Qu’est-ce que l’intégrité des fichiers ?

Si vous connaissez la sécurité informatique, vous devez avoir entendu CIA triad: un modèle de sécurité qui couvre différentes parties de la sécurité informatique. En tant que membre de la triade de la CIA, l’intégrité des fichiers fait référence aux processus et implémentations visant à protéger les données contre les modifications non autorisées telles que les cyberattaques. L’intégrité d’un fichier indique si le fichier a été modifié par des utilisateurs non autorisés après sa création, lors de son stockage ou de sa récupération. La surveillance de l’intégrité des fichiers (FIM) est un mécanisme de contrôle qui examine les fichiers et vérifie si leur intégrité est intacte et alerte les processus de sécurité pertinents et / ou les professionnels si des fichiers ont subi des modifications. Ce type de logiciel considère chaque changement comme un problème d’intégrité suspect s’il n’est pas défini comme une exception. Comme les réseaux et les configurations deviennent de plus en plus complexes au fil du temps, la surveillance de l’intégrité des fichiers est un must. En outre, il est l’un des outils les plus préférés pour la détection des violations et des logiciels malveillants, et est un avantage pour de nombreuses réglementations de conformité. PCI DSS fait référence à FMI dans deux sections de sa politique. En tant qu’outil contre les logiciels malveillants, FMI prouve ses atouts. Le premier geste d’un attaquant lorsqu’il accède à un système est d’apporter des modifications à des fichiers importants afin qu’ils passent inaperçus. En utilisant un moniteur d’intégrité de fichier, vous attrapez un intrus au moment où il essaie de modifier les fichiers et les configurations. De plus, les outils FMI vous permettent de voir ce qui a exactement changé quand. De cette façon, vous détectez momentanément une violation de données, avant qu’une véritable attaque nuisible ne se produise.

Mais comment fonctionne la FIM?

Dans les environnements dynamiques, les fichiers et les configurations changent rapidement et sans interruption. La caractéristique la plus importante de la FIM est de distinguer le changement autorisé du changement non autorisé, même dans les systèmes les plus agiles. Pour ce faire, les FIMS peuvent utiliser l’une des deux méthodes : la somme de contrôle et le hachage. Pour la méthode de somme de contrôle, une base de référence fiable et fiable est détectée et l’état actuel du fichier est comparé à la base de référence. Cette comparaison comprend généralement le calcul d’une somme de contrôle cryptographique connue de l’état de base et de l’état actuel. Le hachage, ou vérification basée sur le hachage, consiste à comparer la valeur de hachage du fichier à une valeur précédemment calculée. Si les deux correspondent, l’intégrité du fichier est intacte. En plus des valeurs de hachage, les valeurs de configuration, le contenu, les informations d’identification, les attributs de base et la taille, les privilèges et les paramètres de sécurité peuvent être surveillés pour détecter toute modification inattendue. Les actes FIM sont assez souvent automatisés à l’aide d’applications ou de processus. De tels actes FIM peuvent être effectués en temps réel, à des intervalles prédéfinis ou de manière aléatoire en fonction des besoins de l’entreprise et du système. Pour satisfaire les besoins de votre entreprise, FIM doit s’intégrer à d’autres domaines de vos mesures de sécurité tels que le système SIEM. Par exemple, la comparaison de vos données de modification avec d’autres données d’événements et de journaux vous permet d’identifier plus rapidement les causes et la corrélation.