CESIN (Club des experts de la sécurité de l’information et du numérique) a mené une enquête auprès de ses membres, soit plus de 200 entreprises et administrations françaises. Voici ce qu’il en ressort :
– En 2021 plus d’une entreprise sur deux déclare avoir subi entre une et trois attaques cyber réussie(s)
– L’ampleur et la virulence des attaques ne cessent d’augmenter : 6 entreprises sur 10 !
– 73% des entreprises déclarent le phishing comme vecteur d’entrée principal des attaques
– Les attaques par ransomware (exigence d’une rançon) ont touché 1 entreprise sur 5
La prévention
« Mieux vaut prévenir que guérir »
Avant d’être utilisé en français, ce proverbe existait en latin médiéval
Une attaque pouvant signifier la destruction définitive ou/et le vol de données, le préjudice financier ou, indirectement, en terme d’image est évident. Un attaquant cherchera toujours le point faible de votre défense. Ainsi, le plus souvent, c’est le maillon humain qui est ciblé.
La menace arrive souvent (~70% des cas) via un mail (pièce jointe, lien à cliquer), d’un mot de passe trop simple ou qu’on peut reconstituer à partir des informations glanées sur les réseaux sociaux, au surf sur des sites de téléchargement douteux (cela peut arriver malheureusement même dans le domaine professionnel), d’un faux portail bancaire, d’un mail provenant d’un de vos contacts piraté, de sites web de confiance mais corrompus, etc… Les pirates ne tarissent pas d’inventivité.
Eduquez vos utilisateurs : charte, formation, rappels réguliers. Un comportement anormal de l’ordinateur peut aussi servir à éveiller des soupçons (lenteurs, anomalies). Il vaut mieux s’inquiéter à tort plutôt que de se dire que tant qu' »on n’est pas bloqué et que tout va bien ». Des scans réguliers ne sont pas de trop, même en l’absence de menace apparente. Une des façons efficace de sécuriser du réseau local de votre entreprise est par exemple de créer une zone dite démilitarisée (DMZ).
Plan de prévention, Fonctionnement en mode dégradé,Plan de reprise d’activité
Assurance cyber
Souscrire à une assurance cyber peut être d’autant plus une bonne idée que vos pertes d’exploitation peuvent être impactantes:
– Garantie responsabilité civile
– Garantie perte d’exploitation
– Garantie extorsion
– Garantie réputation et image
Ciblage des vulnérabilités par les hackers
L’entreprise peut devenir vulnérable lors de chaque événement de sa vie : salon, augmentation de capital, campagne de prospection commerciale, concours, changement de poste de personnel clé, de dénomination sociale de l’entreprise, de logo ou d’adresse.
En général, ce sont des hackers via le portail de l’entreprise ou les réseaux sociaux ou des personnes qui sont au courant de cette information qui peuvent l’utiliser pour envoyer de fausses factures ou de faux relevés d’identité bancaire. Le but est d’obtenir un paiement sous la forme d’un virement. La méthode consistant à informer la victime d’un changement de références bancaires est une des plus difficile à repérer et est donc très prisée par les attaquants.
Lorsqu’un de vos utilisateurs clique sur un lien dans un mail ou un sms il peut recevoir un virus qui va s’attaquer à une vulnérabilité informatique sur son ordinateur : iI est donc important de maintenir les ordinateurs, terminaux et autres objets connectés à jour afin d’éliminer au maximum les failles de sécurité pouvant être exploitées par un attaquant. Les mises à jour concernent le système lui-même (OS) mais aussi les applications.
Il est aussi fréquent qu’un clic sur un lien dans un mail ou un sms renvoie sur un faux site web dans lequel des informations de connexion peuvent être demandées.
CERT-FR Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques
- CERTFR-2023-AVI-0269 : Multiples vulnérabilités dans OpenSSL (29 mars 2023)le 29 mars 2023 à 9 h 20 min
De multiples vulnérabilités ont été découvertes dans OpenSSL. Elles permettent à un attaquant de provoquer un contournement de la politique de sécurité.
- CERTFR-2023-AVI-0268 : Vulnérabilité dans Mozilla Thunderbird (29 mars 2023)le 29 mars 2023 à 8 h 59 min
Une vulnérabilité a été découverte dans Mozilla Thunderbird. Elle permet à un attaquant de provoquer un déni de service et une exécution de code arbitraire.
- CERTFR-2023-AVI-0267 : Multiples vulnérabilités dans Tenable.sc (29 mars 2023)le 29 mars 2023 à 8 h 51 min
De multiples vulnérabilités ont été découvertes dans Tenable. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance, une atteinte à la confidentialité des données et une atteinte à l’intégrité des …
- CERTFR-2023-AVI-0266 : Vulnérabilité dans les produits Cisco (28 mars 2023)le 28 mars 2023 à 9 h 30 min
Une vulnérabilités a été découverte dans les produits Cisco. Elle permet à un attaquant de provoquer un contournement de la politique de sécurité et une atteinte à la confidentialité des données.
