Quelques conseils pour améliorer sa cybersécurité dans le monde post-Covid

Ce que le COVID nous apprend : si l’évolution ne provoque pas le changement, la révolution l’oblige

S’il y a une seule leçon à retenir de la période COVID, c’est définitivement l’expression de la formidable capacité d’adaptation que possède toute organisation.

En quelques semaines, voire quelques jours, des millions de personnes ont pu commencer à télétravailler, des dizaines de milliers de personnes ont reçu des clés FIDO2 pour gérer l’authentification sécurisée et des milliers de serveurs RDP ou ICA ont été déployés. Qui l’aurait cru ?

Malgré les problèmes de budget et les limites techniques, les DSI ont su s’adapter, certes, parfois dans la douleur, mais restons positif, cela a globalement fonctionné.

De plus, les « problèmes » de sécurité toujours enclins à retarder les projets traditionnels ont su être adaptés afin de répondre à l’urgence.

Nous ne le savions pas, mais l’agilité de nos entreprises françaises est finalement exceptionnelle.

Le cyber-monde peut avoir des répercussions catastrophiques sur le monde réel

Dès le début de la crise, nous avons pu assister à une multiplication en règle des attaques provenant principalement de groupes mafieux organisés. L’objet de cet article n’est pas de réaliser une étude exhaustive de l’ensemble des risques IT pendant la crise COVID mais plutôt de mettre en lumière le fait que les attaquants n’ont aucun scrupule, l’objectif final est de « faire » de l’argent.

Il est classique de constater que les périodes propices aux cyber-attaques sont calquées sur les temps de faiblesse des organisations :

• Période de Noël en Europe
• Période de Thanks Giving aux USA
• Week-end ou vendredi soir
• Mois d’Août en France

Moins de personnes, des intérimaires non formés à l’ensemble des politiques de sécurité, multiplication des courriels promotionnels – ces périodes réunissent tous les ingrédients propices à une cyberattaque.

La période COVID n’échappe à la règle et nous avons constaté une augmentation drastique des tentatives d’attaques détectées.

Une image valant toujours mieux que de nombreuses explications, je vous invite à consulter ce graphique de Valery Marchive illustrant les attaques connues de ransomwares en 2020 :

Source https://bit.ly/33OGTQy

Evidemment il ne s’agit ici que de ce qui est connu publiquement, nous pouvons facilement extrapoler vers un nombre réel beaucoup plus important.

Les hôpitaux ou cliniques ne sont pas épargnés, loin de là.

Une récente attaque de ransomware sur une clinique Allemande a provoqué le décès tragique d’une patiente, faute de pouvoir accéder à certains systèmes, la patience n’a malheureusement pas pu être opérée. Ce terrible accident nous rappelle à nouveau que les attaques de ransomware sont opérées la plupart du temps par le crime organisé, et non pas par de « jeunes hackers » avides de sensations tapis dans leur garage.

Plus d’informations sur cet évènement tragique consultable ici

Que retirer de cette période et comment préparer la sécurité de nos systèmes IT pour le futur

Essayons de lister l’ensemble des bonnes pratiques ou solutions devant être implémentées maintenant pour assurer un futur plus sécurisé pour nos organisations respectives.

Adopter une solution anti-phishing

La première étape d’une attaque (en dehors de la reconnaissance sociale et technique depuis l’extérieur de l’entreprise) est quasiment toujours l’envoi d’un phishing contenant un lien piégé ou un document malicieux.

Evidemment, avoir une solution anti-phishing ne résoudra pas tous vos maux d’un claquement de doigts, mais il est possible de réduire drastiquement le risque, il apparait qu’une solution anti-phishing reste un très bon investissement.

Conserver l’esprit d’initiative et d’agilité technique

Comme indiqué plus haut, l’ensemble des organisations françaises ont fait preuve d’une résilience et d’une adaptabilité tout à fait remarquables. Il serait dommage de couper cet élan et de revenir à des postures et des méthodes peu constructives en termes de sécurité informatique.

