Cybercriminalité : protéger son entreprise contre les violations
protection| données|sécurité
Cybercriminalité : Qu’ils soient administrateurs, auditeurs, managers, RH, DSI, RSSI, membres du COMEX ou simplement employés, tous ont un point en commun : posséder au moins un compte avec des accès privilégiés.
Leur métier : permettre à l’entreprise d’être agile, de prospérer et d’être au service des utilisateurs et des clients de l’entreprise. Ils sont là pour protéger et faire prospérer l’entreprise.
En Février 2015, 78 millions de dossiers de patients ont été exposés dans une violation de données majeure à Anthem ; et déjà, certains professionnels vont fustiger ces propos et crier au mensonge. Pourtant, la plupart des affaires qui ont fait la une des médias l’ont démontré : du post-it collé sur l’écran, au fichier Excel contenant des mots de passes, une majorité des entreprises est fortement exposée et ce n’est pas une image d’Epinal.
La preuve en est : La France est classée au 9ème Rank par le Global Cybersecurity Index & Cyberwellness Profiles Avril 2015 qui vise à mesurer l’engagement et la préparation en termes de cybersécurité d’un pays.
En parallèle, l’Hexagone vient de rentrer dans le Top 10 des pays les plus exposés à la Cybercriminalité dans une autre étude publiée par les chercheurs de Symantec sur les cybermenaces portant sur l’année 2015.
Fort de ce constat, nous ne pouvons que dire que « La cybercriminalité, est un secteur en pleine croissance » et que nous nous devons de changer notre vision de la sécurité.
Cybercriminalité : 500 millions d'informations personnelles ont été volées ou perdues en 2015.
On comprend mieux pourquoi la Cybersécurité reste toujours autant sous-estimée en France par rapport au reste du monde. Comme pour le nuage de Tchernobyl nous avons nos frontières ! Et pourtant, la liste des victimes Entreprises, PME, Startup, FinTech, etc… ne cesse de s’allonger.
Mauvaise nouvelle pour ces dernières : les demandes évoluent avec les nouvelles générations «Digital Native» et les nouvelles orientations technologiques comme le Cloud, la Mobilité ou l’IOT. Se protéger contre de telles menaces est aujourd’hui un véritable casse-tête chinois.
Entre 2015 et 2016, le budget moyen annuel relatif aux investissements de cybersécurité est passé de 3,7 à 4,8 milliards de dollars, soit une augmentation de 29%, selon l’enquête 2016 de PwC. Le nombre quotidien des cyber-attaques s’est établi en 2015 à environ 160.000 actes de cybercriminalité, en hausse de 38%, expliquant que le coût global de ces attaques pour les entreprises s’est élevé à 400 milliards de dollars.
Mais alors, de nouvelles vulnérabilités dans l’économie ou plus simplement un manque de temps dans la révolution numérique nous bousculent.
Il y a une dizaine d’année, nous parlions du Cloud et de l’impact de la sécurité de nos données, du Patriot-Act et bien d’autres choses encore…
Et pourtant, le Cloud reste avant tout une évolution économique « Time is money ». En effet, il est demandé aux services IT des entreprises une optimisation des coûts et une amélioration de la qualité de service qu’elles peuvent proposer à leurs utilisateurs. Mais l’évolution Trans-générationnel et technologique nous conduit vers une autre révolution « Time is The Market ». Il faut toujours plus d’Agilité, de destruction créative, de création de valeurs. Dans quel but ? « Gagner du temps !» Cependant, cette révolution qui arrive fait perdre pied à beaucoup d’entreprises et aussi à leur S.I. Combien de DSI, de RSSI ne maîtrisent plus la totalité de leur système d’information et pensent toujours continuer de maîtriser les vulnérabilités qui les entourent au quotidien ? Quelle entreprise a eu un réel plan de gestion de l’obsolescence ou de transformation de son S.I ? A chaque fois, les mêmes réponses : « Trop cher ! » « On verra plus tard ! » Sauf que maintenant nous y sommes !
Cette attitude, couplée à cette lame fond qu’est la transformation du digital, ont généré toute une panoplie de nouvelles zones d’exposition aux attaques, à protéger en plus des infrastructures existantes que vous protégez déjà depuis des années.
Les environnements hybrides : à mesure que votre environnement IT évoluait pour inclure des réseaux et des data centers logiciels, et s’étendait au-delà de vos quatre murs physiques pour intégrer des ressources de Cloud public et des applications SaaS (Software-as-a-Service), les approches traditionnelles en matière d’administration et de gestion se sont vite avérées insuffisantes, principalement parce qu’elles ne permettaient pas de protéger les nouvelles zones d’exposition aux attaques telles que les consoles de gestion et les API.
Les droits d’administration : les administrateurs disposent en outre d’un pouvoir exceptionnel dans ces environnements en évolution, car ils possèdent les droits nécessaires pour définir, ou redéfinir, l’ensemble de l’infrastructure IT de l’organisation, d’un simple clic.
Les outils d’automatisation : dans les organisations IT les plus sophistiquées, certains de ces processus sont totalement dépourvus d’intervention humaine. Les tâches telles que le provisioning, l’administration et la gestion sont automatisées avec des scripts ou des outils, comme Chef et Puppet, souvent par le biais de droits d’administration codés en dur qui sont une véritable porte ouverte pour le vol et l’utilisation abusive.
