Cyber-résilience: Les principes de base

Les ransomwares ont un impact significatif sur la capacité de nombreuses entreprises à mener leurs activités. Pour les attaquants, cela requiert un niveau de compétences peu élevé et comporte peu de risques, mais cela peut leur rapporter gros. Alors, comment protéger votre entreprise?

Prévention

Inventaire des actifs

Cela doit commencer par un bon inventaire, à jour, des actifs internes et externes de l’entreprise. Une liste des logiciels installés et de leur version doit être incluse. Ensuite, un examen approfondi doit être effectué pour évaluer le risque commercial. L’architecture de sécurité est conçue à l’aide de ces informations; un inventaire est donc essentiel afin d’aider l’entreprise à comprendre et atténuer les risques connus.

Patching

L’application de correctifs dans des environnements de taille moyenne à grande est complexe et prend du temps, mais elle est importante. Les réseaux industriels ont souvent des équipements qui ne peuvent pas être patchés; cela représente un risque. Aussi, n’oubliez pas de patcher les hôtes exposés en externe. Un hôte vulnérable et exposé à l’extérieur est la méthode la plus courante utilisée par les hackers pour prendre place dans le réseau interne.

Un hôte vulnérable et exposé à l’extérieur est la méthode la plus courante utilisée par les hackers pour prendre place dans le réseau interne.

Jean-François Terminaux, Managing Director, Damovo

Sensibilisation et formation des utilisateurs

Les équipes IT traitent souvent le personnel de l’entreprise comme l’ennemi parce qu’il commet des erreurs. Renversez la situation: faites de votre personnel vos alliés. Nous attendons d’eux qu’ils aient les mêmes connaissances informatiques que nous, ce n’est pas le cas.

Par expérience, après s’être laissé prendre au piège d’une tentative de phishing et avoir saisi leurs informations d’identification, les utilisateurs réalisent souvent trop tard qu’ils ont commis une erreur et ne la signalent pas. C’est une situation idéale pour un attaquant. En revanche, si l’équipe informatique se montre accessible, l’employé n’hésitera pas à signaler le problème rapidement, et l’accès obtenu par l’attaquant sera fermé instantanément.

Nos utilisateurs sont notre meilleure ligne de défense contre une attaque de phishing. Éduquez-les sur les signes révélateurs habituels.

Mots de passe

Ils sont cruciaux. Lorsque nous réalisons des tests d’intrusion, nous découvrons toujours de mauvais mots de passe, non seulement de la part des membres du personnel, mais aussi des équipes informatiques.

Une excellente suggestion consiste à prendre la première lettre d’une phrase et y ajouter des chiffres et des symboles. Par exemple, avec le classique de Led Zeppelin, «Stairway to Heaven», «In a tree by the brook, there’s a songbird who sings», on obtient «111! Iatbtbtasws». C’est parfait.

Assurez-vous d’effectuer régulièrement des audits de mots de passe, via une entreprise qui réalise ces tests d’intrusion pour vous.

Sécurité physique

C’est un domaine souvent négligé de la cybersécurité. Nous excellons dans la mise en place de défenses externes multicouches, mais nous ignorons complètement la menace interne ou l’ingénierie sociale d’un attaquant qui pénètre dans un bureau.

Nous excellons dans la mise en place de défenses externes multicouches, mais nous ignorons complètement la menace interne ou l’ingénierie sociale d’un attaquant qui pénètre dans un bureau.

Jean-François Terminaux, Managing Director, Damovo

À quand remonte la dernière fois où les responsables de la cybersécurité et de la sécurité physique se sont assis ensemble autour d’un café et ont aligné leurs objectifs? Vous pouvez avoir les meilleures défenses de cybersécurité au monde, mais que faire si quelqu’un peut simplement passer par la porte arrière?

Détection

Antivirus

Le premier domaine de détection sur lequel se concentrer est votre solution antivirus. Elle doit pouvoir détecter les outils de piratage courants et donner l’alerte. Le remplacement des solutions antivirus dans toute une société prend beaucoup de temps. Assurez-vous que le produit que vous achetez est adapté à son utilisation en le testant ou en demandant à une société de tests de pénétration de le tester pour vous.

SIEM & SoC

Un outil précieux dans votre arsenal de détection est une solution SIEM (Security Incident and Event Monitoring). Je recommande que l’équipe de suivi de votre solution SIEM soit interne; elle aura une meilleure compréhension du réseau qu’une équipe externe, ainsi que des relations déjà existantes avec les différentes entités de l’entreprise.

Cependant, ce n’est souvent pas possible en raison de contraintes budgétaires. Si votre équipe Security Operations Center (SoC) est externe, traitez-la comme une extension de l’équipe interne. Impliquez-la autant que possible dans la façon dont votre entreprise évolue. Cela la sensibilisera également aux nouveaux risques de menace.

Encore une fois, testez ceci.

Réponse

Back-up

La réponse la plus importante pour la cyber-résilience est une bonne solution de sauvegarde. Lorsque Maersk, la plus grande compagnie maritime au monde, a été victime d’un ransomware paralysant, NotPetya, ils ont récupéré 4.000 serveurs, 45.000 PC et 2.500 applications en 10 jours à partir d’une sauvegarde. D’autres entreprises touchées n’ont pas eu cette chance.

Il est tout aussi important d’avoir une solution de secours que de la tester régulièrement. Le pire moment pour trouver une lacune ou une faiblesse dans votre réponse aux incidents est lors d’un incident réel.