Cependant, il n’est pas toujours aisé d’établir cette visibilité globale et de s’assurer que tous les terminaux sont protégés. Pour savoir comment sécuriser correctement la myriade d’appareils du réseau de votre entreprise, il faut d’abord savoir comment une cyberattaque se déclenche et se propage dans vos systèmes. Voici les différentes étapes d’une attaque ciblant les terminaux et quelques conseils sur la manière de contrer ces menaces.
Anatomie d’une attaque de terminal
Il existe d’innombrables façons pour un cybercriminel de mener une attaque et de circuler à travers votre réseau. La méthode la plus courante consiste à mener une campagne de phishing en envoyant des emails contenant une pièce jointe dangereuse à des utilisateurs non avertis dans l’ensemble de l’entreprise. Lorsqu’un employé clique sur la pièce jointe, il lance une charge utile initiale de logiciel malveillant qui s’exécute si l’appareil n’est pas équipé d’une solution de sécurité pour terminal. L’incident peut entraîner une infection qui aura un impact moindre. Cependant, il est fréquent que l’élément malveillant soit un lien de commande et de contrôle géré par un opérateur désireux de compromettre l’appareil. Celui-ci tentera alors de pénétrer dans l’environnement dans lequel l’appareil fonctionne et analysera votre réseau à la recherche de vulnérabilités et de ressources précieuses.Les attaquants sont de plus en plus rusés ; en fonction de leurs découvertes ou de leur progression dans votre réseau, ils ne déclencheront probablement pas beaucoup d’alertes et ne se précipiteront pas pour lancer l’attaque. Ils parcourront prudemment le réseau, à la recherche d’appareils supplémentaires auxquels ils pourront accéder et d’informations d’identification qu’ils pourront dérober. Par exemple, si les services de protocole de bureau à distance (RDP) sont activés, l’attaquant exploitera ces connexions RDP au moyen des informations d’identification qu’il a usurpées pour tenter d’accéder à un autre appareil.
Ils continueront à utiliser différents exploits pour accéder à davantage d’appareils, collecter davantage d’informations d’identification et acquérir davantage de connaissances sur le réseau. S’ils parviennent à obtenir le domaine de sécurité de l’appareil, les malfaiteurs peuvent vendre ces informations sur le DarkWeb à un autre groupe de pirates désireux d’orchestrer une attaque de plus grande envergure.
Les attaquants opèrent souvent sans se faire remarquer pendant des jours ou des semaines, attendant patiemment de lancer l’attaque jusqu’à ce qu’ils aient volé toutes les données qu’ils souhaitaient. Les responsables de la gestion du réseau doivent être conscients que si le cyberattaquant a eu accès au réseau pendant un certain temps et qu’il s’aperçoit que l’opérateur du réseau met en œuvre des mesures de sécurité supplémentaires, il peut immédiatement lancer son attaque pendant qu’il en a encore l’accès.
Améliorer la visibilité pour sécuriser les terminaux
Les équipes de sécurité peuvent prendre plusieurs mesures pour protéger leurs terminaux et limiter les risques, y compris en cas de violation. Voici quelques bonnes pratiques pour renforcer la sécurité de leur réseau :- Établir une visibilité complète sur l’ensemble des terminaux. Les équipes chargées de la sécurité doivent impérativement disposer d’une visibilité étendue sur tous les terminaux. Les outils de sécurité avancés dotés de capacités de découverte avancées contribueront à accroître cette visibilité en identifiant les terminaux non protégés et en indiquant les mesures à prendre pour mettre en place une protection et une surveillance continue. Par exemple, si votre réseau est composé de 100 ordinateurs et que 10 d’entre eux ne sont pas protégés, un outil de sécurité doté d’une fonction de découverte avancée peut identifier l’ensemble des terminaux connectés au réseau et révéler les 10 qui ne sont pas protégés, vous permettant ainsi de les gérer.
- Utiliser l’authentification multifacteur. Les cybercriminels mettront en œuvre diverses méthodes, notamment des attaques par force brute, pour récupérer les identifiants de sécurité et les utiliser sur l’ensemble de votre réseau. Si un attaquant parvient à voler les informations d’identification de l’administrateur de sécurité et à se connecter à la console du produit de sécurité, il tentera de le désinstaller ou de le désactiver depuis la console d’administration. En exigeant une authentification multifacteur (MFA) pour l’ensemble de ces services critiques, il est possible d’empêcher un attaquant de désactiver les mesures de sécurité directement depuis le programme. Des mesures telles que le MFA peuvent atténuer une grande partie des risques et limiter l’ampleur d’une attaque.
- Mettre en œuvre un processus de gestion des vulnérabilités. Les équipes de sécurité doivent s’assurer que tous les logiciels utilisés sont mis à jour. Les cyberattaquants se déplacent latéralement au sein d’un réseau en exploitant notamment les vulnérabilités connues des logiciels existants. Les entreprises peuvent réduire considérablement les risques encourus en mettant en œuvre un processus de gestion des vulnérabilités conçu pour corriger régulièrement les vulnérabilités des logiciels, des systèmes d’exploitation et des tiers. En supprimant ce « raccourci » pour les attaquants, leur tâche devient beaucoup plus difficile, ce qui peut empêcher de nombreuses attaques courantes d’aboutir.
- Faire appel à un fournisseur de services managés et opter pour un service managé de détection et réponse aux cyberincidents.
- Assurer la sécurité de manière efficace constitue un service. Les fournisseurs de services managés (MSP) sont des acteurs importants qui peuvent fournir des services complets afin de réduire de manière significative les risques de sécurité auxquels les entreprises sont confrontées. Ils peuvent assurer une configuration de sécurité adéquate et gérer le fonctionnement des dispositifs protégés.
- Les services de détection et de réponse managés (MDR) suscitent un intérêt grandissant. Pour vous assurer une détection et une réponse aux menaces 24 heures sur 24 et 7 jours sur 7, vous pouvez envisager de faire appel à un service MDR. Si votre entreprise n’est pas prête à opter pour le MDR, vous devriez néanmoins envisager d’utiliser une solution qui inclut des services de sécurité avancés, tels que des services permettant de classifier la totalité des exécutables, dans le cadre de sa licence d’utilisation.
Une sécurité efficace exige une surveillance constante et cela nécessite finalement trois éléments indispensables : des experts rompus à la cybersécurité, des solutions adaptées et des bonnes mesures en place.
Par Pascal Le Digol, Country Manager France chez WatchGuard Technologies