Le contrôle d'installation de logiciels est l'ensemble des règles et mécanismes qui définissent quels logiciels peuvent être installés, par qui, et selon quel processus. L'ISO 27002 mesure 8.19 recommande cinq principes de contrôle :

• Politique d'installation claire : définir quels logiciels sont autorisés, interdits, et selon quelles conditions (catalogue applicatif approuvé)
• Validation sécurité préalable : analyser tout nouveau logiciel avant autorisation (vulnérabilités, licence, éditeur, maintenance)
• Restriction des privilèges : utilisateurs standards sans droits administrateur, installation réservée aux administrateurs ou processus contrôlés
• Whitelisting applicatif : bloquer par défaut toute exécution sauf applications explicitement autorisées (liste blanche)
• Surveillance et détection : monitorer les installations non autorisées, détecter le shadow IT, alerter sur logiciels interdits

Ces principes visent à maintenir un environnement applicatif maîtrisé, sécurisé et conforme.

Malwares et ransomwares

Source d'infection majeure : logiciels piratés téléchargés sur sites non officiels (cracks, keygens) contiennent souvent des malwares, faux installeurs imitant logiciels légitimes (fake Adobe Reader, fake Chrome), freeware douteux avec adwares/spywares intégrés, clés USB personnelles avec logiciels infectés.

Exemple : employé télécharge "crack Photoshop" → ransomware chiffre tous les serveurs accessibles.

Vulnérabilités non patchées

Logiciels obsolètes ou non maintenus : applications abandonnées par l'éditeur (plus de correctifs de sécurité), versions anciennes avec vulnérabilités connues (CVE publics), logiciels de niche peu audités avec failles non découvertes.

Exemple : vieille version Java installée localement → exploitation EternalBlue via applet malveillante.

Exfiltration de données

Certains logiciels collectent abusivement des données : applications gratuites qui monétisent via collecte de données, outils "légitimes" avec clauses contractuelles abusives (accès données), keyloggers cachés dans certains logiciels, synchronisation cloud non maîtrisée (Dropbox perso, WeTransfer).

Exemple : outil de capture d'écran gratuit qui envoie toutes les captures vers serveurs tiers.

Conflits et instabilité

Installations anarchiques causent problèmes techniques : conflits entre logiciels (DLL hell, dépendances incompatibles), performances dégradées (multitude de logiciels en démarrage), système instable (plantages fréquents), difficultés de support (impossible de diagnostiquer avec environnements hétérogènes).

Non-conformité licences

Installations non contrôlées créent risques juridiques : logiciels commerciaux sans licence (piratage, amendes lourdes), dépassement nombre de licences achetées (audit éditeur = redressement), licences inadaptées (utilisation commerciale avec licence personnelle), open source avec licences contraignantes non respectées (GPL, AGPL).

Catalogue applicatif approuvé

Liste des logiciels autorisés : logiciels standards : suite bureautique (Microsoft 365, LibreOffice), navigateurs (Chrome, Edge, Firefox), outils communication (Teams, Zoom, Slack), logiciels métier : ERP, CRM, applications spécifiques validées, logiciels techniques : IDE pour développeurs (Visual Studio, IntelliJ), outils spécialisés selon fonction.

Le catalogue est publié et accessible à tous les employés. Toute demande d'ajout au catalogue passe par un processus de validation.

Catégories d'interdiction

Interdits absolus : logiciels piratés (cracks, keygens), peer-to-peer (BitTorrent, eMule), outils de contournement (VPN personnels non approuvés, proxies), outils de hacking même à but éducatif (sauf équipe sécurité autorisée), jeux vidéo (sauf postes dédiés ou autorisation explicite).

Tolérés avec validation : nouveaux logiciels non encore au catalogue (demande formelle), logiciels open source (validation sécurité et licence), versions alternatives d'outils standards (demande justifiée).

Processus de demande

Procédure pour demander un nouveau logiciel : 1. Demande formelle : formulaire avec justification métier, nom logiciel, éditeur, version, coût, nombre utilisateurs, 2. Analyse sécurité : recherche vulnérabilités connues (CVE), vérification éditeur (réputation, pérennité), analyse licence (conformité, restrictions), scan antivirus installeur, 3. Test en environnement isolé : installation en machine virtuelle de test, vérification comportement (connexions réseau, fichiers créés), compatibilité avec environnement existant, 4. Validation responsable : responsable informatique valide aspect technique, responsable métier valide pertinence, direction valide coût si significatif, 5. Ajout au catalogue : documentation installation, déploiement via outils centralisés (SCCM, Intune), formation utilisateurs si nécessaire.

Délai typique : 1-2 semaines pour demande standard, 1-2 jours pour urgence validée.

Principe du moindre privilège

Utilisateurs standards ne doivent pas avoir de droits administrateur : comptes utilisateurs standards : tous les postes utilisateurs configurés en compte standard (non-admin), impossible d'installer logiciels sans élévation de privilèges, impossible de modifier configuration système.

