⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →

Défense des terminaux contre les logiciels malveillants : éléments de preuve ISO 27001 pour les réglementations européennes

Igor Petreski

Il est 07 h 42 un lundi. Un responsable financier ouvre une facture fournisseur issue d’un fil de courriels qui semble légitime. Quelques minutes plus tard, la console de détection sur les terminaux signale l’exécution suspecte d’un script, une tentative de persistance et un trafic sortant vers un domaine inconnu. L’agent EDR isole automatiquement l’ordinateur portable. La chaîne d’exécution du rançongiciel est interrompue avant le début du chiffrement.

La sécurité a fonctionné. Mais la question difficile vient ensuite.

Le RSSI ne se voit pas seulement demander : « Avons-nous arrêté le logiciel malveillant ? » Le directeur général et le conseil d’administration demandent : « Pouvons-nous prouver qu’il s’agissait d’une résilience conçue par défaut, et non de chance ? Pouvons-nous démontrer aux auditeurs, aux clients, aux autorités de régulation et aux assureurs que notre protection des terminaux a fonctionné conformément à ISO/IEC 27001:2022, à l’hygiène cyber NIS2, à la gestion des risques TIC DORA et à GDPR Article 32 ? »

C’est le défi central de la sécurité des terminaux en 2026. La protection des terminaux n’est plus seulement une fonction d’exploitation informatique. C’est un système d’éléments de preuve de conformité.

Une seule alerte de logiciel malveillant sur un ordinateur portable peut devenir un échantillon d’audit ISO/IEC 27001:2022, une évaluation d’incident significatif NIS2, un enregistrement d’incident lié aux TIC au titre de DORA, une qualification de violation de données à caractère personnel au titre de GDPR, une discussion sur le risque fournisseur et une revue de gouvernance par le conseil d’administration. Les organisations qui gèrent correctement cette situation ne se contentent pas de déployer un EDR. Elles relient politique, inventaire, contrôles techniques, surveillance, réponse aux incidents, qualification juridique, contrats fournisseurs, indicateurs et amélioration continue dans un récit de contrôle défendable.

Clarysec observe le même schéma dans les environnements SaaS, fintech, services managés et environnements numériques réglementés. La plupart des organisations disposent déjà d’outils solides : EDR, antivirus, MDM, scanners de vulnérabilités, SIEM, sécurité de la messagerie électronique, filtrage web, plateformes de sauvegarde et systèmes de ticketing. L’écart ne se situe généralement pas dans la technologie. Il se situe dans la conception des éléments de preuve.

Cet article montre comment constituer des éléments de preuve relatifs aux logiciels malveillants sur les terminaux, exploitables en audit, en utilisant ISO/IEC 27001:2022 comme socle du SMSI, la Politique de protection des terminaux contre les logiciels malveillants de Clarysec Politique de protection des terminaux contre les logiciels malveillants, la Politique de protection des terminaux contre les logiciels malveillants pour PME Politique de protection des terminaux contre les logiciels malveillants - PME, le Zenith Blueprint : feuille de route en 30 étapes pour l’auditeur Zenith Blueprint, et Zenith Controls : guide de conformité croisée Zenith Controls.

Pourquoi la défense des terminaux contre les logiciels malveillants est désormais un enjeu de conformité au niveau du conseil

Le terminal moderne est le point de rencontre entre l’identité, les données métier, le comportement utilisateur, les techniques d’attaque et la responsabilité réglementaire. Les ordinateurs portables se connectent depuis des réseaux domestiques et des aéroports. Les développeurs exécutent des outils locaux. Les dirigeants voyagent avec des courriels et des fichiers mis en cache. Les prestataires peuvent utiliser des équipements gérés ou partiellement gérés. Les téléphones mobiles approuvent les demandes MFA. Les charges de travail cloud et les serveurs se comportent comme des terminaux du point de vue d’un EDR.

Dans le Zenith Blueprint, phase Contrôles en action, étape 19 : Contrôles technologiques I, Clarysec décrit les équipements terminaux des utilisateurs comme les « portes et fenêtres » de l’organisation :

Les équipements terminaux des utilisateurs — ordinateurs portables, smartphones, tablettes, postes fixes et même clients légers — sont le point de départ des interactions numériques. Ce sont les portes et fenêtres de vos systèmes. Et, comme toute structure physique, ils doivent être renforcés, surveillés et contrôlés.

Ce cadrage est important, car la protection des terminaux ne se limite pas au blocage des logiciels malveillants. Elle doit démontrer que l’organisation sait quels équipements existent, encadre leur utilisation, applique des configurations de référence de sécurité, détecte les compromissions, répond de manière cohérente, conserve les éléments de preuve, restaure les opérations et s’améliore après les incidents.

Un programme mature de défense des terminaux contre les logiciels malveillants doit répondre sans hésitation à quatre questions d’audit :

  1. Connaissons-nous chaque terminal pouvant accéder aux systèmes métier ou aux données à caractère personnel ?
  2. Chaque terminal est-il protégé par une défense contre les logiciels malveillants ou un EDR approuvé et administré de manière centralisée ?
  3. Pouvons-nous prouver la configuration, l’analyse, les mises à jour, les alertes, les mises en quarantaine, l’isolement, l’investigation et la clôture ?
  4. Pouvons-nous relier les événements des terminaux au traitement des risques, à la réponse aux incidents, au reporting réglementaire, à la supervision des fournisseurs et à la revue de direction ?

