santiago silver - Fotolia

Pour se protéger des rançongiciels, tout commence par l’utilisateur

L’ICIT recommande de travailler soigneusement à la protection des points de terminaison du système d’information. En appréhendant l’utilisateur final comme l’un d’eux.

L’institut des technologies des infrastructures critiques (ICIT) vient de publier une première synthèse de recommandations sur la manière de combattre les ransomwares. Et de proposer pour cela une approche en couches dont la première est, sans surprise, le point de terminaison.

Et parmi ces points, il convient de commencer par… les utilisateurs : « la sécurité de l’information n’a que récemment commencé à considérer les utilisateurs comme des points de terminaison. Si cette notion semble contradictoire, pensez un moment que n’importe quelle menace interne, n’importe quelle campagne d’ingénierie sociale, ou la plupart des attaques par rançongiciel dépendent d’activités humaines prévisibles qui ignorent la cyber-hygiène ». Et pour les auteurs de cette synthèse, « les dirigeants d’organisations doivent réaliser que les humaines sont à la fois le maillon le plus faible et le plus fort » en leur sein. Surtout, ils devraient se garder de considérer que « leurs solutions de sécurité des points de terminaison sont à l’abris des erreurs » et peuvent éliminer le risque que peuvent représenter les utilisateurs.

Dès lors, pour Stan Wisseman, stratégiste sécurité chez HPE, « de nombreuses organisations réalisent que les limites de la sécurisation du point de terminaison imposent de se concentrer sur la sécurisation de l’accès aux données sensibles dans les applications », en n’accordant en définitive aucune confiance à priori au point de terminaison.

Geroge Kamis, directeur technique marchés fédéraux chez Forcepoint, va plus loin : pour lui, il faut arrêter de penser que les solutions de protection du poste de travail « sont nécessaires pour compléter des solutions de cybersécurité externes » et se concentrer sur l’audit et la surveillance des activités des utilisateurs sur les données internes. Et là, « le point de terminaison offre la possibilité d’attribuer des données à des utilisateurs avant leur chiffrement, et de surveiller l’activité lorsqu’un utilisateur est hors ligne ».

Plus loin, si rançongiciel rime surtout avec poste de travail dans l’inconscient collectif, l’ICIT souligne les menaces qui pèsent sur les serveurs – relevées notamment récemment par les équipes de Cisco Talos –, les terminaux mobiles, mais encore les équipements spécialisés. Et d’évoquer là l’appareillage médical comme les systèmes de contrôle industriel (Scada/ICS) : « si un système Scada ou ICS est infecté par un rançongiciel, des vives pourraient être menacées dans le temps nécessaire à l’enquête et la remise en fonctionnement des systèmes ». 

Pour approfondir sur Protection du terminal et EDR

Close