Cybersécurité : cinq mesures pour protéger ses réseaux

RisquesSécurité
gestionnaires-mots-passe-securite

De nouvelles menaces sont particulièrement dangereuses pour les TPE/PME, qui doivent désormais mettre à jour leurs modèles de menaces et leurs politiques de sécurité pour y faire face.

La migration de la totalité des employés en télétravail a représenté un défi considérable pour les organisations, notamment parce que 50 % d’entre elles ne disposaient pas de plan établi pour faire face à cette transition. Les erreurs potentielles de configuration engendrées par ce changement rapide vont vraisemblablement accroître la surface d’attaque accessible aux cybercriminels, ayant développé des stratégies d’attaques plus sophistiquées grâce à la banalisation d’outils et de tactiques avancés.

De nouvelles menaces, telles que les opérations de pirates pour compte d’autrui (APT-hackers-for-hire), proposées au plus offrant par les cybercriminels, sont particulièrement dangereuses pour les TPE/PME, qui doivent désormais mettre à jour leurs modèles de menaces et leurs politiques de sécurité pour y faire face.

Connaître son réseau et ses actifs

Avant de mettre en œuvre une stratégie de sécurité, il est important de disposer d’un rapport et d’un inventaire exhaustifs faisant état de tous les types d’appareils et de tous les actifs, ainsi que d’un plan précis de l’infrastructure réseau de l’organisation.

Comprendre la topologie de son propre réseau, son architecture et même la façon dont il est organisé dans son espace physique peut aider à mettre au point une stratégie de sécurité efficace parfaitement adaptée à l’infrastructure et aux actifs d’une organisation.

Par exemple, la sécurisation de certains appareils qui ne sont pas compatibles avec le déploiement de sécurité client peut devenir une question de politiques réseau. Les appareils de l’Internet des objets (IoT) en font partie, tout comme les équipements industriels, certains dispositifs médicaux et d’autres actifs industriels spécifiques, en fonction du profil de l’entreprise.

Toutefois, même si 75 % des DSI et des RSSI estiment que l’utilisation d’appareils IoT au sein de leurs infrastructures a permis de renforcer leurs connaissances sur la façon de les protéger, 20 % d’entre eux environ déclarent que ces appareils vont se diffuser à un rythme plus rapide que celui de leur sécurisation.

Segmenter son réseau

La non-segmentation d’un réseau important peut nuire à la fois au trafic et à la sécurité. Diviser le réseau en segments plus petits peut contribuer à renforcer la confiance et à autoriser le contrôle des accès, permettant aux équipes informatiques et de sécurité de prévenir les accès non autorisés à des zones critiques tout en appliquant des politiques de sécurité spécifiques basées sur l’importance des actifs au sein d’une zone donnée du réseau.

D’une part, cela facilite la gestion, et d’autre part, cela empêche les attaquants d’effectuer des déplacements latéraux rapides dans le réseau pour accéder aux données critiques de l’organisation. Ce degré de contrôle strict et de visibilité sur le réseau peut en outre faciliter la détection de tout trafic suspect ou anormal, entrant comme sortant.

Les professionnels de la sécurité devraient également comprendre que près de la moitié (47%) de l’ensemble des attaques signalées au niveau des réseaux impliquent des exploits SMB (Server Message Block), et que les tentatives de force brute contre les protocoles RDP (Remote Desktop Protocol) et FTP (File Transfer Protocol) représentent 42 % de l’ensemble des attaques signalées au niveau des réseaux.

Former ses employés

Avec des employés qui se sentent plus détendus lorsqu’ils travaillent depuis chez eux (et qui, par conséquent, sont moins attentifs au respect des pratiques optimales en matière de sécurité), 3 DSI/RSSI sur 10 craignent que les télétravailleurs puissent être à l’origine d’une violation de données. L’un des principaux facteurs de risque humain que les équipes de sécurité doivent atténuer est la réutilisation de vieux mots de passe qui ont pu faire l’objet d’une précédente fuite de données.