ISO/IEC 27001:2022 fournit le système de management nécessaire pour répondre à ces questions. Les clauses 4.1 à 4.4 exigent que l’organisation définisse le contexte, les parties intéressées, les obligations légales et contractuelles, les interfaces, les dépendances et le domaine d’application du SMSI. Pour la protection des terminaux, le périmètre ne peut pas s’arrêter à « l’informatique de l’entreprise ». Il doit tenir compte du télétravail, des postes de travail à privilèges, des appareils mobiles, de l’accès cloud, des équipements gérés par des fournisseurs, des journaux des terminaux, des services SOC ou MDR externalisés et de tout terminal pouvant avoir un effet sur la sécurité de l’information.

Les clauses 5.1 à 5.3 rendent explicite la responsabilité de la direction. La direction doit soutenir le SMSI, attribuer les rôles, fournir les ressources et assurer l’alignement des politiques. Pour les terminaux, le conseil d’administration ne peut pas approuver des objectifs d’hygiène cyber tout en laissant sans réponse les licences EDR, le retard d’application des correctifs, les dérogations BYOD ou les lacunes d’escalade MDR.

Les clauses 6.1.1 à 6.1.3 constituent le moteur de traitement des risques. Les risques liés aux logiciels malveillants sur les terminaux doivent être identifiés, appréciés, traités, cartographiés avec les contrôles de l’Annexe A, reflétés dans la Déclaration d’applicabilité, puis acceptés par les propriétaires du risque lorsque du risque résiduel subsiste. Les clauses 8.1 à 8.3 transforment ensuite le traitement des risques en opérations maîtrisées, changements planifiés, appréciation des risques à intervalles définis ou après des changements significatifs, et résultats du traitement des risques.

Le récit d’audit n’est pas : « nous avons installé un EDR ». Le récit d’audit est : « le risque lié aux logiciels malveillants sur les terminaux est identifié, apprécié, traité, exploité, surveillé, testé, documenté par des éléments de preuve, reporté et amélioré ».

Le pont de politique Clarysec entre les paramètres EDR et les éléments de preuve d’audit

La politique est le point où la réalité technique devient une intention auditable. Sans politique, les configurations des terminaux ne sont que des paramètres d’outil. Avec une politique, ces paramètres deviennent des exigences de contrôle.

La Politique de protection des terminaux contre les logiciels malveillants d’entreprise de Clarysec établit ce pont dans la clause 1.3 :

La présente politique soutient directement la conformité à ISO/IEC 27001:2022 Clause 8.1 et au contrôle de l’Annexe A 8.7, et elle est alignée sur les obligations régionales de cybersécurité au titre de GDPR, NIS2 et DORA.

Cette clause donne à l’organisation un lien direct entre les opérations sur les terminaux et ISO/IEC 27001:2022, NIS2, DORA et GDPR. Les auditeurs peuvent ensuite vérifier si le programme réel de protection des terminaux correspond à l’engagement formulé dans la politique.

La même politique d’entreprise définit le modèle opérationnel attendu dans les exigences de gouvernance, clause 5.2 :

Tous les terminaux doivent être enrôlés dans des systèmes de protection contre les logiciels malveillants administrés de manière centralisée (par exemple EDR, antivirus ou plateformes équivalentes), avec une configuration de référence imposée.

C’est exactement le type d’énoncé apprécié des auditeurs, car il est testable. Si « tous les terminaux » doivent être enrôlés, les éléments de preuve doivent montrer la population complète des terminaux, la population EDR attendue, l’état d’enrôlement, les exceptions, les contrôles compensatoires et l’avancement de la remédiation.

Pour les PME, la Politique de protection des terminaux contre les logiciels malveillants donne des exigences directes et opérationnelles. La clause 5.1.3 indique :

Tous les terminaux doivent être enregistrés dans l’inventaire des actifs informatiques et reliés à l’outil de protection des terminaux utilisé

La clause 5.2.1 ajoute :

Tous les terminaux doivent exécuter uniquement des solutions antivirus ou EDR (détection et réponse sur les terminaux) approuvées par l’organisation

La clause 6.1.1.1 exige :

Exécuter en continu l’analyse antivirus et antimalware en temps réel

Et la clause 8.1.1 exige :

Les événements liés aux logiciels malveillants doivent être surveillés en continu au moyen de la console antivirus ou du tableau de bord EDR centralisé

Ensemble, ces clauses créent un test d’éléments de preuve simple mais puissant : montrer l’inventaire, montrer l’outil de protection des terminaux, montrer la configuration approuvée, montrer la surveillance continue, montrer les événements, montrer les tickets et montrer la clôture.

Cartographie des contrôles des terminaux avec ISO/IEC 27001:2022 et ISO/IEC 27002:2022

La protection des terminaux échoue souvent en audit parce que les équipes la traitent comme un seul contrôle. En réalité, la défense des terminaux contre les logiciels malveillants dépend de plusieurs contrôles qui se renforcent mutuellement.

