Bien que la protection contre les logiciels malveillants et autres contrôles de sécurité des points finaux soient désormais standard au niveau du système d’exploitation, la mise à jour et la sécurité de tous les logiciels des points finaux restent un problème ouvert pour de nombreuses organisations. La gestion des correctifs n’est pas encore une commodité et des améliorations substantielles peuvent être apportées avec la bonne solution.
L’application de correctifs efficaces implique l’automatisation de l’ensemble du processus sans ralentir les points finaux ni interférer avec les opérations commerciales. Cela est vrai que vous soyez un administrateur informatique individuel ou un fournisseur de services de sécurité gérés (MSSP) qui s’adresse à plusieurs organisations clientes.
Gestion efficace des correctifs – une priorité croissante
Au moment où j’écris ces lignes, le déploiement du Patch Tuesday de juin 2024 par Microsoft présente un total typique de plus de 50 vulnérabilités, dont beaucoup sont jugées importantes et au moins une est considérée comme critique et ayant le potentiel de devenir « vermifuge ». Simultanément, Adobe, dont les applications se trouvent sur de nombreux ordinateurs portables d’entreprise, a publié des correctifs corrigeant 165 vulnérabilités, dont de nombreux bogues critiques.
Le même mois, l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté 9 vulnérabilités à son catalogue de vulnérabilités exploitées connues (KEV), qui répertorie les vulnérabilités Zero Day exploitées par les opérateurs de ransomwares et d’autres acteurs malveillants. Ceux-ci recherchent activement des vulnérabilités dans les équipements réseau (par exemple les passerelles VPN), les serveurs et bien sûr les points finaux, Windows étant naturellement la cible la plus populaire.
Avec cette vague d’activités tant du côté des fournisseurs que des attaquants, il n’est pas étonnant que 30 000 nouvelles vulnérabilités aient été publiées en 2023 (un record), le délai entre la divulgation de la vulnérabilité et son exploitation diminuant régulièrement – désormais à 19 jours ou moins.
Dans ce contexte, les organisations ont besoin d’une connaissance opérationnelle efficace de ce qui se passe dans un écosystème de points finaux distribués en termes de mise en œuvre de correctifs et d’exposition aux vulnérabilités. Ils doivent continuellement découvrir, prioriser et corriger les vulnérabilités de manière automatisée, ainsi qu’intervenir facilement avec des scripts et même un bureau à distance pour des tâches particulières.
Action 1 – Simplicité et sécurité fournies par le SaaS
Relativement nouveau venu sur le marché de la gestion des correctifs (la société a été fondée en 2018), Action1 apporte le poids et l’expérience en développement de produits de ses fondateurs, des vétérans de l’industrie qui ont auparavant cofondé et dirigé la société américaine Netwrix, un fournisseur de sécurité des données.
Action1 est une plateforme cloud native fournie par SaaS. Cela signifie qu’aucune ressource d’infrastructure, matérielle ou logicielle n’est nécessaire pour déployer et maintenir la solution, et surtout, aucun VPN connectant les points finaux et la console de gestion – une approche bienvenue pour toute équipe informatique débordée. Cela signifie également que vous pouvez vous inscrire en tant qu’utilisateur, vous inscrire et commencer en moins de cinq minutes.
Vous remarquez immédiatement qu’Action1 est parfaitement conscient de l’importance de la confiance et de la sécurité inhérentes à toute proposition SaaS, surtout si elle implique l’installation d’un logiciel sur chacun de vos points de terminaison.
Action1 suit les meilleures pratiques de sécurité, à commencer par l’authentification multifacteur (MFA) forcée pour ses clients se connectant à la console de gestion. Bien que la valeur par défaut soit la MFA basée sur le courrier électronique (ou la vérification en 2 étapes), les clients peuvent configurer la MFA basée sur une application (par exemple, Google Authenticator). De plus, les entreprises peuvent intégrer des fournisseurs d’identité externes tels que Microsoft Entra ID, Google, Okta ou Duo, tous prenant en charge plusieurs formes de MFA. Cela s’avère très important dans la mesure où les acteurs malveillants piratent désormais régulièrement les comptes protégés par mot de passe, en particulier dans les applications SaaS qui n’appliquent pas une certaine forme de MFA (à titre d’exemple, voir le récent incident Snowflake).
Figure 1 : Sécurisé dès la conception, MFA par défaut
Tout logiciel déployé sur les points finaux a des implications importantes en matière de sécurité de la chaîne d’approvisionnement. Pensez à l’attaque SolarWinds Orion ou à des exemples plus récents tels que Anydesk et LastPass.
