que les administrateurs tiennent à jour l’état souhaité (édité avant que la machine n’apparaisse) réduira le nombre de conditions de risque liées à la gestion des actifs matériels.
- La journalisation permet de savoir quand des appareils non autorisés et non gérés sont connectés au réseau, à quoi ils sont connectés et qui s’y est connecté. Toutes ces données peuvent aider à déterminer qui a connecté les appareils. Une fois la personne trouvée, lui faire savoir ce que l’on attend d’elle peut empêcher la création de ces conditions de risque.
- Les employés devront être formés. Les personnes qui connectent fréquemment des appareils non autorisés et qui le font après avoir été dûment averties doivent subir des conséquences. Bien que ces mesures ne permettent pas d’éliminer tous les appareils non autorisés et non gérés, elles peuvent réduire leur taux d’incidence, ce qui constitue une étape positive.
Défis liés aux appareils non gérés
Si les appareils non gérés présentent des risques de sécurité inhérents, plusieurs facteurs peuvent influer sur l’ampleur du danger qu’ils représentent. Les fournisseurs de services informatiques et les entreprises doivent être conscients de ces défis et des multiplicateurs de menaces :
Absence d’évaluation des risques
Comme pour le reste du réseau, il est essentiel d’évaluer les risques liés aux appareils non gérés. Existe-t-il des vulnérabilités connues ou des problèmes de configuration ? Cela peut s’avérer difficile lorsqu’il n’est pas possible de placer un agent sur l’appareil. Un outil de découverte des appareils et un agent flexibles (et agnostiques sur le plan technologique) peuvent donc s’avérer très utiles.
Appareils intrinsèquement risqués
Certains appareils présentent des problèmes graves contre lesquels il sera difficile de se prémunir.
Le peer-to-peer est notoirement difficile à sécuriser, et des recherches ont montré que ces appareils peuvent être accessibles à distance sur l’internet, même à travers un pare-feu, parce qu’ils sont configurés pour trouver en permanence des moyens de se connecter à un réseau mondial partagé.
Il est important d’évaluer les outils et le matériel IoT pour découvrir les risques potentiels et éviter les exploits P2P. Vous devez également vous renseigner sur la politique de mise à jour du micrologiciel de l’appareil et maintenir ces appareils à jour (comme toujours).
Configurations par défaut/mauvaise configuration
Les problèmes de configuration ont été à l’origine de nombreuses violations de données. Des configurations par défaut largement connues peuvent donner aux cybercriminels les clés de votre réseau. Des mesures simples telles que la modification ou la suppression de l’identifiant par défaut de l’administrateur de vos caméras de sécurité peuvent s’avérer très utiles. Les mots de passe et les informations d’identification doivent être gérés avec soin, et il faut se méfier des comptes de porte dérobée non documentés.
Les erreurs de configuration constituent un autre problème majeur. Outre les erreurs de contrôle d’accès, les utilisateurs laissent souvent des fonctions inutiles activées, comme le système UPnP (Universal Plug-and-Play), ou ouvrent par inadvertance des ports qui peuvent servir de points d’accès pour les pirates.
Absence de segmentation du réseau
L’installation d’un pare-feu entre chaque appareil et l’internet peut empêcher les pirates de se faufiler dans le réseau. Les professionnels de l’informatique doivent mettre en œuvre la segmentation du réseau en classant les appareils non gérés dans leurs propres segments de réseau, séparément des appareils de l’entreprise et du réseau des invités. Cela empêchera les acteurs de la menace d’utiliser un appareil non géré comme point d’entrée, puis de se déplacer latéralement pour exfiltrer des données ou installer des logiciels malveillants. Il existe des moyens de contourner la segmentation, même si vous suivez toutes les bonnes pratiques en matière de segmentation du réseau, mais cette mesure vaut la peine d’être appliquée.
Mauvaise gestion des actifs
Toute liste de bonnes pratiques en matière de cybersécurité, y compris le cadre de cybersécurité du NIST, vous dira que l’identification de tous les appareils de votre réseau est un élément fondamental de la sécurité. Il ne suffit pas de rechercher les appareils physiquement connectés à votre réseau ; les appareils qui se connectent via Wi-Fi et Bluetooth doivent également être gérés.
Absence de contrôle continu
La majorité des appareils non gérés sont plus difficiles à analyser que les ordinateurs traditionnels connectés à un réseau. Il est donc d’autant plus important de surveiller leur utilisation/comportement et de rechercher tout ce qui est suspect. La collecte de logs, l’apprentissage automatique et le SIEM/SOCjouent tous un rôle dans la pile de cybersécurité moderne pour cette raison essentielle.
Partenariat avec NinjaOne
Une visibilité complète est essentielle pour une gestion efficace. NinjaOne est là pour aider les entreprises MSP à gérer leur activité de manière efficace et sécurisée. Des milliers d’utilisateurs s’appuient sur notre plateforme RMM pour gérer les complexités de la gestion informatique moderne.
Vous n’êtes pas encore partenaire de NinjaOne ? Nous voulons vous aider à simplifier vos opérations de services gérés ! Visitez notre blog pour des ressources MSP et des guides utiles, inscrivez-vous à Bento pour recevoir des conseils importants dans votre boîte aux lettres électronique, et participez à nos Live Chats pour des discussions en tête-à-tête avec des experts du canal.
Si vous êtes prêt à devenir un partenaire NinjaOne, planifiez une démonstration ou commencez votre essai de 14 jours pour voir pourquoi plus de 10 000 clients ont déjà choisi NinjaOne comme partenaire pour la gestion à distance sécurisée.