Par William Culbert, directeur Europe du Sud de Bomgar (BeyondTrust dès janvier 2019)
On dit souvent qu'il existe deux types d'entreprises : celles qui savent que leurs systèmes ont été piratés et celles qui l'ignorent encore. Cela peut sembler extrême, mais c'est bien la réalité dans le monde de la sécurité IT.
Compte tenu de la richesse des outils à la disposition des cybercriminels d'Etats et autres hackers professionnels, de nombreux réseaux subissent constamment des attaques. Et sachant que les entreprises prennent souvent de piètres décisions concernant leur sécurité, la probabilité d'être victime d'une cyberattaque est très élevée.
Une fois accepté le fait qu'il y ait de grandes chances que des personnes mal intentionnées s'introduisent sur le réseau, on peut réduire considérablement les dommages et ne pas risquer la compromission des données. Voici quelques conseils pour renforcer la posture de cybersécurité d'une entreprise.
La première chose à faire consiste à segmenter le réseau. Avoir un seul réseau est le meilleur moyen d'aider les cybercriminels à exécuter la cyberattaque classique « land and expand ». Pour combattre ce type d'attaque, il faut insérer des pare-feu et des tunnels SSH ou d'autres types de tunnels entre les segments.
L'architecture de domaine doit être changée. Au lieu d'avoir un seul domaine, mieux vaut le décomposer en plusieurs domaines avec plusieurs modèles d'approbation différents entre différents domaines.
La réauthentification doit être nécessaire entre les réseaux. Quand les salariés changent de réseau, il doit leur être imposé de se déconnecter et de se reconnecter avec des identifiants différents. Pourquoi est-ce important ? Pensez au mode opératoire d'une attaque. Si le hacker obtient un identifiant large utilisable sur plusieurs machines, il exploitera cet identifiant pour s'infiltrer aussi loin que possible sur le réseau en quête de valeur à dérober. Sécuriser les chemins d'accès aux systèmes permet de réduire le risque de voir des cybercriminels se promener dans l'environnement de l'entreprise.
Une autre étape est la suppression des droits admin locaux. C'est l'une de mes recommandations les plus fortes : supprimer les droits administrateur sur les machines locales. Les utilisateurs ne dovient pas être l'administrateur local. Voilà pourquoi : la première partie du processus lors d'une cyberattaque concerne la remontée. Pour perpétrer une attaque pass-the-hash, un hacker hache les identifiants en étant l'administrateur local du système. Si un utilisateur n'est pas autorisé à être un admin local et que le système est attaqué par un malware, l'agresseur doit remonter jusqu'aux droits administrateur pour extraire les identifiants.
Il faut opter pour une durée de vie limitée des identifiants. Les identifiants devraient se mesurer en heures ou journées et non en semaines ou mois. Une fois un identifiant utilisé pour l'accès privilégié, il faut le rendre aléatoire. Pourquoi ? Cet identifiant va laisser des informations persistantes sur la machine et ces informations vont pouvoir être réutilisées. Si un agresseur peut remonter jusqu'aux droits admin du domaine, il pourra avoir accès à tous les autres postes du réseau. Mais si l'identifiant est invalidé, il n'y a pas de valeur persistante à exploiter, même si un hacker parvient à se procurer l'identifiant.
Mon dernier conseil est d'éliminer les accès permanents. Pourquoi est-ce que quelqu'un doit être un administrateur de domaine en permanence ? Pourquoi ne pas en faire un utilisateur régulier et lui demander de ne se connecter au compte admin du domaine qu'à une fin spécifique ? Mieux encore, on peut lui imposer de remonter jusqu'aux droits admin locaux sur le poste sur lequel il doit travailler avec un délai d'expiration à la remontée des droits. Ainsi, il n'y a qu'un compte utilisateur régulier sur une machine.
On peut bien-sûr choisir d'ignorer ces pratiques de cybersécurité. Mais, en ce cas, il faut être prêt à en assumer les conséquences. Après tout, le concept est simple : plus il sera difficile de réussir une cyberattaque dans l'environnement, moins il y aura de dégâts à déplorer.