Les points importants à retenir sont :

• Mieux vaut couvrir 70% de son périmètre que rien du tout

Remarque classique du RSSI pré-COVID : « je ne peux pas couvrir 100% de mon parc avec votre solution, donc je ne fais rien ». Cela parait fou, mais il s’agissait d’une attitude généralisée des responsables sécurité. La crise COVID a fait exploser ces postures, profitons-en et restons agiles

• Ne pas avoir peur du cloud public, mais rester vigilant

L’usage de solutions hébergées sur un Cloud Public peut générer une certaine réticence, néanmoins gardons à l’esprit que la capacité de résilience des différents fournisseurs Cloud est sans égale par rapport à ce que peut réaliser en interne une entreprise, quelle que soit sa taille. En effet, les fournisseurs de Cloud Public investissent massivement dans la sécurité de leurs systèmes et exécutent des points de contrôle en continu. Néanmoins il convient d’aborder le Cloud de manière structurée en s’assurant d’avoir une migration organisée et le déploiement des briques de sécurité minimales permettant un usage sans risques

Déployer une solution de MFA

Nous le savons tous, l’usage du mot de passe comme solution unique du contrôle de l’authentication est complètement dépassé par les techniques de hack actuelles. Il convient de déployer une solution de MFA pour tous les éléments accessibles sur un Cloud Public : Consoles des machines virtuelles, courriel, CRM, documents partagés, etc.

Très franchement, ceci n’est plus une option mais une obligation.

A nouveau il faut savoir rester pragmatique : vous n’avez pas les moyens d’équiper tous vos collaborateurs avec des clés FIDO 2 ? Pas de problème, achetez des clés FIDO 2 pour les populations à risque : Directeur financier, RH, compatibilité, comité directeur, etc. Et activer le MFA par SMS pour les autres. Mieux vaut un mot de passe + SMS que seulement le mot de passe. Ce n’est pas parfait, c’est contournable, mais vous éliminerez environ 80% des risques liés à l’accès aux données. A nouveau, 80% c’est mieux que 0%.

Assurez-vous de votre bonne conformité Active Directory et surveillez-la en temps réel

Vous l’avez bien compris, les malwares sont en vogue. Et cela n’est pas près de se terminer. Il se trouve que dans 85% des cas, les malwares vont utiliser Active Directory pour passer à l’échelle, c’est-à-dire pour se répandre dans l’entreprise. En effet, les attaquants sont eux aussi pragmatiques, ils savent que vous avez Active Directory, ils savent que vous l’avez installé il y a plus de 10 ans et ils savent que vous êtes très occupés.

Contrôler votre Active Directory c’est contrôler la quasi-totalité de vos applications et données, il convient donc de protéger cette pièce maitresse en s’assurant de sa bonne conformité de configuration. Dernier conseil, même si les audits « one-shot » peuvent trouver leur place dans votre plan de sécurité, n’oubliez pas qu’Active Directory est une cible vivante soumise à de nombreuses modifications journalières, la vérité de l’audit du Lundi n’est donc pas celle du lendemain.

Utiliser un « concentrateur » de logs et d’évènements

Je n’ai pas utilisé le mot SIEM volontairement. En effet, même si un SIEM commercial du marché peut tout à fait proposer cette fonction, il existe des moyens quasi gratuits de le faire. En fonction de vos moyens investissez dans un SIEM du marché ou installez un serveur SYSLOG sur un serveur Linux ou Windows. C’est moins sexy, les fonctions sont limitées mais cela peut faire l’affaire pour débuter. Encore une fois, mieux vaut un bon serveur SYSLOG que pas de concentrateur de logs du tout.

Si vous pouvez investir dans un SIEM, faites en sorte qu’il devienne l’outil principal de votre SOC, connectez l’ensemble des systèmes de sécurité intermédiaires vers le SIEM, chaque système intermédiaire fera son travail spécifique et n’enverra que des alertes pondérées et pertinentes vers votre SIEM – si le SIEM représente l’interface quasi-unique de votre équipe SOC, veillez à ne remonter que ce qui est important, sinon vos équipes sécurité seront noyées sous les évènements et ne distingueront plus la différence entre les alertes critiques et les faux positifs.

