Il peut sembler quelque peu simpliste d’échanger sur le thème de la cyber-hygiène avec des DSSI. Mais au cours de ses années en tant que chercheur sur les menaces, et désormais à la tête d’une équipe mondiale de chercheurs, d’analystes de données et de professionnels de l’expertise post-incident, Derek Manky, Chief, Security Insights & Global Threat Alliances chez FortiGuard Labs affirme qu’une cyber-hygiène aléatoire constitue une menace critique.

Une menace qui existe bel et bien au sein des entreprises. D’autant qu’elle s’accentue, au fur et à mesure que les entreprises développent leurs réseaux et étendent leur surface d’attaque sans pour autant déployer d’architecture holistique ou de système de gestion dédiés à la sécurité.

A lire aussi : [Chronique] Intelligence digitale : Civisme digital à l’ère de la pandémie

Le concept de la cyber-hygiène est d’une simplicité déroutante : il implique des pratiques et des précautions qui, mises en œuvre régulièrement, nous protègent et assurent le bon fonctionnement de nos dispositifs. Facile sur le papier, non ? Mais néanmoins plus ardu sur le terrain, dans un contexte de réseau multisite, d’un IoT omniprésent, de l’adoption des infrastructures multi-cloud et d’un recours toujours plus important aux applications SaaS. S’ajoutent à cela la convergence entre IT et OT et la présence de dispositifs vieillissants qui ne peuvent être mis au rebut car ils pilotent des systèmes critiques, 24h / 24 et 7j / 7. Les risques s’accentuent et les enjeux sont plus importants que jamais.

Sécuriser les travailleurs distants

L’un des domaines les plus critiques sur lequel concentrer les efforts de cyber-hygiène est celui des travailleurs distants. La croissance rapide des collaborateurs mobiles et leur utilisation intensive de dispositifs personnels et de réseaux résidentiels imposent de nouveaux défis aux équipes informatiques. Malheureusement, l’application des bonnes pratiques de sécurité à l’échelle des travailleurs distants n’est pas forcément une priorité pour des équipes informatiques déjà mobilisées pour assurer la continuité opérationnelle de leur entreprise, ainsi que l’accès aux applications et ressources métiers.

Les collaborateurs qui travaillent de chez eux utilisent leurs dispositifs personnels (PC portables, smartphones et tablettes) dans le cadre professionnel. Et ces dispositifs, connectés à des réseaux résidentiels plus vulnérables, définissent une passerelle idéale que les cybercriminels sauront utiliser pour lancer des attaques sur les données d’entreprise.

Au cours des derniers mois, les cybercriminels ont misé sur des tactiques d’ingénierie sociale exploitant les craintes associées à la pandémie de Covid-19. Ils ont également ciblé des vulnérabilités anciennes mais non corrigées sur des dispositifs présents au sein de nombreux réseaux résidentiels. Leurs stratégies ont été repensées, en délaissant les attaques initiées par email que nombre d’utilisateurs ont été formés à identifier, pour privilégier de nouveaux vecteurs d’attaque basés sur le navigateur web. Et une fois immiscés au sein du réseau corporate, les cybercriminels y instillent leurs ransomware malveillants et autres malwares virulents.

S’adapter à un univers de menaces post Covid-19

2020 a établi un nouveau record dans le nombre de vulnérabilités identifiées et divulguées sur une seule année. Pourtant, ces vulnérabilités présentent le taux d’exploitation le plus bas jamais observé depuis les 20 années que la liste CVE (Common Vulnerabilities and Exposures) existe. Ce sont les vulnérabilités identifiées en 2018 qui présentent le taux de prévalence d’exploits le plus élevé (65%). D’autre part, plus de 25 % des entreprises ont signalé des tentatives d’exploit de vulnérabilités CVE datant de… 2005 ! Dans le même temps, les exploits ciblant les routeurs et les objets connectés grand public IoT figurent parmi les détections IPS les plus importantes observées. Enfin, bien que certains de ces exploits ciblent de nouvelles vulnérabilités, de très nombreuses vulnérabilités identifiées en 2014 ont également été exploitées.

