Quatre points clés pour prévenir les cyberattaques
Il peut être décourageant de défendre une entreprise contre des cyberattaques, mais ces quatre mesures défensives peuvent aider considérablement à renforcer la posture de sécurité de l’entreprise et à repousser les offensives malicieuses.
Savoir comment prévenir les cyberattaques est une tâche essentielle pour les équipes IT et celles en charge de la sécurité informatique. La vaste diversité et l’ampleur même de ces attaques peuvent donner l’impression d’un défi insurmontable.
Les entreprises doivent s’armer contre les rançongiciels, des campagnes de phishing toujours plus sophistiquées, ou encore l’exploitation de vulnérabilités d’applications web et les opérations de déplacement latéral au sein de leurs réseaux. Le tout dans un contexte de surface d’attaque en perpétuelle extension.
Il n’existe pas d’approche idéale et infaillible pour prévenir les cyberattaques, mais il existe des moyens pour arrêter nombre d’entre elles avant qu’elles ne commencent, ou du moins de minimiser les dégâts lorsqu’elles surviennent. Les quatre approches défensives qui suivent contribuent à renforcer les programmes de cybersécurité et à réduire le risque pour les entreprises.
1. Se concentrer sur la gestion des configurations et des correctifs
La plupart des entreprises sont familières des difficultés que présente la gestion des configurations et des correctifs des systèmes d’exploitation et des applications. Et les outils dédiés à ces tâches devraient eux aussi être particulièrement familiers. Mais certaines méthodologies et certains produits peuvent améliorer considérablement ces activités routinières.
Le mouvement DevOps nous donne un modèle de gestion des images et de déploiement en production.
Tout d’abord, le mouvement DevOps nous donne un modèle de gestion des images et de déploiement en production qui, une fois mis en œuvre, peut alléger la charge associée à la gestion des correctifs : les correctifs sont installés sur un serveur virtuel ou une image de conteneur, qui déploie de nouvelles images fraîches (et corrigées) tout en retirant simultanément les anciennes. C’est bien sûr beaucoup plus facile à dire qu’à faire dans les environnements patrimoniaux, mais cela nous éloigne de l’ancien modèle qui consistait à se battre pour maintenir les systèmes en conditions opérationnelles pendant de longues périodes, en n’appliquant les correctifs que très graduellement.
La seconde avancée provient de l’utilisation de plateformes d’automatisation et d’orchestration, telles que Chef, Puppet, ou encore Ansible, notamment, où l’on applique un état connu du système en définissant toutes les règles de configuration dans un playbook, avant de les appliquer en continu à l’aide d’un ensemble d’outils de gestion automatisés.
Ces méthodes ont rapidement fait leur chemin dans le cloud, mais certaines organisations les ont également adoptées pour leurs systèmes internes. Pour les systèmes auxquels cela n’est pas applicable, les équipes de la production et de la sécurité doivent se concentrer sur l’inventaire des applications et des logiciels, et leur appliquer le mieux possible les correctifs – et cela vaut également pour le verrouillage des configurations (comme c’est répété depuis des années).
2. Définir des priorités pour la recherche de vulnérabilités
La fréquence des exploitations de vulnérabilités d’applications Web appelle à se concentrer davantage sur la sécurité applicative. Les équipes de développement ont besoin d’une analyse statique automatisée de leur code, suivie d’une analyse de risque associé aux vulnérabilités identifiées. Les applications déployées en environnement d’assurance qualité et de test doivent faire l’objet d’une analyse dynamique (et de tests d’intrusion) effectuée fréquemment pour s’assurer qu’il n’y a pas de vulnérabilités courantes – dans l’ensemble de la pile logicielle.
Les organisations doivent y consacrer du temps et des ressources si elles développent leurs propres applications Web. De quoi probablement justifier l’investissement dans des outils dédiés. Les résultats des analyses doivent ensuite être mis en perspective avec le contexte et les priorités, afin de hiérarchiser la gestion des vulnérabilités.
3. Mettre en place un système de sauvegarde complet
Avec la menace croissante des ransomwares et autres maliciels destructeurs, les systèmes de sauvegarde et restauration devraient figurer en tête de liste des domaines critiques de chaque DSI. De nombreuses organisations utilisent encore le stockage physique local des données, entre serveurs de fichiers, NAS et autres. Les options de stockage à distance et en mode cloud sont de plus en plus acceptées. À mesure que le coût du stockage déporté diminue, ces options sont de plus en plus abordables.
Si les contrôles de sécurité sont complets, le stockage déporté devrait constituer une bonne pratique. Mais il faut veiller à sauvegarder régulièrement tous les partages de fichiers et entrepôts de documents, en particulier ceux qui contiennent des données sensibles, et de tester chaque mois les sauvegardes et les mécanismes de restauration. Microsoft, Google et Amazon proposent tous des solutions de stockage en mode cloud à un prix abordable, de même que DropBox, Box et d’autres encore. Les fournisseurs de stockage spécialisés comme CommVault, ou Zerto, entre autres, peuvent également constituer de bonnes options.
4. Améliorer la segmentation des réseaux et des applications
Les contrôles d’accès réseau traditionnels, tels que les listes de contrôle d’accès (ACL), continuent d’avoir leur place dans notre conception de la segmentation des réseaux. Mais ils s’avèrent insuffisants face à la prolifération des scénarios de déplacement latéral lors d’incidents de sécurité. Voici quelques-unes des mesures à prendre :
Considérer l’ensemble de notre environnement comme potentiellement non fiable ou compromis, plutôt que de penser en termes de vecteurs d’attaque extérieurs et intérieurs. De plus en plus, les scénarios d’attaque les plus dévastateurs impliquent des déplacements d’assaillant au sein du système d’information.
Mieux comprendre comment les applications doivent se comporter au niveau du terminal et examiner quels types d’échanges réseau les applications approuvées doivent avoir.
Se concentrer sur les relations de confiance et de système à système dans tout l’environnement. La plupart des communications dans les réseaux d’entreprise sont aujourd’hui soit totalement inutiles, soit sans rapport avec les systèmes ou les applications réellement nécessaires à l’activité.
Il existe des outils pour aider à prévenir les cyberattaques grâce à des politiques qui lient le comportement des systèmes et des applications à des modèles de trafic réseau autorisés ou non. On parle parfois là de microsegmentation, une catégorie de logiciels qui peuvent nécessiter une combinaison d’agents résidents, un plan d’application, à l’instar des commutateurs, ou des hyperviseurs, ainsi qu’un moteur unique de gestion des règles et des applications capable d’établir un profil des comportements dans l’environnement et d’aider à construire une segmentation granulaire centrée sur les applications.
Il est facile de se laisser submerger par les nombreuses tâches nécessaires à la planification de la cybersécurité. Mais il est important d’établir des priorités lors de l’élaboration d’une stratégie de prévention des attaques. Ces quatre catégories de contrôles sont plus critiques que jamais.
Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)
