ciberseguridad
Produits et Services PRODUITS & SERVICES

Leçon N°6 : garder une longueur d’avance en matière de cybersécurité

Hindsight Security : les conseils que les victimes de violation auraient bien aimé recevoir. 

Cet article fait partie d’une série qui vise à informer les professionnels de la cybersécurité sur les leçons apprises par les victimes de violations. Chaque leçon comprendra des recommandations simples, dont beaucoup ne nécessitent pas l’achat d’outils par les entreprises.

Le monde de la cybersécurité est incroyablement dynamique et est similaire à un jeu d’échecs géant qui aurait lieu au niveau mondial, avec des mouvements, des contre-mouvements et un ensemble de joueurs en évolution constante. Si vous êtes en contact d’une quelconque manière avec l’univers IT au sein de votre entreprise, alors vous n’avez pas d’autre choix que de prendre part au jeu ! Mais ce jeu ne vous facilite pas vraiment la tâche. En effet, vos adversaires opèrent à toute heure de la journée, et ce tous les jours de l’année. Ils peuvent se trouver n’importe où dans le monde entier, cacher leurs mouvements et rechercher en permanence les faiblesses au niveau de votre défense ; et utiliseront même vos propres armes contre vous.

De telles règles du jeu, dans le monde réel, impliquent que vos capacités de cyberdéfense doivent également fonctionner chaque jour, et ce à toute heure de la journée. Vous devez trouver vos propres faiblesses et les consolider avant qu’un adversaire ne les trouve. Vous devez également être en mesure d’anticiper ce qu’un adversaire pourrait bien faire s’il devait trouver l’une de vos faiblesses.

L’installation des correctifs

Bien que l’installation des correctifs au niveau du système d’exploitation et des applications soit censée être une préoccupation permanente et cruciale, l’installation des correctifs au niveau de vos systèmes publics est, quant à elle, une mission absolument critique. Selon l’étude Sophos intitulée Active Adversary Playbook 2021, l’exploitation d’applications publiques est l’une des cinq principales techniques utilisées pour obtenir un accès initial lors d’une violation. Des exemples récents très médiatisés incluent notamment les exploits ProxyLogon (alias Hafnium) et ProxyShell de Microsoft Exchange, ainsi que la vulnérabilité de Confluence qui a récemment été exploitée durant le week-end du Labor Day (Fête du Travail) aux États-Unis. Les solutions Virtual Private Network (VPN) de plusieurs acteurs majeurs ont également été exploitées cette année. WordPress, l’application faisant tourner de nombreux sites Web, est une victime récurrente d’exploitations diverses.

La seule vraie solution est d’avoir un inventaire solide de vos systèmes publics, de surveiller ces systèmes concernant l’éventuelle divulgation de vulnérabilités et de les corriger dès que possible. N’attendez pas la découverte d’un exploit ou bien d’être alerté par un éditeur pour créer une notification CVE (Common Vulnerability and Exposure). Microsoft a publié des correctifs pour Exchange en avril et mai 2021 pour traiter ProxyShell, mais n’a, à priori, pas divulgué les vulnérabilités concernées avant le 13 juillet, incitant ainsi beaucoup d’utilisateurs à penser que les patchs n’étaient pas importants.

Le paysage des menaces

Se tenir au courant des dernières tactiques, techniques et procédures des acteurs malveillants constitue un élément essentiel de votre défense. Connais ton ennemi. Si vous entendez parler d’un incident concernant les identifiants de 500 000 utilisateurs VPN divulgués sur le dark web et que vous utilisez justement la même technologie VPN, renseignez-vous sans plus tarder. Si vous apprenez qu’Exchange a été utilisé pour déployer un ransomware et que vous exécutez un serveur Exchange, là aussi ne tardez pas pour en savoir plus.

Shadow IT

Il n’est pas inhabituel qu’une entreprise, pour certaines activités professionnelles, contourne l’IT classique en mettant en œuvre une solution par elle-même : cette pratique est connue sous le nom de “Shadow IT“. Cette dernière peut vouloir éviter un examen minutieux ou bien accélérer un projet, ou il se peut que le service IT ait dit tout simplement “non” alors elle cherche à trouver un autre moyen. Même si la solution Shadow IT n’a pas été interdite, cela ne veut pas dire qu’elle doit être ignorée pour autant. Assurez-vous donc qu’elle soit entièrement isolée (en mode silo) ou bien placez-la de nouveau sous contrôle. Travailler en étroite collaboration avec l’entreprise pour trouver des solutions efficaces permet d’éviter le Shadow IT, mais vous devez également surveiller les nouveaux systèmes et applications qui pourraient vous mettre en danger.

Ayez en permanence une bonne connaissance de la situation

Il se peut que vous soyez très à l’aise avec votre posture de sécurité actuelle. Mais il suffit d’un compte compromis, d’un changement de pare-feu à priori inoffensif ou bien d’un exploit zero-day pour permettre à un acteur malveillant de pénétrer dans votre entreprise. De plus même si l’adversaire aura obtenu cet accès pendant vos heures de bureau, il attendra et l’utilisera lorsque vous aurez baissé la garde. Une récente alerte de sécurité du FBI et de la CISA a averti les entreprises que les risques d’attaque étaient plus importants les jours fériés et pendant les week-ends, citant comme exemples des violations très médiatisées comme celles subies par Colonial Pipeline, JBS et Kaseya. Comme indiqué ci-dessus, Confluence a été exploitée au début du week-end du Labor Day (Fête du Travail) aux États-Unis.

Nous recommandons aux entreprises de rechercher un service managé capable de gérer une violation pour vous à 2 heures du matin le samedi d’un long week-end. Un service qui a une connaissance globale de la situation et qui pourra l’utiliser pour améliorer la position de votre entreprise en matière de risque. Assurez-vous de sélectionner un éditeur qui pourra prendre des mesures, et pas seulement vous notifier, à moins que vous ne souhaitiez gérer vous-même votre défense (et que vous n’ayez l’expertise pour le faire) tout en profitant d’un repos bien mérité loin du bureau.

Billet inspiré de Hindsight #6: Stay Ahead of the Game, sur le Blog Sophos.