D’où un constat essentiel : ne vous estimez pas protégés contre les vulnérabilités plus anciennes, y compris celles de plus de 15 ans.

Ces tendances témoignent de l’extrême agilité des cybercriminels. Dans les jours qui ont suivi l’adoption massive et contrainte du télétravail par les entreprises, les kits de phishing ciblant ces collaborateurs distants ont commencé à pulluler sur le dark web. En quelques semaines, les capteurs de menace ont enregistré un repli spectaculaire des menaces ciblant les ressources de l’entreprise, mais aussi un pic de nouvelles attaques sur les routeurs grand public, les dispositifs personnels, les consoles de jeu et autres systèmes connectés aux réseaux résidentiels. Les cybercriminels s’investissent ainsi pour identifier les vulnérabilités qui existent au sein des réseaux résidentiels, pour, in fine, s’immiscer au sein des réseaux d’entreprise.

Bien sûr, beaucoup de ces attaques utilisent des astuces et processus éprouvés sur lesquelles ces criminels ont compté pendant des années. Dans cette optique, deux priorités s’imposent aux entreprises : tout d’abord, sensibiliser rapidement les collaborateurs aux bonnes pratiques de cyber-hygiène. Et, dans un second temps, les préparer, ainsi que leurs outils de défense, à contrer les menaces traditionnelles comme les arnaques par phishing et les attaques par ransomware, ainsi que les nouvelles attaques ciblant le navigateur web des télétravailleurs. Des vidéoconférences pour sensibiliser tous les acteurs de l’entreprise à la cybersécurité, des informations et mises à jour véhiculées régulièrement par email, et l’exhortation des collaborateurs à surveiller les emails et les pages Web inhabituels ou suspects sont des exemples concrets des mesures à prendre. 

10 pratiques de cyber-hygiène à adopter dès à présent

Heureusement, malgré la prévalence des ransomware et le pic des attaques HTML /de phishing, certaines pratiques simples permettent aux entreprises et à leurs collaborateurs pour ériger une barrière plus robuste contre les menaces. Il s’agit notamment de définir des mots de passe plus forts et d’assurer la mise à jour régulière des logiciels et des applications. Dans certains cas, c’est un logiciel de sécurité Endpoint plus récent et sophistiqué qui doit être installé.

Il est également important de noter que certains types de ressources métiers connaissent un risque accru d’attaque dans le contexte actuel. Il s’agit notamment des systèmes financiers, des systèmes de support client et des ressources de Recherche et Développement. Des mesures et des précautions supplémentaires devront peut-être être prises au-delà des mesures décrites ci-dessous pour protéger ces actifs sensibles et prioritaires.

