Depuis le mois de Mars 2020 et la généralisation du télétravail, les entreprises se retrouvent confrontées à de nouvelles problématiques : Il ne s’agit plus d’assurer la sécurité des périphériques présents sur site, mais de prendre en compte l’affranchissement d’un environnement de travail défini.
Les collaborateurs ont pu découvrir les joies du travail à domicile où à l’extérieur, depuis un café proposant un WiFi public ou encore une simple connexion partagée depuis un smartphone.
Ces nouvelles méthodes de connexion aux réseaux des entreprises ont permis à des personnes malveillantes d’effectuer des attaques sans précédent ! Pour vous donner quelques chiffres, SonicWall a relevé ces quelques chiffres :
- Entre 2019 et 2020, les attaques par IoT ont augmentées de 66% !
- Le nombre d’attaques en Europe a été multiplié par 4 en 1 an !
- Nous avons tous été émus par les attaques d’hôpitaux ayant dans certains cas causé la mort de personnes malades.
- Certaines attaques d’entreprises ont pu être exécutées grâce à des protocoles VPN trop faibles.
Un constat simple s’impose : La sécurité appliquée jusqu’à maintenant ne suffit plus. Il devient impératif de mettre en place des mesures englobant ces nouvelles contraintes et de changer certaines habitudes tenaces.
Interface Republic vous propose une liste des bonnes pratiques à appliquer pour assurer un haut niveau de sécurité :
- Imposer l’authentification Multi-Facteur : La combinaison mail/mot de passe n’est plus suffisante aujourd’hui pour garantir l’authenticité de l’utilisateur. Il est nécessaire de de passer sur une authentification multi facteurs. Il s’agit d’ajouter une étape supplémentaire pour s’assurer que la connexion vient d’une personne légitime et non d’un attaquant ayant usurpé des identifiants.
Le multi facteur repose sur 3 principes : Ce que je suis, ce que je sais, ce que je possède. De multiples solutions existent pour vous fournir ce facteur supplémentaire !
Nous recommandons Inwebo, société Française proposant une solution d’authentification multi-facteurs simple à mettre en place et accessible depuis un poste client ou un smartphone.
- Partir sur un Tiers-Model et un modèle « Zero-Trust » : Les modèles d’architectures classiques ne répondent plus aux besoins de sécurité d’aujourd’hui. Microsoft recommande l’implémentation de deux types d’architecture : le « Tiers Model » et le « Zero Trust ». Le « Tiers Model » est une segmentation logique de votre parc informatique en trois zones distinctes :
- Le Tiers 0 comprend votre Active Directory ainsi que tous les éléments régissant le contrôle d’identité. C’est l’élément le plus important de votre SI.
- Le Tiers 1 englobe tous les serveurs et les applications nécessaires à la production. Il peut s’agir d’un serveur applicatif, de fichiers ou de mail par exemple.
- Le Tiers 2 regroupe tous les postes clients et les utilisateurs.
Dans le Tiers Model, chaque couche, ou Tiers, cherche à réduire les communications avec les autres couches au strict minimum, afin de limiter au maximum la propagation d’une éventuelle attaque. Un utilisateur du Tiers 2 ne peut, par exemple, pas se connecter sur un serveur du Tiers 1 ou 0.
De même, un administrateur aura 3 comptes administrateurs en plus de son compte standard sans droits : un compte par niveau ! L’accès au niveau 1 et 0 se fera depuis un PAW « Privileged Access Workstation », un poste préparé spécialement pour les tâches d’administration et ne pouvant communiquer qu’avec les éléments du même Tiers.
Tout va bien jusqu’ici ? Nous pouvons donc maintenant aborder le modèle « Zero Trust » !
La logique est plus simple ici,puisqu’il s’agit de considérer que toutes les machines, y compris celles étant dans votre réseau local, ont été potentiellement compromises et seront donc traitées de la même manière qu’un périphérique extérieur à l’entreprise.
Il s’agira donc de s’assurer que chaque machine, chaque utilisateur et chaque flux réseau est autorisé à effectuer l’action en cours, peu importe où dans le réseau.
L’utilisateur a-t-il les droits pour effectuer cette action ? La machine est-elle autorisée à communiquer avec ce réseau ? Est-ce que les conditions de sécurité pour effectuer cette action sont remplies ?
Voilà comment marche le modèle Zero-Trust.
