National Institute of Standards and Technology (NIST) a publié la version finale de ses conseils sur la sécurisation des terminaux macOS et l'évaluation de leur sécurité.

Ces conseils sont issus du macOS Security Compliance Project (mSCP), un effort open source visant à créer des bases de sécurité personnalisées pour répondre aux besoins de cybersécurité de diverses organisations.

Selon le NIST, les nouvelles orientations publiées visent également à présenter le mSCP à un public plus large en offrant une vue d'ensemble du projet et de ses composants, et en fournissant des détails sur les cas d'utilisation courants.

"Ce document et le site GitHub du mSCP sont destinés aux administrateurs système, aux professionnels de la sécurité, aux auteurs de politiques, aux responsables de la protection de la vie privée et aux auditeurs qui ont des responsabilités impliquant la sécurité de macOS. En outre, les fournisseurs d'outils de gestion des périphériques, de sécurité, d'évaluation des configurations et de conformité qui prennent en charge macOS peuvent trouver ce document et le site GitHub utiles", indique le NIST.

La page GitHub du projet fournit des lignes de base sécurisées et des règles associées qui peuvent être utilisées comme des recommandations pratiques et exploitables pour configurer et gérer correctement la sécurité des dispositifs d'extrémité macOS.

Selon le NIST, les agences et les organisations "attendent généralement des conseils ou acceptent les risques avant de déployer la nouvelle version de macOS" chaque année, et beaucoup créent leur propre configuration de sécurité interne, ce qui retarde les déploiements. Avec mSCP à portée de main, les organisations seront en mesure de mettre à jour plus tôt.

"En général, les paramètres de sécurité technique de macOS ne changent pas radicalement d'une version à l'autre, et seule une poignée de nouveaux paramètres sont introduits. En poursuivant une approche basée sur les règles, les règles mSCP qui restent applicables peuvent être réutilisées et incorporées dans des conseils pour la dernière version de macOS. Cela permet une adoption plus rapide des nouvelles fonctionnalités de sécurité qui ne sont pas proposées dans les versions antérieures de macOS", explique le NIST.

Le contenu du mSCP est destiné à être utilisé par les agences gouvernementales et les organisations privées, les lignes de base de sécurité fournies étant soit mises en correspondance avec les directives ou les contrôles existants, soit personnalisées pour répondre à des besoins spécifiques. En outre, le contenu peut être utilisé pour des analyses de conformité de sécurité automatisées.