- CERTFR-2023-AVI-0265 : Multiples vulnérabilités dans les produits Apple (28 mars 2023)le 28 mars 2023 à 8 h 52 min
De multiples vulnérabilités ont été découvertes dans les produits Apple. Elles permettent à un attaquant de provoquer un déni de service à distance, une atteinte à la confidentialité des données, une exécution de code arbitraire à distance, une élévation de …
Plan d’action pour protéger votre Entreprise
On adopte la démarche dit “PDCA“ qui signifie « Plan Do Check Act » et on respecte la norme standard ISO/IEC 27001 MANAGEMENT DE LA SÉCURITÉ DE L’INFORMATION
Plan: « Que faut t-il protèger ? »
A l’image de la défense militaire depuis les châteaux forts, la défense cyber est organisées en lignes de défense. On distingue classiquement 7 lignes de défense correspondant ainsi à des couches que nous allons recenser.
Une solide défense périmétrique est un point important mais la protection des points d’extrémité (EPP), c’est à dire les terminaux (ordinateurs, tablettes, smartphones) et la détection et la réponse (EDR, XDR (*)) aux menaces sur ces points sont de plus en plus essentielles à l’heure du nomadisme.
(*) EDR: « Endpoint Detection & Response ». Ce sont les anti-virus. XDR: « Extended Detection & Response ». Corrèle les signaux faibles provenant de multiples terminaux, serveurs, cloud, réseaux -> meilleur MTTD/MTTR (temps de détection et de réponse), meilleure disponibilité des défendeurs qui ne sont plus submergé par les alertes.
Cartographie: on recense les appareils actifs du réseau interne et les LAN, les terminaux (mobiles: IMEI, adresses Mac), applications, données, les serveurs ( adresse Mac, applications, rôle, données pour les serveurs de fichiers).
Identifier le patrimoine informationnel:
On recense ce patrimoine et on le classe par niveau de sensibilité des informations :
1 info sensibles, 2vitales, 3 stratégiques, 4 nominatives, 5 coûteuses
A partir de cette information on détermine le type d’accès à ces données :
C1 Accès libre, C2 Accès à l’organisation, C3 Diffusion limitée, C4 Confidentiel
Analyse des risques: Identifier les menaces
-> il s’agit de traiter les risques identifier afin de les faire passer vers un risque faible …
… Pour ce qui reste on adopte différentes stratégies (voir stratégies de gestion des risques)
Quelle stratégies de gestion des risques ? (norme standard ISO/IEC 27005)
“Do“: Ce qu’il faut faire et comment le faire ?
Respect de la norme standard ISO/IEC 27002, bonnes pratiques du métier informatique
Sécurité numérique :
Mises à jour: OS & applicatif
Antivirus, EDR, XDR, …
Mots de passe : forts, coffre-fort virtuel: Keypass, …
Pare-feu, DMZ, proxy
Gestion des accès définis dans la phase « Plan »
Facteur humain : charte, entrainement (envoi de mails avec liens, clés usb abandonnées, …)
Divers: Hébergements « bulletproof » uniquement utilisés à des fins malveillantes:
Exemple: Il est recommandé de bloquer tous les flux impliquant des adresses IP sur les plages
« 91.214.124.0/24 » et « 176.121.14.0/24 »
Sécurité physique:
Verrous, bâtis, dongles
Deconnection du reseau de sauvegardes
Mise en place de ZRR Zone de Régime Restrictif (concerne les Opérateurs d’Importance Vitale)
Protection du patrimoine informationel:
Droits d’accès sur les répertoires et fichiers: Donner des droits restreints suffisants nécessaires pour les tâches du poste
Authentification : Preuve d’identité par
– ce qu’on sait: mot de passe
– ce qu’on est: biométrie
– ce qu’on possède: carte à puce, jeton Sauvegarde: impliquant des tests de restauration
Norme ISO/IEC 27004 mesure du management
Les critères essentiels à utiliser pour évaluer le niveau de sécurité sont:
– Disponibilité :
accès aux données et applications dans un délai satisfaisant:
bon fonctionnement des outils, solutions alternatives ou de secours
web: clustering, équilibrage de charge, alimentation électrique doublée, sauvegarde
– Intégrité :
Ni les données ni les applications ne doivent pas être altérés:
Hashing des données, Gestion des configurations, des changements, contrôles de CRC
“Check“: Comment évaluer l’efficacité de ce qui a été mis en place ?
– Confidentialité :
Seules les personnes autorisées ont accès aux données :
Gestion des accès physiques et numériques (par noms d’utilisateurs, adresses IP, noms d’hôtes, domaines)
-> cartes à puces, générateur aléatoires, configuration des postes de travail pour interdire les clés usb, DVD
-> jetons (tokens), authentification et double-authentification (par ce qu’on est, qu’on possède ou qu’on sait)
cryptage :
-> stockage: bases de données, disques durs
-> transferts: clés usb, SSL/TLS, fichiers protégés par mot de passe (zip, …)
Offrir un niveau satisfaisant d’accès aux données en fonction de leur sensibilité
– Preuve :
Toute manipulation de données doit être historisée:
Fichiers journaux (logs)
“Act“: Actions de correction (veille & retour du terrain)
Normes ISO/IEC 27035 Gestion des incidents, 27037 Traitement des preuves
Veille: s’informer, s’adapter
Statistiques basées sur les incidents de sécurité relevés et les journaux (logs)
« Référent cybersécurité » diplômé (2021) pour les tpe et pme et partenaire agréé de cybermalveillance.gouv.fr, je saurai répondre à vos besoins. Vous pouvez apprendre à vous protéger et protéger votre Entreprise sans débourser davantage en utilisant votre compte formation. N’hésitez pas à me contacter pour toute demande d’information.