Comptes administrateurs séparés : administrateurs IT ont deux comptes (compte standard pour usage quotidien, compte admin pour tâches d'administration), utilisation compte admin uniquement quand nécessaire (principe "just-in-time admin").

UAC - User Account Control

Windows : User Account Control demande confirmation explicite pour actions privilégiées, utilisateur standard ne peut valider (nécessite credentials admin), même administrateur doit confirmer (évite élévation silencieuse).

Configuration recommandée : UAC au niveau maximum (Always notify), jamais désactiver UAC (vulnérabilité majeure).

Sudo sur Linux

Équivalent Unix/Linux : commandes privilégiées nécessitent sudo, logs de toutes utilisations sudo (traçabilité), timeout sudo (redemande mot de passe après 15 min).

Configuration : limiter qui peut utiliser sudo (/etc/sudoers), jamais donner NOPASSWD (dangereux).

Gestion des comptes locaux admin

Sur chaque poste Windows, un compte administrateur local existe : LAPS (Local Administrator Password Solution - Microsoft) : rotation automatique du mot de passe admin local, stockage sécurisé dans Active Directory, accès tracé et temporaire, empêche utilisation même mot de passe admin local partout (vulnérabilité Pass-The-Hash).

Principe de la liste blanche

Inverser la logique de sécurité : blacklist (liste noire) : bloquer ce qui est connu malveillant (approche traditionnelle antivirus), problème : nouveaux malwares non encore référencés passent, whitelist (liste blanche) : autoriser uniquement ce qui est explicitement approuvé, bloquer tout le reste par défaut, approche bien plus sécurisée mais plus contraignante.

Technologies de whitelisting

Windows AppLocker : intégré Windows (Pro/Enterprise), définit règles d'exécution par chemin, hash, certificat, éditeur, bloque applications non autorisées, peut fonctionner en mode audit (logs sans bloquer) puis enforcement.

Windows Defender Application Control (WDAC) : successeur AppLocker (plus puissant), protection niveau kernel, résiste même à attaques administrateur local, utilisé pour postes très sensibles.

Solutions tierces : Bit9 Carbon Black, McAfee Application Control, Ivanti Application Control, fonctionnalités avancées (apprentissage automatique, réputation globale).

Mise en œuvre progressive

Déploiement par phases : Phase 1 - Audit : mode surveillance uniquement (logs sans bloquer), identifier applications réellement utilisées, nettoyer applications obsolètes/non utilisées, Phase 2 - Whitelist serveurs : déployer en enforcement sur serveurs d'abord (environnement plus contrôlé), Phase 3 - Whitelist postes pilotes : groupe pilote d'utilisateurs pour valider, ajuster règles selon remontées, Phase 4 - Déploiement général : roll-out progressif sur tous les postes, support utilisateurs pour exceptions légitimes.

Durée typique : 3-6 mois pour déploiement complet en grande organisation.

Sites officiels uniquement

Télécharger depuis sources légitimes : sites éditeurs officiels : Chrome depuis google.com/chrome, Firefox depuis mozilla.org, Adobe depuis adobe.com, vérifier URL exacte (attention phishing : ad0be.com, micr0soft.com), Microsoft Store / Mac App Store : applications validées par éditeurs plateformes, sandboxées (isolement sécurisé), mises à jour automatiques gérées.

Éviter absolument : sites de téléchargement tiers (Download.com, Softonic, 01net), torrents et peer-to-peer, liens dans emails non sollicités, sites proposant versions "portables" non officielles.

Vérification intégrité

Valider authenticité des installeurs : signature numérique : vérifier certificat de l'installeur (propriétés fichier → Signatures numériques), certificat doit correspondre à l'éditeur attendu, hash SHA-256 : certains éditeurs publient hash de leurs installeurs (site officiel Linux), calculer hash du fichier téléchargé (certutil -hashfile sur Windows), comparer avec hash officiel.

Dépôts internes

Pour organisations moyennes/grandes : miroir interne : télécharger une fois installeurs validés, stocker sur serveur de fichiers interne, distribuer uniquement depuis ce dépôt interne, avantages : contrôle versions déployées, bande passante économisée (un téléchargement Internet vs N), sécurité (validation centralisée).

Outils de gestion de parc

Déployer logiciels de façon contrôlée : Microsoft SCCM (System Center Configuration Manager) : déploiement logiciels sur parc Windows, inventaire matériel et logiciels, distribution mises à jour, Microsoft Intune : gestion cloud (MDM), déploiement apps sur Windows/macOS/iOS/Android, PDQ Deploy : solution PME simple et efficace, Chocolatey : gestionnaire paquets Windows (type apt/yum), automatisation installations.

Avantages : installation silencieuse (sans intervention utilisateur), configuration standardisée, traçabilité complète (qui a installé quoi, quand), révocation possible (désinstallation à distance).

Portail self-service

Pour applications à la demande : utilisateur accède à catalogue via portail web ou app, clique pour demander installation, validation automatique (si dans catalogue pré-approuvé) ou manuelle, installation automatique déclenchée par système.

