L’augmentation de la dépendance aux technologies de l’information confronte les organisations à des défis sans précédent en matière de sécurité informatique. L’année 2022 a vu son lot d’attaques et n’a, malheureusement, épargné personne. Des établissements de santé, aux administrations publiques en passant même par des leaders de la tech… plus personne n’est à l’abri d’une cyberattaque.
Tribune par Jean-Christophe Lelong, consultant Sécurité Opérationnelle chez Synetis – Qui de nos jours n’a pas entendu parler de ces logiciels malveillants capable de chiffrer et de rendre inaccessible toutes les données d’une entreprise si une rançon n’est pas payée ? Il est, aujourd’hui, facile de se procurer un kit Ransomware-as-a-Service (RaaS) et de s’en servir sans connaissance approfondie. En codant de nouveaux programmes avec des langages comme Goland, Rust, ou Swift, les pirates plus avancés augmenteraient, quant à eux, leurs chances de passer sous les radars.
Pour se préserver contre ces menaces, il est important de mettre en place des dispositifs efficaces pour éviter ou, au pire, minimiser l’impact de celles-ci. Mais aussi, et ce point est bien plus souvent occulté, de disposer d’un plan de réponse pour gérer un état de crise efficacement. La proactivité restera, en 2023, un atout majeur pour faire face à des offensives de plus en plus innovantes et sophistiquées.
Mais quelles précautions prendre pour se protéger au mieux des actes de piratage – se multipliant chaque jour dans un contexte mondial fragilisé, laissant poindre à l’horizon l’ombre menaçante d’une potentielle cyber-guerre ?
En amont, identifiez les risques
La première chose à faire est de réaliser un état des lieux de son Système d’Information (SI) – par le biais d’un diagnostic complet – afin de cartographier la zone de défense. Cela permettra d’identifier les lacunes et les points forts de vos environnements puis de déterminer, dans un plan d’actions qui pourra être établi par la suite, les premiers jalons à poser pour fortifier vos politiques internes.
Les cybercriminels ne manquent pas de ressources et innovent chaque jour pour assouvir leur soif de conquête de nouveaux territoires numériques. L’émergence des objets connectés – dit IoT (montres, services domotiques, systèmes embarqués des véhicules, etc.) – engendrera de nouveaux champs de bataille sur lesquels il pourrait être compliqué de tenir ses positions. En effet, la majorité de ces supports voit bien souvent leur sécurité négligée, décuplant ainsi de potentiels points d’accès en ligne pour ces acteurs malveillants.
Les institutions et organisations de tout type devront donc prendre en compte, et surveiller constamment, les nouvelles menaces en adaptant leurs méthodes et process en conséquence – pour certifier qu’ils restent pertinents et efficaces. De nombreux modèles de sécurité établis par des experts sont disponibles et pourront rapidement répondre aux exigences de l’ensemble des activités dépendantes du digital. Pour les sociétés avec peu de moyens, des associations comme Harden AD offrent des outils gratuits et faciles à configurer – permettant d’améliorer fortement sa résilience.
Les guides techniques ou autres recueils de bonnes pratiques de l’ANSSI ainsi que le site cert.ssi.gouv.fr constituent également une source d’informations complètes et variées sur tous les aspects qui englobent la cybersécurité. En outre, des opérations de tests réguliers sont essentielles pour garantir l’efficacité des solutions mises en place. Ils peuvent inclure des essais de pénétration (Pentest), des audits, des vérifications de conformité et des simulations de scénarios de menace. Tous ces éléments augmenteront considérablement le « facteur proactif », en découvrant les faiblesses potentielles de l’environnement avant que les attaquants ne les exploitent. Dans le cadre d’un processus d’amélioration continue, les résultats obtenus pourront aider – une fois encore – à identifier les secteurs sombres et à mettre en lumière les dispositions nécessaires pour renforcer les remparts.
Un investissement tant humain que pécuniaire
Dans cette démarche, il est impératif que les moyens soient accordés, aux DSI et RSSI, d’investir dans des technologies de pointe. Cette lutte implique de mettre tous les atouts de son côté. Une évaluation des différentes solutions disponibles sur le marché peut être effectuée afin de sélectionner celles répondant le mieux aux caractéristiques spécifiques d’un environnement. Chiffrement des données, systèmes de gouvernance des accès et de l’identité, solutions de gestion et de remédiation des menaces… Énormément d’organismes ayant pris la décision de migrer dans le cloud n’ont pas encore pris conscience que toute cette artillerie était potentiellement comprise dans leur licence mais qu’il leur fallait encore les activer et/ou les configurer.
