Quelles priorités en 2018, et plus, pour la cyber sécurité des organisations ?

de | 17 janvier 2018

Un début d’année est toujours un moment privilégié de prise de recul afin de faire le bilan de la période écoulée et, par-dessus tout, se projeter dans la nouvelle année voire dans les suivantes. La protection des organisations contre les cyber menaces n’échappe pas à l’exercice.

Dans cette publication, je me concentre sur six actions qui me semblent fondamentales pour la protection contre les cyber menaces. Ces actions s’articulent autour de trois composants : de protéger, détecter et réagir. Elles s’appliquent aux systèmes d’information hébergées dans les datacenters des organisations, mais aussi dans les infrastructures et services proposés par des fournisseurs de solutions dans le cloud.

Sensibiliser, sensibiliser et sensibiliser les utilisateurs du système d’information afin de les responsabiliser et les faire participer les utilisateurs à la sécurité du système d’information Sensibiliser, sensibiliser et sensibiliser les utilisateurs du système d’information afin de les responsabiliser et les faire participer les utilisateurs à la sécurité du système d’information. Personnellement, je n’ai jamais cru à l’efficacité de la sensibilisation… avant cette année. En effet, avec la médiatisation des attaques informatiques et les impacts des ransomwares sur les activités de grandes entreprises, le top management et les collaborateurs des organisations commencent à comprendre les enjeux liés aux cyber menaces, d’autant plus que la majorité d’entre eux ont été touchés, dans leur vie privée, par une attaque directement ou dans leur entourage. À mon sens, il est temps de battre le fer pendant qu’il est chaud afin d’ancrer la culture de la “cyber” vigilance afin qu’ils ne deviennent pas le talon d’Achille du système d’information… ne nous leurrons pas, ils ne seront pas des experts en cyber sécurité d’où l’utilisation du terme vigilance.

Renforcer la sécurité des systèmes critiques de l’organisation

Réduire l’exposition des systèmes critiques de l’organisation aux risques est une priorité pour les organisations : les systèmes critiques pouvant être des applications qui portent les processus critiques de l’organisation (core business) mais aussi des systèmes industriels critiques. A minima, deux actions doivent être envisagées :

  • Durcissement des systèmes et des applications afin de réduire les fonctionnalités inutiles ou à non sécurisée qu’une personne malveillante peut utiliser afin de compromettre le système cible ;
  • Le cloisonnement des systèmes critiques, l’objectif étant que la compromission d’un système, critique ou non, ne se propage pas vers d’autres systèmes.

Mieux gérer les accès des comptes à privilèges / d’administration aux systèmes d’information

Disposer / utiliser les identifiants et mots de passe de comptes avec des privilèges élevés / d’administration est le premier objectif d’une personne malveillante de, surcroît externe, à l’organisation. Une utilisation dédiée de ces comptes à des fins de gestion doit être mise en place : les propriétaires de ces comptes ne peuvent / ne doivent pas les utiliser pour leurs activités quotidiennes telles que la messagerie ou encore la navigation Internet > afin de réaliser ces activités du quotidien, ils doivent disposer d’un compte utilisateur “standard”, c’est-à-dire sans privilège spécifique. Par ailleurs, une authentification renforcée à travers un dispositif multifacteur doit être envisagée lorsque un utilisateur utilise son compte privilégié / d’administration… L’authentification devrait à mon sens être généralisée à l’ensemble des utilisateurs, mais ceci est un autre débat.

Afin d’adresser la menace liée à la malveillance interne du fait que les comptes à privilèges / d’administration disposent de droits étendus dans le système d’information, un dispositif de type bastion de sécurité qui permet une traçabilité de l’ensemble des actions de ces utilisateurs peut être envisagé dans un second temps.

À ne pas oublier le renforcement du processus de gestion des mobilités et des départs qui assure l’ajustement et la suppression les droits des comptes en fonction des mouvements de leurs propriétaires dans l’organisation.

Maintenir en condition de sécurité le système d’information

Exploiter des failles dans les composants du système d’information est un vecteur d’attaque important contre les systèmes d’information : il est essentiel pour les organisations d’être en capacité

  1. d’être informées des nouvelles failles rapidement ;
  2. d’être en capacité d’identifier les composants du système d’informations vulnérables et les impacts de ses failles sur son fonctionnement ;
  3. de déployer le plus rapidement possible les correctifs de sécurité en maîtrisant, évidemment, leur impact sur le système d’information.

Le prérequis pour disposer d’un processus de maintien en condition de sécurité du système d’information efficient est de disposer d’une cartographie matérielle et logicielle exhaustive. Une activité qui peut être, aujourd’hui, totalement automatisée grâce aux outils de gestion de parc informatique qui ont fortement évolué ces dernières années.

Superviser de manière active la sécurité du système d’information

Disposer d’une vision globale du niveau de sécurité du système d’information passe nécessairement par une supervision de sécurité active afin de détecter les tentatives d’attaques et les compromission du système d’information (le risque zéro n’existe pas). Par active, j’entends l’intégration de nouvelles composantes dans la gestion de la sécurité telles que la gestion de la menace, mais aussi le threat hunting qui permet de “scanner” le système d’information (applications, serveurs et postes de travail) à la recherche d’indicateurs de compromission ou de configurations suspectes des composants.

De nouvelles approches telles que l’utilisation de leurre (Deception technology) doit être envisagée : initialement prévue pour identifier les prémisses d’une attaque depuis Internet, ces leurres peuvent aujourd’hui être installés dans les réseaux internes des organisations pour détecter les mouvements de personnes malveillantes qui ont réussi, malgré les dispositifs de sécurité existants, à compromettre le système d’information.

Réagir aux incidents de sécurité

Répondre aux incidents de sécurité de manière efficace reste la dernière défense contre les attaques qui aboutissent. La réaction à un incident de sécurité doit préalablement être dotée de procédures de remontée d’information liée à des anomalies liées à la sécurité. Les remontées peuvent être faites par les utilisateurs à travers le service desk, la supervision des réseaux et des systèmes, etc. Une cellule spécifique doit être en capacité d’analyser ces remontées (signaux faibles) afin de déterminer s’il s’agit d’un incident de sécurité ou une simple anomalie du système. Comme tout processus de gestion de crise, une organisation doit être mise en place avec ces propres modèles et processus de fonctionnement. La composante investigation numérique ne doit pas être sous-estimée, car c’est elle qui permet de juger du niveau de compromission du système d’information et de fournir les éléments liés à la posture à adopter face à l’incident.

Une bonne réponse aux incidents de sécurité passera inévitablement par la réalisation de test périodique de gestion de crise au même titre que sont réalisées les campagnes annuelles de test de la reprise du système d’information.

Cette liste d’actions n’est pas exhaustive : elle constitue, de mon point vue, les fondations d’une approche opérationnelle efficace de la sécurité d’un système d’information. A mon sens, ces actions permettent d’adresser une grande partie des cyber menaces contre lesquelles les organisations doivent se prémunir.

Une réflexion au sujet de « Quelles priorités en 2018, et plus, pour la cyber sécurité des organisations ? »

  1. Ping : Quelles priorités en 2018, et plus, pour la cyber sécurité des organisations ? | Cybercriminalité

Les commentaires sont fermés.