Comment permettre à tous ces acteurs, moteurs de l’économie française, d’affronter les vagues incessantes d’attaques et de menaces cyber ?
Une chose est sûre, la tendance concernant les attaques informatiques restera à la hausse encore quelques années. L’apparition constante de nouveaux acteurs malveillants - et de logiciels tels que les ransomwares dits « as a Service » (RaaS), ne faciliteront pas la vie des équipes de sécurité.Au même titre que nos institutions de santé, les PME et ETI sont des cibles de choix pour les attaquants. En effet, leur modèle économique ne leur permet pas - le plus souvent - d’attribuer un budget sécurité assez important. De plus, une partie non négligeable de ces acteurs pense encore ne pas être concernée par ce type de problématiques. Fort heureusement, cela devient une pensée de moins en moins répandue. Le risque lié à la sécurité informatique rentre peu à peu dans les mœurs et la conscience collective.
Contrairement aux acteurs du domaine de la santé - pour qui un budget d’aide consacré à la sécurité informatique a été mis en place par l’État, les PME et ETI françaises n’ont pu jusque-là compter - en termes de monétisation - pratiquement que sur eux-même pour le financement de leurs projets de sécurité. L’ANSSI a mis, elle, à disposition de ces structures des documentations et fiches d’accompagnement - comme par exemple leur guide en treize questions.
Mais, concrètement, que pouvez-vous mettre en place pour améliorer la sécurité de votre Système d’Information (SI) ?
Quelques projets peuvent être facilement mis en place au sein de votre structure pour assurer la sécurité de vos données. Tout d’abord, à l’heure où 82 % des fuites de données impliquent - en 2022 - la responsabilité d’un utilisateur, la sensibilisation des collaborateurs, leur formation et implication dans le processus de sécurisation de l’entreprise sont primordiaux. En fonction du public et des besoins, cela prend en compte plusieurs formes : des présentations thématiques, des vidéos ou des e-mails, des questionnaires, etc. L’idée étant de rendre cela le plus instructif possible - et interactif - afin que les salariés se sentent concernés.Parmi les éléments les plus porteurs de risque, on retrouve la faiblesse des mots de passe mis en place - quand ceux-là ne sont pas notés sur un post-it ou dans un petit carnet. Il est important d’inciter les utilisateurs de votre SI à choisir des mots de passe plus robustes - incluant majuscules, minuscules, chiffres et caractères spéciaux ainsi qu’une taille minimale d’au moins 10 caractères. Dans le cas où un Active Directory (AD) serait présent, la configuration de cette politique de mots de passe sera réalisable à travers une stratégie de groupe - Group Policy Object (GPO). Une rotation périodique des mots de passe peut également être mise en place, accompagnée d’une modification de la politique de mot de passe en fonction du niveau de sensibilité des différents accès et informations.
En complément de la sécurisation des mots de passe, la mise en place de l’authentification multi-facteur (MFA) peut également représenter un gage de sécurité - lorsque celle-ci est bien implémentée et que les utilisateurs respectent les règles. De nos jours, une bonne partie des applications et des fournisseurs de service permettent la mise en place du MFA ; le plus généralement par le biais d’un token généré sur une application mobile.
De plus, si possible pour vos équipes IT, pensez à enlever les droits administrateurs locaux à vos utilisateurs - si ceux-ci n’en ont pas besoin. Cela aura notamment pour effet de restreindre les possibilités d’attaques en cas de compromission d’un compte. De manière générale, le respect du principe du moindre privilège assurera la sécurité de vos données : n’octroyer, à chacun, que les droits qui lui sont nécessaires pour réaliser ses missions - ni plus ni moins.
Le déploiement du protocole DMARC peut également vous aider dans la sécurisation de vos environnements. Il s’agit d’un protocole d’authentification pour le courriel, qui permet de s’assurer du domaine de provenance de ceux-ci. Se basant sur les normes DKIM et SPF, la mise en place de ce protocole permet de réduire de manière sensible les risques liés aux attaques de types phishing ou usurpation de domaine. Et sachant qu’en 2017, pas moins de 91 % des atteintes à la sécurité dans les entreprises étaient le résultat d’une attaque par phishing, la mise en place de DMARC représente un premier grand pas dans l’amélioration de la sécurité.
Très souvent automatique (mais pas toujours), la mise à jour des applications et logiciels
- accompagnée de la création d’une stratégie de patch management - reste un point essentiel dans une stratégie de sécurisation de son SI. Prenons, par exemple, le très récent cas de la vulnérabilité VMware ESXi - qui fut exploité en ce début d’année pour déployer des ransomwares dans plusieurs dizaines d’entreprises dans le monde. Pourtant, cette vulnérabilité était connue depuis février 2021 mais, surtout, un patch de sécurité avait été communiqué par l’éditeur. A l’heure où de nouvelles vulnérabilités sont découvertes chaque jour sur des applications, leur mise à jour est plus que primordiale.
Des classiques à ne pas délaisser
Bien que ces premiers points offrent une base efficace pour aborder la sécurité informatique, cela n’est pas suffisant. D’autres projets peuvent être nécessaires.Le chiffrement des données sensibles, par exemple, permet - à toutes entreprises et organisations - de rendre toutes données illisibles pour les personnes n’ayant pas la clef de déchiffrement. Cela peut également faire le cas d’une obligation pour certaines entreprises, lorsque ces dernières travaillent sur des projets classifiés ou répondent à des appels d’offres publiques.
Déjà déployé dans de nombreuses entreprises, les pare-feux de vos SI doivent être entretenus. En effet, leurs efficacités peuvent être fortement réduites s’ils ne sont pas maintenus en condition opérationnelle. Dans la même logique que le principe du moindre privilège vu précédemment, une revue des règles doit être réalisée de manière périodique - afin de réduire les ouvertures de flux et de ne conserver que les plus nécessaires.
En outre, de nombreuses organisations négligent - encore bien souvent aujourd’hui - d'implémenter correctement les systèmes de sauvegarde de leurs environnements. Ils peuvent néanmoins être très utiles pour restaurer les systèmes après une attaque. N'oubliez pas d'essayer de respecter la règle 3-2-1, lors de la mise en place de votre système de sauvegarde : conservez 3 copies de vos données sur 2 supports différents - dont 1 support externe.
Finalement, afin de s’assurer d’une continuité du respect des règles, il est important de penser des processus afin de s’assurer que toutes les démarches sont bien respectées à chaque étape de la sécurisation - et cela dans le temps. Des audits des projets de sécurité, mais également de ces processeurs, peuvent être réalisés pour assurer leurs bonnes mises en place et leurs maintiens en condition opérationnelle.
Il ne s’agit là que d’une liste non-exhaustive des actions réalisables pour la bonne protection de vos informations sensibles : mise en place d’un EDR, d’un VPN, de solutions de protection de la donnée, d’un SIEM, d’un SOC, d’outils de gestion des identités… Tant de solutions sont aujourd’hui à votre disposition pour assurer la pérennité de vos données, face à ce risque de plus en plus réel qu’est la cybercriminalité. N’hésitez pas à demander conseils !
Par Brian Nicolas-Nelson, consultant Sécurité Opérationnelle chez Synetis