- Proposer une solution VPN avec un chiffrement de haut niveau : Le VPN propose une multitude de niveau de chiffrement pour vos communications. Certaines méthodes de chiffrement sont aujourd’hui obsolètes et facilement exploitables par des hackers pour espionner vos échanges de données.
Nous vous recommandons l’utilisation des protocoles suivants : AES 128bits ou 256 bits si possible, ou 3DES.
- Systématiser le changement de mots de passe : Une des failles couramment retrouvé en entreprise est l’utilisation de vieux mots de passe et les changements trop rares de ceux-ci. Tout le monde déteste devoir trouver un nouveau mot de passe et devoir s’en rappeler pour effectuer des tâches simples : cela est vu comme une perte de temps et une contrainte. Pourtant, certaines attaques comme les attaques de type « Pass-the-Hash » comptent sur la fainéantise des gens pour prendre le contrôle des comptes et services de l’entreprise.
Microsoft recommande un changement de mots de passe tous les 2 mois avec au minimum 12 caractères comprenant minuscule, majuscule, chiffre et caractère spéciaux.
Notre conseil pour vous simplifier la vie est d’utiliser des phrases de tous les jours comme par exemple : « JeLis1@rticlE! »
Cette phrase est assez peu complexe à retenir et comprend toutes les recommandations de Microsoft (tous les types de caractères et 14 caractères au total).
- Effectuer une revue régulière des comptes utilisateurs et des droits : Si un utilisateur est ciblé par une attaque et que son compte est compromis, quels droits aurait l’assaillant ? Cette question doit toujours être dans un coin de votre tête lors de la création et de la gestion des comptes. Ici, une règle est simple : N’accordez que les droits strictement nécessaires pour que l’utilisateur puisse travailler dans de bonnes conditions !
Nous vous recommandons d’effectuer une revue régulière des droits de vos utilisateurs afin de limiter au maximum les risques en cas de compromission, et de ne pas utiliser vos comptes administrateurs pour les tâches de tous les jours ! De même, ne laissez pas vos utilisateurs être administrateur local de leurs machines.
- Implémenter une solution antivirus de type EDR : Les antivirus classiques ne permettent plus de protéger efficacement vos postes de travail. Pourquoi ? Tout simplement car ils reposent sur une base de signature. Lorsqu’un virus ou une attaque est découvert, des experts vont essayer de trouver sa signature et la consigner dans une base de données. Celle-ci est transmise à votre antivirus via des mises à jour et lui permet de disposer des dernières signatures en date, et donc de protéger le plus efficacement possible le périphérique qui l’héberge.
Voyez-vous la faiblesse de ce mode de fonctionnement ? L’antivirus est incapable de reconnaître un virus n’ayant pas encore été « découvert ». Ces types d’attaques sont appelées « failles zero-day ».
De nouveaux modèles d’antivirus appelés EDR pour « Endpoint Detection and Response » comblent cette faille de conception en intégrant une supervision en temps réel et une détection des menaces.
Les EDR effectuent une analyse comportementale continue afin de détecter tout événement suspect. Un fichier Word exécute un script PowerShell inconnu demandant des droits administrateurs ? C’est très probablement une attaque. L’EDR bloquera l’exécution du fichier et le mettra en quarantaine tout en vous signalant l’événement.
Nous recommandons vivement SonicWall Capture Client, fruit de la collaboration entre SonicWall et un des leaders du marché de la cybersécurité, SentinelOne
Protéger les appareils mobiles (laptops, smartphones) : Le télétravail a éclaté les périmètres de production. Il est maintenant possible de travailler depuis n’importe où dans le monde ! Les équipes IT ne sont donc plus en mesure de maîtriser les environnements de travail : Les utilisateurs peuvent se connecter sur n’importe quel réseau et d’autres périphériques inconnus seront forcément présents.
Ces appareils comprennent autant d’informations critiques qu’un poste client classique doivent être protégés avec dans l’idéal toutes les solutions citées plus haut afin de limiter les risques de fuite de données et d’intrusion !
Cette liste loin d’être exhaustive vous donnera un bon aperçu des nouvelles pratiques à adopter pour assurer la sécurité de votre entreprise.
Interface Republic est en mesure de vous conseiller et /ou de vous accompagner sur tous ces points si vous le souhaitez.
Vous avez une question ? N’hésitez pas à nous contacter !
Écrit par notre Expert Sécurité – Matthieu Flotte
gabriel.lanselle@clintassocies.co