Les contrôles centraux d’ISO/IEC 27002:2022 sont A.8.1 Équipements terminaux des utilisateurs et A.8.7 Protection contre les logiciels malveillants. Mais une défense efficace des terminaux repose aussi sur la gestion des vulnérabilités, la journalisation, la surveillance, la réponse aux incidents, les sauvegardes, le filtrage web, le contrôle des supports amovibles, la restriction des accès, la gestion des fournisseurs, la gouvernance des services cloud, la sensibilisation et la continuité d’activité.

Zenith Controls cartographie le contrôle ISO/IEC 27002:2022 A.8.7, Protection contre les logiciels malveillants, comme préventif, détectif et correctif. Il soutient la confidentialité, l’intégrité et la disponibilité, et se rattache naturellement à la sécurité des systèmes et des réseaux, à la protection de l’information et aux capacités de détection. Il montre également que A.8.1, Équipements terminaux des utilisateurs, est un contrôle préventif soutenant la confidentialité, l’intégrité et la disponibilité grâce à la gestion des actifs et à la gouvernance des terminaux.

Domaine de contrôle ISO/IEC 27002:2022Éléments de preuve à conserver pour les terminaux et les logiciels malveillantsPourquoi cela compte en audit
A.8.1 Équipements terminaux des utilisateursInventaire des actifs, rapports de conformité MDM ou UEM, état du chiffrement, paramètres de verrouillage de l’écran, capacité d’effacement à distance, contrôles BYODProuve que les terminaux sont connus, gouvernés et protégés avant que l’accès ne soit accordé
A.8.7 Protection contre les logiciels malveillantsRapports de déploiement EDR, paramètres de protection en temps réel, état des mises à jour, détections, mises en quarantaine, enregistrements d’isolement, traitement des faux positifsProuve que la prévention, la détection et la réponse aux logiciels malveillants sont actives et administrées de manière centralisée
A.8.8 Gestion des vulnérabilités techniquesScans de vulnérabilités, SLA d’application des correctifs, tickets de remédiation, approbations d’exceptions, contrôles compensatoiresMontre que l’exposition aux logiciels malveillants est réduite par la correction des faiblesses exploitables
A.8.15 Journalisation et A.8.16 Activités de surveillanceJournaux des terminaux, corrélation SIEM, qualification des alertes, éléments de preuve d’escalade, tableaux de bord, enregistrements de revueMontre que les événements liés aux logiciels malveillants sont visibles, revus et traités
A.5.24 à A.5.28 Gestion des incidentsProcédures de gestion des incidents, enregistrements de classification, actions de réponse, enseignements tirés, conservation des éléments de preuveMontre qu’un logiciel malveillant suspecté déclenche une gestion des incidents maîtrisée, et non un dépannage informel
A.8.13 Sauvegardes et A.5.30 Préparation des TIC à la continuité d’activitéRapports de réussite des sauvegardes, tests de restauration, paramètres de sauvegarde immuable, exercices de repriseMontre que la résilience face aux rançongiciels inclut la capacité de récupération
A.5.19 à A.5.23 Contrôles des fournisseurs et des services cloudContrats MDR, SLA de service EDR, exigences de sécurité fournisseurs, couverture des terminaux cloud, dispositions de sortieMontre que les services externalisés de protection des terminaux restent sous contrôle du SMSI

Zenith Controls est particulièrement utile parce qu’il montre comment la défense des terminaux dépend de contrôles adjacents. La protection contre les logiciels malveillants se rattache à A.5.7 Renseignement sur les menaces, car les défenses contre les logiciels malveillants doivent s’adapter à l’évolution des tactiques. Elle se rattache à A.8.8 Gestion des vulnérabilités techniques, car les logiciels malveillants exploitent fréquemment des faiblesses connues. Elle se rattache à A.8.15 Journalisation et A.8.16 Activités de surveillance, car les détections, les mises en quarantaine, les analyses et les mises à jour doivent être collectées et revues. Elle se rattache à A.8.23 Filtrage web, car les sites malveillants restent un vecteur d’infection courant. Elle se rattache à A.7.10 Supports de stockage, car les supports amovibles peuvent introduire des logiciels malveillants s’ils ne sont pas contrôlés.

Les équipements terminaux des utilisateurs se rattachent aussi à A.5.10 Utilisation acceptable des informations et autres actifs associés, A.6.7 Télétravail, A.8.3 Restriction de l’accès à l’information, A.8.5 Authentification sécurisée, A.6.3 Sensibilisation, éducation et formation à la sécurité de l’information, et A.6.6 Accords de confidentialité ou de non-divulgation.

En termes simples, un terminal sécurisé n’est pas seulement un équipement doté d’un agent. C’est un environnement de travail encadré par une politique.

Transformer une alerte de logiciel malveillant en chaîne d’éléments de preuve défendable

Revenons à l’événement de logiciel malveillant du lundi matin. L’agent EDR a isolé l’ordinateur portable, mais la préparation à l’audit dépend de la chaîne d’éléments de preuve qui suit.

