William Culbert, directeur EMEA Sud de BeyondTrust, livre aux lecteurs de Solutions-Numériques ses recommandations pour permettre aux entreprises de mieux évaluer leur posture de sécurité et de se donner les moyens de mieux lutter contre les cybermenaces.
Une double menace : cybercriminalité d’Etat et hackers opportunistes
Ces derniers mois, l’Ukraine a connu une recrudescence de cyberattaques, ds systèmes et sites web du gouvernement et d’entreprises sont déconnectés, d’autres sont modifiés ou détournés. Un nouveau malware destructeur de données surnommé HermeticWiper (AKA KillDisk.NCV) a déjà infecté des centaines de machines en Ukraine, en Lettonie et en Lituanie. Les recherches ont montré que HermeticWiper corrompt la fonction de démarrage ou MBR (Master Boot Record), empêchant le système de démarrer. Cette nouvelle famille de malwares fait suite à la découverte du malware WhisperGate, utilisé début janvier pour attaquer des systèmes ukrainiens. Tout comme NotPetya, ces nouveaux types de malwares ont vocation à rendre inexploitables les actifs qu’ils infectent. L’émergence rapide de ces nouveaux malwares confirme la nécessité de s’équiper de solutions de sécurité proactives et préventives.
Le conflit géopolitique a effectivement des répercussions en termes de cybersécurité, celles-ci dépassent de loin les frontières de l’Ukraine. La cybercriminalité essaime partout dans le monde. Un comité consultatif composé de représentants de la CISA (Cybersecurity and Infrastructure Security Agency), du FBI et de la NSA (National Security Agency) a proposé un état des lieux des activités des cybercriminels mandatés par les Etats et des tactiques employées. Il recense des attaques par force brute, des e-mails de phishing et de harponnage comportant des liens malveillants, des tentatives d’obtention d’identifiants pour accéder aux systèmes et maintenir un accès permanent. La CISA a également publié un manuel de recommandations intitulé « SHIELDS UP » dans lequel l’agence « recommande aux entreprises de toute taille de renforcer leur politique de cybersécurité et de protéger leurs actifs les plus critiques ».
Outre les cybercriminels d’Etat qui montent en puissance pour perturber les opérations de leurs adversaires et leurs chaînes d’approvisionnement ainsi que pour étendre leur sphère d’influence, la masse des hackers opportunistes sans affiliation, qui propagent des ransomwares et des scams de phishing, pourrait vouloir tirer profit de l’instabilité mondiale, comme ce fut le cas au tout début de la pandémie de coronavirus. Ces deux dernières années, nous avons constaté combien les cyberattaques (ex. : ransomware visant le système d’oléoduc américain Colonial Pipeline, l’attaque de la station de traitement d’eau Oldsmar, etc.) peuvent impacter la vie quotidienne de populations innocentes, qu’elles soient motivées par l’appât du gain ou qu’elles visent d’autres objectifs.
Mesures de protection et de prévention des principales menaces
L’an dernier, nous avons vu les nations du monde entier (dont les Etats-Unis avec le décret – Executive Order – 14028 « Améliorer la cybersécurité de la nation ») renforcer leur cyberdéfense et s’ouvrir à une plus grande collaboration internationale. Les incidents géopolitiques incitent à adopter des contrôles de sécurité matures, sur le modèle Zero Trust, dans les petites entreprises comme pour les infrastructures critiques et la technologie opérationnelle (OT). Chacun est invité à réévaluer sans attendre son exposition au cyber risque et à identifier les renforcements nécessaires de contrôles de sécurité et les priorités à traiter : déploiement accéléré de correctifs des vulnérabilités, adoption d’une solution vault avec gestion automatique des identifiants, mise en place du moindre privilège ou renforcement de la sécurité des accès à distance.
Voici quelques recommandations pour permettre aux entreprises de mieux évaluer leur posture de sécurité et de se donner les moyens de mieux lutter contre les cybermenaces :
- Identifier les vulnérabilités les plus critiques ou urgentes et déployer les correctifs en conséquence. Si les dissensions géopolitiques risquent de faire émerger des menaces inédites (zero-day), traiter les vulnérabilités connues participe à une solide sécurité de base et contribue à réduire la surface d’attaque.
- Faire toutes les mises à jour des systèmes et des logiciels. Si la version utilisée n’est pas la dernière en date, vérifier qu’elle bénéficie toujours du support. Les logiciels vieillissants avec des vulnérabilités et des failles de sécurité facilitent la vie des hackers qui cherchent à s’introduire dans un environnement.
- Renforcer la sécurité des systèmes IT en supprimant les logiciels, applications et privilèges devenus inutiles. Bloquer aussi les ports inutiles.
- Supprimer les droits admin et mettre en place systématiquement le principe du moindre privilège pour tous les accès. Limiter les accès dans le temps, au minimum nécessaire, pour réduire la surface d’attaque et se protéger des mouvements latéraux et des tentatives d’élévation de privilèges.
- Utiliser des gestionnaires de mots de passe pour automatiser les meilleures pratiques de sécurité des identifiants. Il convient particulièrement de gérer et de protéger les identifiants privilégiés et les secrets des machines, des salariés et des prestataires. La rotation des identifiants privilégiés et la création de mots de passe uniques et complexes permettent de mieux se protéger des attaques par force brute, de la réutilisation d’identifiants, etc.
- Veiller à ce que les accès soient tous éphémères, conditionnés à une authentification et autorisés en fonction du contexte
- Instaurer un chemin d’accès unique pour toutes les connexions à distance selon le principe de moindre privilège. Il est important de réduire les ports et points d’accès utilisables comme vecteurs de propagation de ransomwares et d’autres menaces.
- Adopter des techniques avancées de contrôle et de protection des applications pour se défendre des attaques sans fichier et LotL (Living off the Land) souvent employées dans les chaînes d’attaque APT (Advanced Persistent Threat) et dans les attaques d’état.
- Procéder par segmentation et micro-segmentation pour isoler les systèmes, les ressources et les utilisateurs, de façon à ralentir les mouvements latéraux.
- Surveiller, gérer et auditer l’ensemble des sessions privilégiées avec l’entreprise. Il est impératif de pouvoir identifier instantanément et bloquer toute session suspecte.
- Vérifier que les plans d’intervention en cas d’incident sont bien à jour, avec les coordonnées du personnel et des forces de l’ordre à contacter en cas d’urgence.
Il est également important de se tenir informé de la situation, d’être en conformité avec les règles applicables dans les régions du monde où l’entreprise est présente et de s’entourer d’experts qui le sont aussi.