Dans cet esprit, Action1 investit massivement dans les opérations de sécurité et la conformité : la plateforme est certifiée ISO 27001 et SOC 2 Type II, tandis que l’équipe des opérations met en œuvre divers contrôles de cybersécurité et suit des pratiques de sécurité conformes au NIST SP 800-171 et à la CMMC. Consciente des réglementations européennes en matière de confidentialité telles que le RGPD, l’entreprise a récemment étendu ses opérations avec un centre de données dédié dans l’Union européenne. Une installation distincte est également prévue en Australie.
L’application de contrôles de cybersécurité est essentielle pour qu’un fournisseur SaaS puisse instaurer la confiance, et l’entreprise semble en être consciente. Pour éviter toute utilisation malveillante de la plateforme, les clients souhaitant déployer des scripts personnalisés doivent passer un processus de vérification de compte supplémentaire. Dans le même temps, une piste d’audit robuste suit toutes les actions au sein de la console de gestion et les appels d’API.
Figure 2 : Une piste d’audit intégrée robuste
Obtenez 100 points de terminaison gratuitement et soyez opérationnel en quelques minutes
Ayant travaillé avec de nombreux logiciels de sécurité d’entreprise, j’ai remarqué que les acteurs établis du marché ont tendance à accumuler une dette technique importante, ce qui se traduit par des points de terminaison gonflés qui engendrent plusieurs processus et services assemblés à mesure que de nouvelles fonctionnalités sont ajoutées, ce qui finit par affecter sensiblement les performances des points de terminaison et entraver la productivité des employés.
Ce n’est pas le cas avec Action1 : l’expérience d’installation du point de terminaison est si rapide que vous pourriez penser à tort que le programme d’installation MSI ne s’est pas exécuté. Après quelques secondes, une vérification rapide avec le gestionnaire de tâches de Windows révèle un seul processus léger utilisant environ 10 Mo de mémoire RAM – une rareté de nos jours.
Bien entendu, pour les déploiements massifs dans des environnements Active Directory, ce processus peut être orchestré via une stratégie de groupe ou, plus préférablement, avec Action1 Deployer, un service qui découvre en permanence les postes de travail et les serveurs qui résident dans un domaine Active Directory ou une unité organisationnelle (UO ).
Immédiatement après l’installation, le point de terminaison est gérable et relève de la console de gestion : il s’agit d’une plate-forme SaaS cloud native conçue pour l’évolutivité, et l’ouverture d’un compte est tout aussi rapide que l’installation du point de terminaison.
Figure 3 : Conscience opérationnelle
Action1 est entièrement gratuit pour un maximum de 100 points de terminaison. Si vous en avez plus, vous bénéficiez toujours des 100 premiers gratuits. La simplicité s’étend au niveau commercial : il n’y a pas de forfaits ni de fonctionnalités premium, et toutes les fonctionnalités sont incluses dans des frais par point de terminaison.
Action1 fournit des évaluations de vulnérabilité gratuites, proposant des évaluations ponctuelles des vulnérabilités logicielles à l’échelle de l’entreprise. Pour utiliser ce service, créez un compte Action1 et installez les agents sur vos points de terminaison. L’analyse des vulnérabilités commence immédiatement après l’installation, chaque point de terminaison étant évalué une fois. Les résultats sont disponibles indéfiniment dans une vue agrégée sur la console Action1.
Fonctionnalités d’entreprise
Derrière sa simplicité, Action1 offre un ensemble complet de fonctionnalités d’entreprise conçues pour opérationnaliser rapidement un processus de gestion des correctifs et des vulnérabilités basé sur les risques.
Figure 4 : Présentation efficace des points de terminaison avec la possibilité d’exécuter rapidement des scripts, de déployer des logiciels ou des correctifs et de se connecter à un poste de travail distant sans surveillance.
L’accent est mis sur les déploiements automatisés et les politiques granulaires. Chaque automatisation est appliquée à un ensemble de points de terminaison, sélectionnés manuellement ou à un groupe, qui peuvent inclure ou exclure dynamiquement des éléments en fonction de divers critères de point de terminaison (par exemple, fabricant, membre de l’UO, adresse IP, etc.).
L’automatisation peut faire référence au déploiement de correctifs ou d’applications, à la désinstallation de logiciels ou à l’exécution de scripts conçus pour effectuer des actions spécifiques sur les points finaux : par exemple, désactiver l’USB à distance, activer ou désactiver le pare-feu Windows, créer des points de restauration, etc. Une bibliothèque organisée de scripts fournis par Action1 est disponible, mais les clients peuvent également en définir des personnalisés, en fonction de processus métier spécifiques.