Former les employés à la création de mots de passe uniques, complexes et faciles à retenir ainsi qu’aux dangers de la réutilisation de ces mots de passe devrait être une première étape vers le renforcement de la sécurité. Apprendre aux employés à identifier les e-mails de phishing et leur expliquer les procédures à suivre pour les signaler est également primordial, dans la mesure où les attaquants font preuve d’une grande habileté quand il s’agit de créer des e-mails qui paraissent légitimes et qui, de fait, échappent à toute détection.

L’organisation régulière, à l’échelle de l’entreprise, de programmes obligatoires de formation à la sécurité peut aider les employés à rester informés, à adopter les meilleures pratiques en matière de sécurité et même à découvrir les nouvelles politiques et procédures de sécurité mises en place par les équipes informatiques et de sécurité.

Avoir un plan de réponse aux incidents

La préparation d’une chaîne d’actions prédéfinies devant avoir lieu après l’identification d’une potentielle violation de données peut faire toute la différence en termes de continuité des opérations. Un plan de réponse aux incidents aide les équipes informatiques et de sécurité à déterminer les actions qu’il convient de prendre immédiatement pour identifier, contenir et atténuer une menace potentielle, et aide les parties prenantes à en évaluer l’incidence potentielle et à s’en référer aux équipes ou aux responsables appropriés.

Suite à l’analyse de tout incident, les équipes de sécurité devraient prendre l’habitude de réexaminer le plan de réponse aux incidents, de le réviser et de le mettre à jour, en tenant compte des leçons apprises, afin d’y intégrer de nouvelles pratiques ou d’optimiser les procédures existantes.

Choisir les bonnes équipes de sécurité et les bons outils

Avec près de la moitié (43%) des décideurs en matière de sécurité qui reconnaissent être confrontés au manque actuel de compétences globales, la constitution d’une équipe de sécurité performante et le choix des bons outils de sécurité peuvent s’avérer difficiles. Même si certaines organisations ont les moyens d’augmenter leurs effectifs, constituer un groupe compétent d’employés spécialistes de la sécurité prend du temps, ce dont manquent beaucoup d’entreprises.

Pour les organisations qui manquent de temps et de ressources, les services MDR (Managed Detection and Response), qui agissent comme des équipes hautement spécialisées dans la recherche de menaces, capables d’augmenter les capacités existantes du SOC ou de prendre en main toute la gestion de la position de sécurité d’une organisation, représentent un modèle qu’il vaut la peine de considérer.

De plus, ces services de sécurité spécialisés, dont le coût correspond à une fraction des coûts associés à leur mise en œuvre en interne, s’appuient sur des années d’expertise dans les domaines des renseignements sur les menaces, de la recherche de menaces et de l’analyse des menaces.

Plus spécifiquement, en s’appuyant sur une série d’actions prédéfinies et préalablement approuvées déclenchées par un scénario de menace particulier, les équipes MDR font appel à toute une gamme d’outils qui leur confèrent une visibilité totale sur l’infrastructure de l’organisation. Cette visibilité permet aux organisations de maintenir une posture proactive qui les aide à détecter et à éradiquer rapidement les menaces avant la survenue de dommages catastrophiques.

Même s’il n’existe pas de recette miracle permettant de constituer un assortiment idéal de technologies et de processus et d’assurer la conformité, – et donc de garantir la meilleure position de sécurité qui soit – savoir comment opèrent les cybercriminels et quels outils ils utilisent est un prérequis nécessaire au renforcement de la résilience en cybersécurité.

Le cadre MITRE ATT&CK® offre des renseignements très utiles sur les tactiques et techniques d’attaque couramment employées par les auteurs de menaces lorsqu’ils compromettent des réseaux d’entreprises, et peut donner des indications (check-list) quant aux éléments qu’il convient d’identifier et contre lesquels il faut se protéger.

Trouver un équilibre entre les meilleures pratiques, les réglementations en matière de conformité et les technologies de cybersécurité nécessaires revient à prendre la mesure de tout ce qu’une entreprise pourrait perdre en raison d’une violation de données et de la quantité d’efforts proactifs que l’on est prêt à déployer afin de limiter les retombées éventuelles d’une violation et d’assurer la continuité des opérations.

Auteur
En savoir plus 
Analyste cybersécurité
Bitdefender
Liviu Arsene est Analyste cybersécurité chez Bitdefender
En savoir plus 

Livres blancs A la Une