1. Assurez-vous que tous les collaborateurs reçoivent une formation adéquate, lors de leur recrutement et de manière régulière par la suite, sur la façon de repérer et de signaler les cyberactivités suspectes, de préserver leur cybersécurité, et de sécuriser leurs dispositifs et réseaux personnels. En sensibilisant les individus, et les collaborateurs distants notamment, aux méthodes pour se protéger, à la méfiance nécessaire vis-à-vis des demandes suspectes et à la mise en œuvre d’outils et de protocoles de sécurité essentiels, les DSSI vont pouvoir déployer les fondamentaux d’une défense robuste, sur le périmètre le plus vulnérable de leur réseau, et ainsi sécuriser les ressources numériques critiques. Ceci en misant sur l’apprentissage en ligne ou à des ateliers avec des experts.
2. Soyez attentifs avant de désigner les utilisateurs privilégiés et de définir les accès privilégiés aux ressources numériques sensibles. Cette mesure supplémentaire permet aux entreprises de prendre des décisions éclairées qui atténueront les risques associés aux menaces internes.
3. Mettez à jour fréquemment tous les serveurs, postes de travail, smartphones et autres dispositifs utilisés par les collaborateurs. Idéalement, ce processus devrait être automatisé et permettre de tester en amont les mises à jour avant de les déployer. Les fonctions de contrôle de proximité, tels que le contrôle d’accès basé sur le cloud et les passerelles web sécurisées contribuent à sécuriser les dispositifs distants qui ne peuvent pas être ni mis à jour, ni patchés.
4. Installez des logiciels anti-malware pour stopper net la majorité des attaques, qu’il s’agisse des escroqueries par phishing et des tentatives d’exploiter les vulnérabilités connues. Optez pour des fonctionnalités de sandbox (dans le cadre d’une plateforme de sécurité déjà existante ou en tant que service cloud) pour détecter les menaces zero-day et inconnues. Les nouveaux outils de détection et de réponse aux menaces sur les Endpoints (EDR – Endpoint Detection and response) ont tout pour séduire les DSSI : ils s’avèrent en effet particulièrement efficaces pour neutraliser les logiciels malveillants, mais peuvent également identifier et neutraliser les malwares parvenant à contourner les outils de sécurité déployés en périphérie de réseau, et ce, avant tout dommage.
5. Assurez-vous qu’un plan de prise en charge des menaces et de restauration post-incident est en place, avec notamment une hotline à disposition des collaborateurs pour notifier tout incident, même dans le cas du télétravail. En cas d’attaque, les indisponibilités seront réduites à leur minimum, et les collaborateurs connaîtront les étapes face à un incident.
6. Privilégiez des points d’accès sécurisés, qu’ils soient physiques ou dans le cloud, et créez un réseau sécurisé et segmenté à l’intention des collaborateurs se connectant à distance. Les VPN permettent aux organisations d’étendre le réseau privé sur les réseaux Wi-Fi publics à l’aide d’une connexion virtuelle point à point et chiffrée : l’accès à distance aux ressources d’entreprise est donc sécurisé. D’autre part, une stratégie d’accès au réseau de type Zero-Trust, basée sur des accès NAC et sur la segmentation du réseau, doit également être mise en œuvre.
7. Définissez des règles robustes pour la gestion des accès, avec une authentification à facteurs multiples et encadrée par des règles strictes de création de mots de passe. Les collaborateurs ne devraient pas être autorisés à utiliser les mêmes mots de passe pour tous leurs réseaux et applications, qu’ils soient corporate ou personnels, et être, au contraire, incités à définir des mots de passes complexes associant lettres, chiffres et caractères spéciaux. Il est également pertinent d’offrir à vos collaborateurs un logiciel de gestion des mots de passe pour leur simplifier la tâche.
8. Chiffrez vos données en transit, en cours d’utilisation ou simplement stockées. Les entreprises doivent investir dans des technologies capables d’inspecter rapidement les données chiffrées tout en surveillant l’accès aux données, les transferts de fichiers et autres activités importantes.
9. Les analystes en sécurité n’ont pas toujours le temps et les ressources nécessaires pour garder la main sur la célérité et le volume des attaques. D’où l’intérêt de recourir à l’apprentissage automatique et à l’intelligence artificielle, des technologies à disposition des entreprises souhaitant identifier et protéger leurs données sur un large périmètre d’utilisateurs, de systèmes de dispositifs et d’applications critiques, et sur des environnements différents (multi-cloud, LAN, WAN, data centers, cloud et environnements Edge distants).
10. Pour des solutions de sécurité aussi agiles que les réseaux qu’elles doivent protéger et les cybercriminels contre lesquels elles protègent, des mises à jour régulières s’imposent pour suivre le rythme de l’évolution des menaces. Ainsi, le niveau d’efficacité, de rapidité et de flexibilité des solutions de sécurité dépend de l’infrastructure de veille sur les menaces et des chercheurs qui en assure la maintenance.