Une bonne chaîne d’éléments de preuve pour les logiciels malveillants sur les terminaux comprend :

  • L’enregistrement d’actif indiquant le propriétaire, la fonction métier, la criticité, le type d’équipement, le système d’exploitation, le profil d’accès aux données et l’état du chiffrement.
  • L’enregistrement de protection du terminal indiquant l’état de santé de l’agent EDR, la politique appliquée, la protection contre l’altération, l’état des mises à jour et l’analyse en temps réel.
  • L’enregistrement de détection indiquant l’identifiant d’alerte, l’horodatage, l’arborescence des processus, la logique de détection, la gravité, les fichiers affectés, les indicateurs réseau et les actions automatisées.
  • L’enregistrement SIEM corrélant la télémétrie DNS, messagerie électronique, identité, proxy, cloud et terminal.
  • L’enregistrement de ticket indiquant la qualification, l’escalade, le confinement, l’éradication, le rétablissement, la cause racine et la clôture.
  • La décision d’incident indiquant si l’événement est resté un événement de sécurité ou est devenu un incident.
  • La qualification réglementaire indiquant si les seuils NIS2, DORA ou GDPR ont été examinés.
  • L’enregistrement des enseignements tirés indiquant l’ajustement de la politique, l’application des correctifs, l’action de sensibilisation, le ticket fournisseur ou la mise à jour du registre des risques.

La Politique de protection des terminaux contre les logiciels malveillants renforce ce modèle de réponse dans ses exigences de mise en œuvre de la politique, clause 6.3, intitulée :

Actions de réponse et de confinement

Pour les PME, la clause 6.3.1.2 est encore plus directe :

Le prestataire de support informatique doit mettre l’équipement en quarantaine, confirmer l’infection et conduire une analyse de la cause racine

Un événement de logiciel malveillant bloqué ne doit pas disparaître dans une console. S’il est suffisamment important pour être détecté, il l’est aussi pour être classifié, documenté et clôturé.

Éléments de preuve d’hygiène cyber NIS2 issus de la protection des terminaux

NIS2 fait de l’hygiène cyber de base un enjeu de gouvernance. Les organisations couvertes doivent comprendre si elles entrent dans le champ d’application, si elles sont des entités essentielles ou importantes, et comment s’appliquent les obligations nationales de transposition.

Pour la défense des terminaux contre les logiciels malveillants, Article 21 est la disposition clé. Il exige des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques pesant sur les réseaux et les systèmes d’information, et prévenir ou minimiser l’impact des incidents. Ces mesures comprennent l’analyse des risques et les politiques de sécurité des systèmes d’information, la gestion des incidents, la continuité d’activité, la sécurité de la chaîne d’approvisionnement, l’acquisition et la maintenance sécurisées, y compris le traitement des vulnérabilités, l’évaluation de l’efficacité, l’hygiène cyber de base et la formation, la cryptographie, la sécurité des ressources humaines, le contrôle d’accès, la gestion des actifs et, le cas échéant, l’authentification multifacteur ou l’authentification continue.

Les éléments de preuve relatifs aux terminaux se cartographient directement avec ces attentes.

Domaine de NIS2 Article 21Éléments de preuve de défense des terminaux contre les logiciels malveillants
Analyse des risques et politiques de sécuritéAppréciation des risques des terminaux, Politique de protection des terminaux contre les logiciels malveillants, Déclaration d’applicabilité, plan de traitement des risques
Gestion des incidentsEnregistrements d’alertes EDR, tickets d’incident, évaluation de la gravité, actions de confinement, enseignements tirés
Continuité d’activitéScénarios de rançongiciel, rapports de sauvegarde, tests de restauration, procédures de reprise
Sécurité de la chaîne d’approvisionnementContrats MDR ou MSP, matrice des responsabilités, conditions d’assistance aux incidents, droits d’audit
Traitement des vulnérabilitésSLA d’application des correctifs, scans de vulnérabilités, approbations d’exceptions, analyse des vulnérabilités exploitées
Évaluation de l’efficacitéRésultats d’audit interne, détections de test EDR, simulations d’hameçonnage, exercices sur table
Hygiène cyber de base et formationConformité à la configuration de référence des terminaux, enregistrements d’achèvement de sensibilisation, formation au phishing et aux logiciels malveillants
Contrôle d’accès et gestion des actifsInventaire des terminaux, cartographie utilisateur-équipement, accès conditionnel, contrôles des postes de travail à privilèges

NIS2 Article 23 est également important, car un logiciel malveillant peut devenir un incident significatif. S’il cause, ou pourrait causer, une perturbation opérationnelle grave, une perte financière ou un dommage matériel ou immatériel considérable à des tiers, un signalement par étapes peut être requis. NIS2 prévoit une alerte précoce dans les 24 heures, une notification d’incident dans les 72 heures, des mises à jour intermédiaires sur demande, et un rapport final dans le mois suivant la notification.

Les éléments de preuve des terminaux soutiennent chaque étape. L’alerte EDR fournit le premier indicateur. L’inventaire des actifs identifie les services affectés et leur criticité. Les données SIEM et les tickets soutiennent l’analyse d’impact. Les enregistrements de confinement prouvent l’action menée. L’analyse de la cause racine soutient le rapport final.

Une réponse prête pour NIS2 n’est pas : « nous avons un antivirus ». Elle est : « nous connaissons nos terminaux, appliquons la protection, surveillons en continu, classifions les incidents, formons les utilisateurs, gérons les vulnérabilités, conservons les éléments de preuve et signalons lorsque les seuils sont atteints ».

