Contrôle 2 — Inventaire et contrôle des actifs logiciels
Seuls les logiciels connus et approuvés doivent fonctionner dans votre environnement. Le Contrôle 2 vise à éliminer les logiciels non autorisés et à s'assurer que tous les logiciels approuvés sont maintenus à jour et supportés.
Pourquoi ce contrôle est critique ?
Les attaquants exploitent régulièrement des logiciels légitimes mais non mis à jour (navigateurs, plugins PDF, Java) ou des malwares déguisés en utilitaires gratuits. Une PME avec un inventaire logiciel à jour peut bloquer automatiquement l'exécution de tout programme non listé (liste blanche), réduisant drastiquement la surface d'attaque. Cette approche est particulièrement efficace contre les ransomwares qui s'appuient sur des exécutables inconnus.
Procédures & outils recommandés
Commencer par une liste blanche applicative : définir quels logiciels sont autorisés pour chaque rôle (comptabilité, ventes, direction, IT). Utiliser les politiques de groupe (GPO) sous Windows ou les profils MDM sous macOS pour bloquer l'installation non autorisée. Vérifier mensuellement les logiciels installés versus la liste approuvée. Identifier et planifier la migration des logiciels EOL.
- Windows AppLocker / WDAC — liste blanche intégrée à Windows Pro/Enterprise
- PDQ Inventory (gratuit) — audit des logiciels installés sur tous les postes
- Lansweeper — inventaire logiciel automatisé avec alertes EOL
- Intune — gestion centralisée des applications Microsoft 365
- Snyk — pour les projets de développement (bibliothèques tierces)
Tableau des Safeguards
7 Safeguards au total : 3 IG1, 3 IG2, 1 IG3.
| # | Action (Safeguard) | IG | Classe d'actif |
|---|---|---|---|
| 2.1 | Établir et tenir à jour un inventaire de tous les logiciels autorisés sur les actifs de l'entreprise, incluant la version, l'éditeur et la date d'installation. | IG1 | Applications |
| 2.2 | S'assurer que tous les logiciels autorisés sont activement supportés par leur éditeur (pas en fin de vie/EOL). Planifier le remplacement des logiciels sans support. | IG1 | Applications |
| 2.3 | Identifier et supprimer ou désactiver les logiciels non autorisés sur tous les actifs. Traiter les détections dans les 30 jours. | IG1 | Applications |
| 2.4 | Utiliser des outils automatisés pour inventorier les logiciels installés et comparer à la liste autorisée. Générer des alertes pour les logiciels non autorisés détectés. | IG2 | Applications |
| 2.5 | Implémenter une liste blanche applicative (allowlist) pour autoriser uniquement les logiciels approuvés à s'exécuter sur les appareils. Tout programme inconnu est bloqué par défaut. | IG2 | Applications |
| 2.6 | Autoriser uniquement les bibliothèques logicielles approuvées (DLL, JAR, .so) à se charger dans les processus applicatifs. | IG2 | Applications |
| 2.7 | Utiliser des contrôles d'intégrité basés sur des hachages pour autoriser uniquement les scripts approuvés (PowerShell, Python, JS côté serveur) à s'exécuter. | IG3 | Applications |
Application pour les PME québécoises
La priorité IG1 la plus impactante : le Safeguard 2.2 — vérifier quels logiciels sont en fin de support (Windows 7/10 21H2, Office 2013/2016 ancien, Flash Player). Utiliser PDQ Inventory pour un audit rapide et gratuit. Ensuite, le Safeguard 2.3 : désinstaller tout ce qui n'est pas utilisé — réduction immédiate de la surface d'attaque. La liste blanche (2.5) est plus complexe mais faisable avec Windows AppLocker sur Windows 10/11 Pro.
Quiz de validation — 5 questions
1. Que signifie un logiciel "EOL" ?
2. Dans quel délai traiter les logiciels non autorisés détectés (Safeguard 2.3) ?
3. Qu'est-ce qu'une "liste blanche applicative" (allowlist) ?
4. Quel outil Windows intégré permet une liste blanche applicative ?
5. Combien de Safeguards IG1 contient le Contrôle 2 ?
Voir aussi