Les mises à jour demandées par les éditeurs viennent, aussi, corriger les vulnérabilités connues qui peuvent être exploitées par les cybercriminels. De cette manière, la surface d’attaque peut s’en trouver considérablement réduite sans obligatoirement déployer beaucoup d’efforts. Établir un calendrier des mises à jour vous permettra de conserver une documentation détaillée des updates effectués pour s’y référer rapidement en cas d’incident. Enfin, il est conseillé de les tester sur un environnement de « pré-prod » avant de les étendre sur l’ensemble du parc informatique. Cela permettra d’anticiper, et d’éviter, tout problème de compatibilité ou de performance sans impacter directement la production.
Dans notre monde moderne, la data pourrait aisément être comparée à de l’or numérique. Un actif de très haute valeur qu’il faut absolument préserver car, sans lui, toute activité peut ne plus être viable.
Il est donc primordial d’adopter des dispositifs préventifs pour se prémunir de tout pillage. Le fait d’effectuer des sauvegardes régulières, et de stocker les données sensibles dans des emplacements sécurisés, vous offrira l’option de les restaurer à tout moment – en cas de perte ou de corruption -sans sacrifier la continuité du fonctionnement de la structure. Ici encore, il s’agira de mettre en place un plan rigoureux qui inclut des contrôles continus pour s’assurer que les backups sont valides et prêts à être réhabilités en cas de besoin. Les sauvegardes dîtes « déconnectées » (du SI) devront être stockées hors site pour ne pas les exposer à d’éventuels imprévus tels que le vol, un incendie ou encore une inondation.
De la simplicité à la complexité, l’important : anticiper
Le mail reste depuis sa création, l’outil collaboratif par excellence. Il demeure donc le moyen le plus exploité pour tenter d’atteindre les salariés. L’optimisation de nouvelles technologies telles que l’Intelligence Artificielle (IA) et le Deepfake (hypertrucage) risque de rendre la tâche d’autant plus ardue pour distinguer le vrai du faux. Cela aura très probablement une incidence significative sur les campagnes d’hameçonnage. C’est pourquoi la mise en œuvre de filtres de courrier électronique nouvelle génération, incluant un système de chambre de détonation (Sandbox), analysant le comportement des liens suspects (phishing) ou des pièces-jointes corrompues – avant de délivrer les messages – peut être une première ligne de front plus difficile à traverser. Mais avec l’avènement du télétravail, la tendance du Bring Your Own Device (BYOD) s’est en grande partie démocratisée. Les collaborateurs utilisent, de manière généralisée, leurs appareils personnels plutôt que ceux fournis par l’entreprise. Les failles exploitables que visent les hackers sont alors plus nombreuses. La mise en place de stratégies de sécurité étendues sur les applications, via des solutions Mobile Application Management (MAM), est un moyen de trouver le juste équilibre entre protection des données de la société et liberté laissée aux employés.
Cependant, comme dit l’adage, « l’erreur est humaine » et si ces derniers ne sont pas formés à identifier les e-mails potentiellement dangereux, toutes les précautions prises en amont pourraient en un « cliquement de doigt » se voir réduites à néant. C’est la raison pour laquelle des sessions de formations et de sensibilisation – pour renforcer leurs connaissances – doivent être régulièrement délivrées. Des regroupements comme Coaching cybersécu proposent des webinaires gratuits durant lesquels divers sujets sont abordés : techniques d’attaque, bonnes pratiques, manière de signaler les incidents ou encore répercussions que pourraient avoir une violation de ce type sur soi et l’entreprise. La mobilisation de l’ensemble des membres de votre organisation peut contribuer significativement à réduire les risques d’attaque, en leur fournissant les armes indispensables pour faire face aux menaces informatiques.
Le progrès constant et le développement de nouvelles technologies engendrent couramment un décalage entre fonctionnalité et sécurité. Les pirates l’ont bien compris et tentent, évidemment, d’exploiter cette brèche. Il y a fort à parier que l’augmentation des attaques, et leur toujours plus grande complexité, mettront à rude épreuve les effectifs chargés de la protection des entreprises – et ne leur offriront aucune trêve. Les algorithmes d’apprentissage automatique (Machine Learning) ou l’Intelligence Artificielle (IA) seront des ressources précieuses et des alliés de choix dans ce combat à mener au quotidien. Utilisés à bon escient, ils permettront d’améliorer et d’automatiser les mécanismes de défense en s’adaptant plus rapidement que ne pourraient le faire les anciennes approches – devenues obsolètes.
Note : article invité