Gestion des risques TIC DORA et défense des terminaux contre les logiciels malveillants

Pour les entités financières, DORA crée un cadre sectoriel de résilience opérationnelle numérique. La défense des terminaux contre les logiciels malveillants se rattache fortement à la gestion des risques TIC, à la gestion des incidents, aux tests, à la continuité, au rétablissement et au risque lié aux prestataires tiers TIC.

DORA Article 5 place la responsabilité du risque TIC sur l’organe de direction. Article 6 exige un cadre de gestion des risques TIC solide, complet et documenté. Les Articles 8 et 9 exigent l’identification et la classification des fonctions métier supportées par les TIC, des actifs informationnels, des actifs TIC, des dépendances, des cybermenaces, des vulnérabilités, des configurations et des interdépendances. Ils couvrent aussi les politiques et outils de protection, de prévention, de détection, de contrôle d’accès, d’authentification forte, de gestion des changements et d’application des correctifs.

Les Articles 11 et 12 sont centraux pour la résilience face aux rançongiciels. Ils exigent une politique de continuité d’activité TIC, des plans de réponse et de rétablissement, des politiques de sauvegarde, des procédures de restauration, des tests et des contrôles d’intégrité. Article 17 exige un processus de gestion des incidents liés aux TIC permettant de détecter, gérer, classifier, enregistrer, escalader, communiquer et restaurer les opérations après incident. Article 19 crée des obligations de notification pour les incidents majeurs liés aux TIC. Les Articles 24 à 26 traitent des tests de résilience opérationnelle numérique. Les Articles 28 à 30 traitent du risque lié aux prestataires tiers TIC et des accords contractuels.

Préoccupation DORAÉléments de preuve utiles relatifs aux terminaux
Identification des actifs TICInventaire des terminaux, propriétaire, fonction métier, criticité, cartographie des dépendances
Protection et préventionConfiguration de référence EDR, état d’application des correctifs, contrôle d’accès, chiffrement, filtrage web, configuration sécurisée
DétectionAlertes EDR, corrélation SIEM, indicateurs d’alerte précoce, enrichissement par le renseignement sur les menaces
Gestion des incidents liés aux TICTicket d’incident lié à un logiciel malveillant, classification de gravité, rôles, actions, escalade, cause racine
Rétablissement et restaurationEnregistrement de reconstruction de l’équipement, éléments de preuve de sauvegarde ou de restauration de fichiers, contrôles d’intégrité
Tests de résilienceSimulation EDR, simulation d’hameçonnage, scans de vulnérabilités, tests d’intrusion, exercices sur table
Risque lié aux prestataires tiers TICContrat fournisseur MDR ou EDR, SLA, droits d’audit, assistance en cas d’incident, plans de sortie

Pour une entité financière, le même incident de logiciel malveillant qui démontre le fonctionnement de A.8.7 peut aussi fournir des éléments de preuve prudentiels DORA : classification des actifs, fonctionnement des contrôles, gestion des incidents, capacité de rétablissement, historique des tests, responsabilité des tiers et supervision par la direction.

GDPR Article 32 et qualification des violations de données à caractère personnel

GDPR Article 32 exige des responsables du traitement et des sous-traitants qu’ils mettent en œuvre des mesures techniques et organisationnelles adaptées au risque. Ces mesures comprennent la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et services de traitement, la capacité à rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci, ainsi que des tests, analyses et évaluations réguliers des mesures de sécurité.

Les logiciels malveillants sur les terminaux deviennent des éléments de preuve GDPR lorsqu’un terminal peut accéder à des données à caractère personnel : dossiers clients, tickets de support, fichiers RH, exports, informations liées aux paiements, informations de santé, données de catégories particulières, journaux d’authentification ou applications cloud contenant des données à caractère personnel.

La question de protection des données dépend des faits. Le logiciel malveillant s’est-il exécuté ? A-t-il accédé à des fichiers ? A-t-il capturé des identifiants ? Des jetons ont-ils été volés ? Des données ont-elles été exfiltrées ? Le terminal était-il chiffré ? Le compte a-t-il été désactivé ? Les sessions ont-elles été révoquées ? Les journaux étaient-ils disponibles ? Les données à caractère personnel affectées ont-elles été identifiées ? Le risque pour les personnes a-t-il été évalué ?

La télémétrie des terminaux est souvent le seul moyen de répondre à ces questions de manière crédible.

Un dossier d’éléments de preuve relatif aux terminaux, prêt pour GDPR, doit relier la classification des données et les registres des traitements, les chemins d’accès depuis les terminaux, le chiffrement, la restriction des accès, la télémétrie EDR, les journaux SIEM, l’analyse de l’exfiltration de données, les actions de réinitialisation des identifiants, les enregistrements de restauration, la revue juridique, la décision relative à la violation et les enseignements tirés.

Les équipes Protection des données doivent participer à la conception des playbooks d’incident sur les terminaux. Attendre la survenance d’un incident de logiciel malveillant pour demander si des données à caractère personnel ont été affectées crée un risque évitable en matière de responsabilité.