Les automatisations peuvent être combinées pour affecter divers sous-ensembles de points de terminaison. Par exemple, vous pouvez définir une automatisation pour un groupe de test qui déploie les correctifs immédiatement après leur publication et avoir une politique distincte pour le reste qui retarde l’installation des nouveaux correctifs pendant, disons, sept jours. De cette façon, vous êtes en mesure de contrôler le processus et de résoudre tout problème potentiel pendant que le correctif est encore sur les points de terminaison de test avant le déploiement mondial.
Figure 5 : Déploiement de correctifs en fonction de critères granulaires – depuis les noms de fournisseurs et les noms d’applications (caractères génériques inclus), en passant par les gravités, jusqu’aux sources de mise à jour (dépôts organisés par Microsoft et Action1).
Il convient de noter que les déploiements de logiciels tiennent compte des environnements LAN et des contraintes de bande passante. Si plusieurs agents se trouvent sur le même réseau local, ils utiliseront un mécanisme de partage de fichiers P2P privé pour télécharger des fichiers.
En ce qui concerne les référentiels d’applications et de correctifs, Action1 est spécialement conçu pour l’application de correctifs d’applications tierces et s’appuie sur un référentiel de logiciels sécurisé et géré de manière privée avec une couverture de 99 % pour les environnements d’entreprise typiques (Adobe, Zoom, Chrome, etc.), évitant ainsi les référentiels publics comme WinGet ou Chocolaté.
Si vous êtes un fournisseur de services gérés (MSP) ou une entreprise avec plusieurs entités, Action1 vous permet de créer plusieurs organisations pour séparer leurs données les unes des autres. Des utilisateurs dotés de différents rôles et étendues peuvent ensuite être affectés à ces organisations.
Figure 6 : Rôles d’utilisateur granulaires entre des locataires distincts.
Les équipes d’automatisation et les MSSP apprécieront l’API REST intégrée et un module PowerShell simplifié (PSAction1), permettant l’orchestration des actions au sein de la plateforme et l’intégration avec des services externes. Par exemple, vous pouvez créer par programme des groupes de points de terminaison ou des automatisations, lire des informations et des rapports sur les points de terminaison, les exporter automatiquement vers une solution d’analyse commerciale ou Excel, etc.
La plate-forme peut également être utilisée pour interroger dynamiquement diverses informations de la population des points finaux via des extraits de collecte de données PowerShell. Les données peuvent ensuite être consommées dans des rapports ou ailleurs. Par exemple, vous pouvez interroger l’état de Windows Defender, les statistiques du disque, les journaux d’événements Windows, les processus en cours d’exécution ou toute autre donnée pouvant être obtenue via un script PowerShell – et intégrer cela dans des rapports, et peut-être automatiser la récupération via l’API REST. Les idées en matière de service d’assistance informatique et de productivité des opérations sont ici illimitées.
Points clés à retenir
Action1 est une proposition très simple mais puissante pour opérationnaliser la gestion des correctifs et des vulnérabilités sur l’ensemble de votre parc de points de terminaison. Il s’agit d’une plate-forme SaaS moderne dont la sécurité est une préoccupation majeure, où les clients peuvent être opérationnels en un rien de temps grâce à une intégration sans friction et une configuration facile.
Malgré sa facilité d’utilisation, Action1 est assez puissant et offre une configuration granulaire adaptée aux infrastructures informatiques distribuées dans les environnements d’entreprise.
Bien que les MSSP aiment utiliser des solutions de surveillance et de gestion à distance (RMM) pour leurs opérations et qu’Action1 ne prétende pas être compétitif sur le marché RMM, je trouve qu’Action1 est tout à fait à la hauteur, avec des fonctionnalités telles que le contrôle de bureau à distance, la gestion des vulnérabilités, le déploiement de logiciels, scripts à distance et collecte de données.
Action1 est actuellement centré sur Windows, sans prise en charge de macOS ou Linux. Cependant, la société annonce la disponibilité d’un client macOS dans la prochaine version majeure, et le support de Linux est également prévu.
Action1 cible les clients de taille moyenne et grande, ce qui se reflète dans le fait qu’il est entièrement gratuit jusqu’à 100 points de terminaison. Il s’agit d’une excellente initiative, qui permet d’attirer des clients à croissance rapide qui pourraient éventuellement se convertir en clients payants.
Les publicités sont très simples, sans offres groupées ni fonctionnalités premium payantes. Toutes les fonctionnalités décrites dans cette revue (et plus encore) sont incluses par défaut, alors que d’autres fournisseurs facturent généralement des fonctionnalités supplémentaires telles que la gestion des vulnérabilités, le SSO ou l’accès API.