Quand cela est possible, appliquer la philosophie Zero-Trust même aux systèmes on-prem

Ok… Je sais… ZeroTrust est le « buzz-word » à la mode et quand on rentre dans les détails de Zero Trust il est très compliqué de comprendre ce qu’il faut faire exactement. En toute honnêteté, je suis d’accord.

Néanmoins.

Il faut comprendre que ZeroTrust est une philosophie, et non une technologie. Cette philosophie s’appuie sur plusieurs piliers, chaque consultant sécurité possède sa propre grille de lecture sur le sujet, je ne vous donnerai ici que ce je considère comme primordial à comprendre, en rajoutant un gros niveau d’abstraction afin de ne pas perdre mes chers lecteurs :

• L’authentification ainsi que l’autorisation se décident au plus près de la donnée

En clair, cela signifie que le contrôle d’accès doit se faire au plus proche du système qui contrôle la donnée, voire de définir des briques de contrôle propres à la donnée elle-même. Par exemple on demandera un MFA pour accéder à un document financier important à chaque fois que celui-ci sera ouvert mais on se contentera d’un mot de passe pour accéder à un document du marketing sauf si un nouveau périphérique inconnu est utilisé pour y accéder

• ZeroTrust n’est pas que pour le Cloud 

Si les principes de ZeroTrust semblent fondés pour le Cloud, ils peuvent s’appliquer à certaines portions de vos environnements on-prem – n’hésitez pas à répertorier vos systèmes locaux et étudier comment appliquer ZeroTrust à ces systèmes, c’est tout à fait possible

• Définir des micro-périmètres 

Un micro-périmètre est un ensemble logique de ressources, de données et de briques de sécurité. Plutôt que de vouloir gérer l’ensemble de la sécurité de façon contrainte et centralisée, l’idée consistera à définir une solution de sécurité adaptée à chaque micro-périmètre – Par exemple Active Directory peut être considéré comme un micro-périmètre dans le modèle ZeroTrust

Se préparer au pire

Il est important d’anticiper les situations de crise. Pour cela, il existe des éléments de base que vous devez vérifier et maitriser le jour J, sans hésitation et sans vous poser de questions :

• Avoir une version papier de certaines informations

En cas d’attaque de cryptolocker, une grande partie de vos données ne sera plus accessible. Il est donc important de créer et conserver une version papier des informations primordiales que vous devrez maitriser pendant une crise de sécurité majeure : Numéros de téléphone des membres des équipes sécurité, Adresse IP, schéma du réseau, mot de passe de certains comptes importants, schéma des flux entre applications, etc.

• Avoir contracté en amont avec un fournisseur de services spécialisé dans la réponse à incident

Si vous subissez une attaque en règle, vous aurez certainement besoin d’aide de la part d’un spécialiste de la réponse à incident. L’idéal est d’avoir réalisé le travail contractuel en amont : renseignez-vous sur ces sociétés, rencontrez-les, et contractez une prestation de service de réponse à incident déclenchable dans un délai raisonnable. Dans ces conditions, vous n’aurez pas à vous soucier des éléments contractuels liés aux achats lors de la crise, vous aurez certainement d’autres priorités à gérer

• Vérifier en amont votre contrat d’assurance

Il est possible que votre contrat d’assurance couvre certains risques cyber, il s’agit parfois d’une option au contrat. A nouveau l’idée est de connaitre en amont les éléments contractuels et de savoir quelles informations vous devrez fournir à votre assurance afin d’être couvert. Les contrats d’assurance ne couvrent pas tous les coûts liés au risque Cyber, mais c’est toujours bien d’avoir un peu d’aide financière ou de conseil pendant ces périodes tendues

Profitez de cette période pour revoir vos plans de sécurité et anticiper l’avenir, le monde après-COVID ne sera pas exactement comme celui d’avant, nous devons nous adapter et améliorer notre niveau de résilience afin de faire face aux crises futures.

Sylvain Cortes – Security Evangelist – Microsoft MVP – Blog : www.identitycosmos.com