Constituer en 30 minutes un dossier d’éléments de preuve sur les logiciels malveillants des terminaux

Avant votre prochain audit, choisissez une détection de logiciel malveillant sur terminal des 90 derniers jours, même si elle était de faible gravité ou concernait un fichier de test bloqué. Constituez un dossier d’éléments de preuve comme si l’auditeur l’avait sélectionné comme échantillon.

Utilisez le Zenith Blueprint, phase Contrôles en action, étape 19, comme script de revue. L’étape 19 demande aux équipes de revoir la stratégie de protection contre les logiciels malveillants en vérifiant que tous les terminaux disposent d’un antimalware ou d’un EDR installé, actif, mis à jour automatiquement et administré de manière centralisée ; que l’analyse en temps réel couvre les types de fichiers, l’activité réseau et les supports amovibles ; que des protections au niveau des passerelles existent ; que les journaux récents de logiciels malveillants ou les mises en quarantaine sont investigués et résolus ; et que les utilisateurs reçoivent une formation continue de sensibilisation au phishing et aux logiciels malveillants.

Collectez ces éléments de preuve :

  1. Enregistrement d’actif : nom de l’équipement, numéro de série, utilisateur, propriétaire, unité métier, emplacement, type d’équipement, système d’exploitation, criticité, profil d’accès aux données.
  2. Enrôlement EDR : capture d’écran ou export montrant que l’agent est installé, actif, à jour, que la politique est appliquée et que la protection contre l’altération est activée.
  3. Conformité à la configuration de référence : chiffrement, verrouillage de l’écran, pare-feu, statut d’administrateur local, niveau d’application des correctifs, état des logiciels interdits.
  4. Enregistrement de détection : identifiant d’alerte, horodatage, nom ou comportement de détection, gravité, arborescence des processus, fichiers affectés, indicateurs réseau.
  5. Action de confinement : mise en quarantaine, isolement, arrêt de processus, suppression de fichier, reconstruction de l’équipement, réinitialisation des identifiants.
  6. Notes d’investigation : qualification par l’analyste, cause racine, vecteur phishing, vecteur web, vecteur d’exploitation, évaluation des données affectées.
  7. Décision d’incident : événement de sécurité ou incident, évaluation des seuils NIS2, DORA et GDPR lorsque pertinent.
  8. Éléments de preuve de clôture : clôture du ticket, approbation, enseignements tirés, mise à jour du registre des risques si nécessaire.
  9. Indicateurs : délai de détection, délai de confinement, délai de remédiation, nombre d’alertes similaires, statut de faux positif.
  10. Action d’amélioration : domaine bloqué, ajustement d’une règle de messagerie, déploiement d’un correctif, affectation d’une sensibilisation utilisateur, escalade fournisseur.

Comparez ensuite le dossier d’éléments de preuve à votre politique. Si la politique d’entreprise indique que tous les terminaux doivent être enrôlés dans une protection contre les logiciels malveillants administrée de manière centralisée avec une configuration de référence imposée, pouvez-vous le prouver ? Si la politique PME indique que les événements liés aux logiciels malveillants doivent être surveillés en continu au moyen de la console antivirus ou du tableau de bord EDR centralisé, pouvez-vous montrer le tableau de bord, le réviseur, l’alerte, le ticket et la clôture ?

C’est ainsi que les données EDR deviennent des éléments de preuve d’audit.

Comment différents auditeurs testent les mêmes contrôles des terminaux

Différentes équipes d’assurance examineront la protection des terminaux sous des angles différents. Les éléments de preuve peuvent être les mêmes, mais les questions changent.

Angle de l’auditeurCe qui est généralement testéÉléments de preuve qui répondent à la question
Auditeur ISO/IEC 27001:2022Les contrôles des terminaux sont-ils sélectionnés par le traitement des risques, inclus dans la Déclaration d’applicabilité, mis en œuvre, surveillés et améliorés ?Appréciation des risques, entrée de la SoA, politique des terminaux, rapport de déploiement EDR, tickets de surveillance, résultats d’audit interne
Réviseur de l’hygiène cyber NIS2La sécurité des terminaux soutient-elle une gestion proportionnée des risques, la gestion des incidents, le traitement des vulnérabilités, le contrôle d’accès, la gestion des actifs et la formation ?Inventaire des terminaux, conformité à la configuration de référence, alertes EDR, enregistrements d’incident, indicateurs d’application des correctifs, enregistrements de formation
Réviseur du risque TIC DORALa défense des terminaux soutient-elle l’identification des actifs TIC, la résilience, la gestion des incidents, les tests, la continuité et la supervision des prestataires tiers TIC ?Cartographie des actifs TIC, classification des incidents, résultats de tests de résilience, éléments de preuve de sauvegarde, contrat MDR, reporting à la direction
Réviseur Protection des données GDPRLes contrôles des terminaux soutiennent-ils la sécurité du traitement et l’évaluation des violations ?Cartographie des accès aux données, chiffrement, journaux, analyse de l’exfiltration de données, qualification des violations, éléments de preuve de confinement et de restauration
Évaluateur NIST CSF 2.0Les résultats de gouvernance, d’identification, de protection, de détection, de réponse et de rétablissement sont-ils intégrés ?Profil actuel et cible, inventaire des actifs, contrôles d’accès, surveillance, réponse aux incidents, éléments de preuve de rétablissement
Réviseur de gouvernance de type COBIT 2019La propriété, les objectifs, la performance, le risque et l’assurance sont-ils définis ?RACI, KPI, KRI, reporting au conseil, éléments de preuve du propriétaire de contrôle, exceptions, suivi de la remédiation
Auditeur interne ISACALes contrôles sont-ils conçus efficacement et fonctionnent-ils de manière cohérente sur les échantillons ?Tests par échantillonnage, captures d’écran, exports de configuration, approbations d’exceptions, réexécution des contrôles de surveillance