Exemples : Software Center (SCCM), Company Portal (Intune), ServiceNow Service Catalog.

Images de référence

Pour postes neufs ou réinstallations : golden image : image système complète pré-configurée (OS + drivers + logiciels standards + configuration sécurité), déploiement rapide de nouveaux postes (30 min vs 1 journée), environnement homogène garanti, maintenance images : mettre à jour images trimestriellement (patches, nouvelles versions logiciels), tester avant déploiement.

Qu'est-ce que le shadow IT ?

Logiciels/services utilisés sans validation IT : applications SaaS souscrites avec carte personnelle (Dropbox Pro, Trello, outils IA), logiciels portables sur clés USB (ne nécessitent pas installation), extensions navigateur non contrôlées, applications mobiles professionnelles non approuvées.

Risques : données entreprise dans services non sécurisés, perte visibilité et contrôle, non-conformité RGPD (sous-traitants non validés), coûts cachés et doublons.

Détection shadow IT

Monitoring réseau : analyser trafic réseau sortant (proxy, firewall), identifier connexions vers services SaaS inconnus (box.com, wetransfer.com si non approuvés), CASB (Cloud Access Security Broker) : solutions comme Microsoft Defender for Cloud Apps, Netskope, détectent et contrôlent usage cloud apps, inventaire automatisé : scanners de postes (SCCM, LanSweeper) détectent logiciels installés, comparer avec catalogue autorisé, identifier écarts.

Approche constructive

Ne pas uniquement sanctionner : comprendre le besoin : pourquoi utilisateurs cherchent alternatives ? (outils IT insuffisants, trop lents à obtenir ?), proposer alternatives approuvées : si Dropbox utilisé pour partage, proposer OneDrive Entreprise équivalent sécurisé, simplifier processus de demande : si trop bureaucratique, les gens contournent.

Communication : sensibiliser aux risques (perte de données, fuite confidentialité), promouvoir solutions approuvées (portail self-service visible).

Maintenir les logiciels à jour

Installation n'est pas une action unique : mises à jour automatiques : activer pour logiciels critiques (navigateurs, Java, Adobe Reader), Windows Update géré centralement (WSUS, Intune), mises à jour contrôlées : applications métier testées avant déploiement (compatibilité), déploiement via SCCM/Intune après validation.

Cycle de vie des logiciels

Gérer obsolescence : versions supportées : maintenir uniquement versions encore supportées par éditeur, planifier migrations avant fin de support (Windows 7 → 10 → 11), retrait logiciels obsolètes : désinstaller applications abandonnées ou remplacées, nettoyer catalogue régulièrement.

Formation initiale

Lors de l'arrivée : expliquer politique d'installation, montrer catalogue disponible et portail self-service, clarifier process de demande pour logiciel non catalogué, expliquer pourquoi restrictions (sécurité, pas contrôle arbitraire).

Rappels réguliers

Communication continue : campagnes de sensibilisation trimestrielles, exemples concrets d'incidents (ransomware via logiciel piraté), valoriser comportements sécurisés (signalement logiciels suspects).

Support réactif

Faciliter conformité : réponse rapide aux demandes légitimes (< 48h), alternative proposée si logiciel demandé refusé, aide à l'utilisation outils approuvés.

• Droits admin à tous : donner droits administrateur à tous les utilisateurs "pour éviter les appels support" est l'erreur la plus dangereuse. Aucune exception, comptes standards obligatoires.
• Pas de whitelist sur serveurs : laisser possibilité d'exécuter n'importe quoi sur serveurs expose à ransomwares et webshells. Whitelist stricte sur serveurs obligatoire.
• Catalogue jamais mis à jour : maintenir un catalogue obsolète pousse au shadow IT. Révision trimestrielle et ajouts rapides pour demandes légitimes.
• Process trop bureaucratique : si obtenir un logiciel prend 3 semaines, les gens contourneront. Équilibre sécurité vs agilité nécessaire.

Le contrôle d'installation de logiciels repose sur une politique claire définissant un catalogue applicatif approuvé (logiciels autorisés après validation sécurité). La restriction des privilèges administrateur impose des comptes utilisateurs standards sans droits d'installation, avec élévation temporaire uniquement quand nécessaire via processus contrôlé. Le whitelisting applicatif (AppLocker, WDAC) bloque par défaut toute exécution sauf applications explicitement autorisées.

Les installations se font uniquement depuis sources officielles sécurisées, avec vérification de signature numérique et hash. Le déploiement centralisé via outils de gestion de parc (SCCM, Intune) garantit installations standardisées et traçables. La détection du shadow IT utilise monitoring réseau, CASB, et inventaire automatisé pour identifier applications non approuvées.

Le processus de demande (justification → analyse sécurité → test → validation → ajout catalogue) équilibre sécurité et agilité avec délai typique 1-2 semaines. La sensibilisation utilisateurs explique les restrictions et facilite l'adoption via portail self-service accessible. La maintenance continue met à jour les logiciels et retire les versions obsolètes du catalogue.