Selon l’ENISA, l’agence européenne pour la cybersécurité, l’état des lieux de la zone euro est plutôt sombre. En effet, on enregistre depuis février 2022 une hausse significative des attaques, en particulier DDoS, boostée par la guerre entre la Russie et l’Ukraine. Les entreprises sont en effet de plus en plus ciblées par les cybercriminels, et le modèle commercial "hacker-as-a-service" gagne en popularité chez les cybercriminels. Dans ce contexte, il s’agit de se demander comment les entreprises peuvent protéger leurs systèmes des campagnes malveillantes.
Toute entreprise fait preuve à présent d’une stratégie de cybersécurité, dans le but de se prémunir notamment des menaces externes. Cependant, les équipes IT n’ont pas toujours les moyens financiers et humains pour appliquer des stratégies optimales sur le long terme, et la protection des réseaux s’en retrouve donc lésée. Il est donc conseillé de se concentrer en priorité sur quatre facettes de la cyberdéfense.
Contenir les attaques
A l’heure où les cybercriminels font des employés et collaborateurs leur cheval de Troie, le maître mot reste la prévention. La limitation des accès et la suppression des privilèges sont deux techniques simples dans leur mise en place, et pourtant efficaces dans la lutte contre les actes malveillants. Cela permettra concrètement de minimiser l’impact de toute violation, en offrant moins de surface exploitable au hacker. Un accès réduit est ainsi plus facile à protéger, à restreindre et à passer en revue. Une autre technique clé réside dans l’identification de chaque niveau d’accès individuel, pour mettre en place des processus de suppression régulière de tout privilège et/ou compte inutile. Par exemple, l’accès des intervenants extérieurs devrait être automatiquement révoqué après l’expiration de leur contrat. Pour ce faire, les analyses statistiques peuvent être utilisées pour identifier les privilèges inutiles et limiter les accès.
Détenir une visibilité du réseau complète
Si les collaborateurs sont une voie d’entrée de choix, le réseau permet souvent aux cyberattaquants de se déplacer ensuite en toute discrétion. Il doit donc être surveillé constamment, pour limiter la quantité de connexions entrantes afin d’en optimiser la performance, et pour identifier les trafics réseaux indésirables, inutiles ou malveillants. Ces différentes mesures offriront un réseau plus sûr à toute l’entreprise en stoppant rapidement toute tentative de compromission et augmentera aussi la productivité des utilisateurs. Supprimer, ou tout du moins limiter, les connexions inter-réseaux revient alors à minimiser le risque d’attaques, mais aussi à maîtriser la surface d’attaque.
Connaître les menaces et restaurer les données au besoin
Il est également essentiel de renforcer les remparts contre les hackers au moyen d’outils connus de tous : les antivirus et EDR (End Detection and Response). Or, l’erreur est humaine et dévoiler au grand public les mises à jour logicielles peut présenter un risque. Lorsque qu’un employé ne les déploie pas rapidement, les cybercriminels peuvent en effet en tirer parti, ce qui met en danger le réseau tout entier et anéantit les efforts de ses collaborateurs et de son équipe de cybersécurité. Une solution de contrôle centrale et automatisée fournira des fichiers de signatures et contiendra les listes des menaces connues les plus récentes pour suivre le paysage cyber d’une entreprise. Ces outils se présentent alors comme des alternatives solides face à une menace récurrente.
De plus, enregistrer ces évènements dans un emplacement centralisé facilitera ultérieurement la détection d’une activité similaire en temps réel, contribuant ainsi à des outils de réaction rapides. En outre, même en cas d’absence de compromission sur un système, il est important de pouvoir se reposer si besoin sur des restaurations et des rétablissements systèmes à partir de sauvegardes fiables. Ces dernières consistent en la création régulière de copies des données et des applications. L’objectif est alors de pouvoir rétablir les systèmes lorsque lesdites données et les applications sont prises en otage, ou endommagées suite à une compromission, une panne de courant, une erreur humaine, ou tout autre incident. Une copie de sauvegarde aide en effet grandement la reprise de l’activité après une attaque, mais il est à noter que cela n’empêchera pas le cybercriminel de divulguer les données compromises.
Automatiser la gestion de l’accès aux données
La réduction de l’exposition passe non seulement par des mesures préventives, mais aussi par des techniques limitant le temps d’accès à un réseau. En effet, la création de comptes et d’identifiants temporaires autorise une meilleure gestion des accès à privilèges (PAM). Cela permet aux équipes IT de mieux contrôler les accès aux données, et de supprimer automatiquement les identifiants après un temps donné. L’automatisation des processus protège davantage l’accès aux données sensibles, et limite les voies d’accès pour les cybercriminels. Par exemple, certaines entreprises font régulièrement appel à des sous-traitants pour effectuer de petits ajustements sur leurs réseaux, ce qui peut nécessiter un accès admin. La création d’un compte à haut pouvoir à leur intention, puis sa suppression une fois leur tâche terminée est une pratique appropriée et facile à appliquer automatiquement. Si un agent peut oublier la création d’un utilisateur avec des privilèges réseau, (ce qui expose ce réseau à d’éventuelles menaces de sécurité et peut mettre en péril ses données) un outil automatique disperse toute potentielle faille en supprimant les comptes générés.
En somme, il est possible de minimiser les dommages causés par une cyberattaque, mais cela exige une vigilance et des efforts constants. Le montant de ces cyber-incidents et le travail nécessaire pour surmonter une campagne malveillante peuvent être largement réduits si l’on prend les mesures et les précautions requises pour s’en prémunir. En prévision de futures attaques, il est nécessaire de mettre en œuvre les mesures abordées pour mieux défendre une entreprise.
Par Pierre-Louis Lussan, Country Manager France et South-West Europe Director chez Netwrix