NIST CSF 2.0 est particulièrement utile comme langage de liaison avec la direction. Sa fonction GOVERN soutient les attentes des parties prenantes, les obligations légales, l’appétence au risque, la responsabilité, la politique, les ressources et la supervision. Ses fonctions opérationnelles aident à expliquer comment la gestion des actifs, le contrôle d’accès, la protection des données, la surveillance, la réponse aux incidents, le confinement, l’éradication, le rétablissement et les communications fonctionnent ensemble.

Dans les projets Clarysec, ISO/IEC 27001:2022 fournit le socle formel du SMSI, Zenith Controls fournit le guide de cartographie de conformité croisée, et NIST CSF 2.0 fournit une couche de communication adaptée au conseil d’administration.

Les services de terminaux gérés par les fournisseurs font partie du modèle d’éléments de preuve

De nombreuses organisations externalisent une partie de la défense des terminaux à des MSP, MSSP, fournisseurs MDR, prestataires de bureaux cloud ou fournisseurs EDR. L’externalisation peut améliorer les capacités, mais elle n’externalise pas la responsabilité.

NIS2 Article 21 inclut la sécurité de la chaîne d’approvisionnement et les relations avec les fournisseurs. DORA va plus loin pour les entités financières en exigeant une stratégie de gestion des risques liés aux prestataires tiers TIC, des registres des accords contractuels, des diligences préalables, une analyse du risque de concentration, des droits d’audit et d’inspection, des droits de résiliation, une assistance en cas d’incident, des stratégies de sortie et une répartition claire des responsabilités. L’Annexe A d’ISO/IEC 27001:2022 inclut des contrôles relatifs aux relations fournisseurs, aux accords avec les fournisseurs, aux contrôles de la chaîne d’approvisionnement TIC, à la surveillance et à la gestion des changements des services fournisseurs, ainsi qu’à l’acquisition, l’utilisation, la gestion et la sortie des services cloud.

Les éléments de preuve d’externalisation des terminaux doivent comprendre :

  • Les diligences préalables relatives aux fournisseurs avant l’intégration.
  • Les clauses contractuelles relatives à la surveillance, à la notification des incidents, à l’accès, à la localisation des données, aux droits d’audit, aux niveaux de service et à la coopération.
  • La matrice des responsabilités pour la qualification des alertes, l’isolement, l’analyse de la cause racine, le reporting et la conservation des éléments de preuve.
  • Les rapports montrant la performance du fournisseur et la conformité aux SLA.
  • Les éléments de preuve montrant que les incidents fournisseurs et les interruptions de plateforme sont revus.
  • Le plan de sortie si le fournisseur EDR ou MDR échoue, est résilié ou devient inacceptable.
  • La confirmation que les journaux et les éléments de preuve forensiques restent disponibles pour l’organisation.

Une défaillance d’audit fréquente est un tableau de bord MDR sans propriétaire. L’organisation peut voir les alertes, mais ne peut pas prouver qui détient le risque, ce que le prestataire doit faire, comment la qualité des alertes est revue, ni comment les éléments de preuve sont conservés à des fins réglementaires et juridiques.

Les indicateurs qui transforment les outils de terminaux en éléments de preuve pour la direction

Les conseils d’administration et les autorités de régulation n’ont pas besoin du volume brut d’alertes. Ils ont besoin d’indicateurs montrant si le risque lié aux logiciels malveillants sur les terminaux est maîtrisé.

IndicateurPourquoi il est important
Pourcentage de couverture des terminauxMontre si les terminaux connus sont protégés par un EDR ou un antimalware approuvé
Nombre de terminaux non gérésMet en évidence les défaillances d’inventaire, d’intégration ou de shadow IT
Pourcentage d’état de santé des agentsMontre si les agents sont actifs, à jour et transmettent leurs données
Conformité des correctifs sur les terminaux critiquesRelie l’exposition aux logiciels malveillants à la gestion des vulnérabilités
Délai moyen de détectionMontre l’efficacité de la surveillance
Délai moyen d’isolementMontre la rapidité de confinement pour les rançongiciels et logiciels malveillants
Récurrence des logiciels malveillants par utilisateur ou unité métierIdentifie les faiblesses de formation, de processus ou d’accès
Taux d’échec de mise en quarantaineMontre si les actions de réponse sont fiables
Exceptions à haut risque ouvertes au-delà du SLAMontre la discipline de gouvernance
Taux de réussite des tests de restaurationMontre la résilience si un logiciel malveillant cause une perturbation
Incidents avec analyse de la cause racine achevéeMontre l’apprentissage et l’amélioration continue

Ces indicateurs soutiennent l’évaluation de la performance et la revue de direction ISO/IEC 27001:2022, la supervision par l’organe de direction NIS2, la gouvernance et la stratégie de gestion des risques TIC DORA, la responsabilité GDPR et la planification de l’audit interne.

La section Application et conformité de la Politique de protection des terminaux contre les logiciels malveillants d’entreprise, clause 8.2, indique :

L’audit interne doit réaliser des revues périodiques de la conformité de la protection des terminaux, notamment :

L’audit interne peut transformer les indicateurs ci-dessus en test de contrôle trimestriel : échantillonner des terminaux, comparer l’inventaire à l’enrôlement EDR, vérifier l’analyse en temps réel, examiner l’état d’application des correctifs, confirmer que les utilisateurs ne peuvent pas désactiver la protection, inspecter les alertes récentes liées aux logiciels malveillants et suivre les alertes sélectionnées de la détection à la clôture.

Lacunes courantes dans les éléments de preuve des terminaux observées par Clarysec

Même les organisations matures ont des difficultés avec la qualité des éléments de preuve relatifs aux terminaux. Les mêmes lacunes apparaissent régulièrement :

  • L’inventaire des actifs et l’inventaire EDR ne correspondent pas.
  • Les postes de travail des développeurs sont moins contrôlés que les ordinateurs portables standard.
  • Les appareils mobiles sont exclus des éléments de preuve relatifs aux terminaux.
  • L’accès BYOD est autorisé sans contrôles applicables du niveau de sécurité des équipements.
  • Les agents EDR sont installés, mais la protection contre l’altération est désactivée.
  • Les alertes sont surveillées par un prestataire, mais les règles d’escalade sont floues.
  • Les logiciels malveillants mis en quarantaine ne sont pas reliés à un ticket d’incident.
  • L’analyse de la cause racine est omise pour les détections « bloquées ».
  • Les exceptions d’application des correctifs ne comportent pas d’approbation du propriétaire du risque ni de dates d’expiration.
  • Les journaux sont conservés pendant une période trop courte pour soutenir l’évaluation des violations.
  • La restauration des sauvegardes est testée de manière générale, mais pas contre des scénarios de rançongiciel.
  • Le reporting au conseil présente des volumes d’alertes plutôt qu’une réduction du risque.

La solution n’est pas d’ajouter des tableurs. La solution est un modèle opérationnel connecté dans lequel politique, inventaire, configuration des terminaux, surveillance, réponse aux incidents, gestion des fournisseurs, qualification réglementaire, indicateurs et tests d’audit se renforcent mutuellement.

Dix jours ouvrés pour rendre la défense des terminaux contre les logiciels malveillants auditable

Si vous avez besoin d’un point de départ rapide, réalisez ces actions au cours des dix prochains jours ouvrés :

  1. Exportez votre inventaire des terminaux et votre inventaire EDR, puis rapprochez-les.
  2. Identifiez les terminaux non gérés, inactifs, obsolètes, en double et faisant l’objet d’exceptions.
  3. Confirmez les paramètres d’analyse en temps réel, de protection contre l’altération, de mise à jour automatique, d’isolement et de mise en quarantaine.
  4. Échantillonnez cinq alertes liées aux logiciels malveillants et reliez chacune à l’investigation et à la clôture.
  5. Vérifiez si les événements des terminaux peuvent soutenir la qualification des incidents NIS2, DORA et GDPR.
  6. Revoyez les contrats fournisseurs MDR, MSP et EDR pour l’assistance aux incidents, l’accès aux éléments de preuve, les droits d’audit, les SLA et les conditions de sortie.
  7. Ajoutez la couverture des terminaux, l’état de santé des agents, le délai d’isolement, la conformité d’application des correctifs et l’achèvement de l’analyse de la cause racine au reporting de direction.
  8. Exécutez un échantillon d’audit interne à l’aide de la liste de contrôle Zenith Blueprint étape 19.
  9. Utilisez Zenith Controls pour cartographier A.8.1 et A.8.7 avec la journalisation, la surveillance, la gestion des vulnérabilités, la réponse aux incidents, les contrôles fournisseurs et le rétablissement.
  10. Mettez à jour votre référentiel de gouvernance à l’aide de la Politique de protection des terminaux contre les logiciels malveillants de Clarysec ou de la Politique de protection des terminaux contre les logiciels malveillants pour PME.

La défense des terminaux contre les logiciels malveillants en 2026 ne consiste pas seulement à arrêter les rançongiciels. Elle consiste à prouver que votre organisation peut prévenir, détecter, contenir, rétablir, notifier et s’améliorer.

Clarysec peut vous aider à transformer la protection des terminaux d’un simple déploiement d’outil en un système d’éléments de preuve défendable de conformité croisée. Téléchargez la Politique de protection des terminaux contre les logiciels malveillants, commencez par la Politique de protection des terminaux contre les logiciels malveillants pour PME si vous avez besoin d’un modèle opérationnel plus léger, utilisez le Zenith Blueprint pour mettre en œuvre les contrôles, et utilisez Zenith Controls pour relier vos éléments de preuve relatifs aux terminaux à ISO/IEC 27001:2022, NIS2, DORA, GDPR Article 32, NIST CSF 2.0 et aux attentes d’audit.

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article