Les risques associés liés à la génération Digital Native et à la révolution du numérique doivent nous permettre de mieux comprendre ce phénomène et ses implications pour éviter l’incapacité des entreprises à définir et contenir les menaces internes et les vols de données qui représentent déjà plus de 40% aujourd’hui.
Saviez-vous que le vol et l’exploitation des comptes à forts privilèges est un facteur de succès critique pour les pirates dans 100 % des attaques de haut niveau, quelle que soit l’origine de l’attaque ?
Une révélation ? Une mauvaise nouvelle ?
Non ! Plutôt une nouvelle fenêtre de réflexion pour revenir sur les fondamentaux. Si les comptes à forts privilèges sont le fil rouge de ces innombrables attaques et vulnérabilités, c’est exactement sur ces comptes et sur les données d’identification associées, que vous devez concentrer vos efforts de protection.
Pourquoi a-t-on autant de difficulté pour gérer les « utilisateurs à forts privilèges » en tant que groupe, car cette population est parfois très diversifiée. Et bien toujours la recherche de l’optimisation du temps.
Par exemple, elle peut inclure des utilisateurs internes qui travaillent pour vous, des utilisateurs extérieurs tels que des fournisseurs ou des prestataires, et même des utilisateurs à forts privilèges inconnus qui sécurisent des ressources IT « fantômes » sans que vous en ayez connaissance.
Si vous ne parvenez même pas à tenir un décompte précis de vos utilisateurs à forts privilèges, la question se pose de savoir comment vous espérez protéger ces comptes.
En sécurisant les données d’identification à chaque étape de la chaîne de frappe des violations de données.
Avant de revenir sur la chaine de frappe
Si l’on reprend les différentes analyses sur les typologies d’attaques et leurs cyclicités comme si dessous :
On constate que la perte de données ou d’informations sensibles est l’un des plus grands risques auxquels les entreprises doivent faire face plus qu’hier et moins que demain en fonction des évolutions technologiques. La fréquence accrue des incidents de sécurité liés à une cyberattaque et l’augmentation des coûts liés aux réparations ainsi que l’allongement du temps de la réponse sont autant de vulnérabilités supplémentaires. De plus, les entreprises ne disposent que d’une visibilité restreinte et limitée pour identifier les cibles des attaques, et déterminer où et comment les données ont pu être dérobées, ce qui ne fait qu’ajouter de la complexité au problème.
Il devient de plus en plus difficile de répondre aux incidents de manière appropriée. Il suffit de quelques minutes aux personnes malveillantes pour entrer et sortir de votre système, et laisser derrière elles des mois de travail aux équipes en charge de la sécurité pour rassembler et analyser les données. Mais alors qu’est-ce que les cybercriminels ont de plus ? Du temps !
Maintenant revenons sur les fondamentaux : Connaître la Kill Chain (la chaine de frappe)
La chaîne de frappe (Kill Chain) est une série d’étapes qu’un pirate informatique exécute lors d’une violation de données. bien qu’une chaîne de frappe puisse comporter de nombreuses étapes différentes, il existe trois étapes critiques pour lesquelles les données d’identification constituent la pierre angulaire de l’attaque. Les voici :
- Effectuer la reconnaissance : Pour accéder au réseau, les cybercriminels internes doivent exploiter les données d’identification qu’ils possèdent déjà, tandis que les cybercriminels extérieurs doivent exploiter une vulnérabilité du système afin de dérober les données d’identification nécessaires. Durant cette étape, ils ont le temps nécessaire pour cartographier leur cible et analyser les risques de l’entreprise.
- Préparer l’attaque : Une fois qu’une brèche du système a été identifiée et que les cybercriminels se sont introduits dans le SI, ils tentent généralement d’augmenter leurs privilèges afin de pouvoir émettre des commandes et accéder aux ressources qui les intéressent. Ils en profitent pour effectuer une reconnaissance et se déplacer au sein du réseau afin de se rapprocher de leur objectif final.
- Atteindre l’objectif : Une fois qu’ils ont en leur possession les données d’identification dont ils ont besoin et qu’ils ont trouvé ce qu’ils cherchaient, les cybercriminels sont libres de semer le chaos. Découvrez ce que vous pouvez faire à chacune de ces étapes pour gérer vos identités à forts privilèges et sécuriser votre organisation dans cette période.
Empêcher les accès non autorisés
Pour mettre en place une authentification solide, vous devez vous assurer que les conditions suivantes sont réunies :
Toutes les données d’identification sont intégrées à un même système de gestion des identités à forts privilèges.
Le système de gestion des identités à forts privilèges est intégré aux référentiels d’identités existants, tels que les annuaires Active Directory ou LDAP.
Une authentification multifacteur est utilisée d’une manière ou d’une autre (par ex., jetons logiciels pour smartphone, cartes de clé physiques, etc.).
Des restrictions de connexion sont utilisées en fonction du moment et de l’endroit où les utilisateurs requièrent un accès (par ex., adresse IP ou heure de la journée).
Les données d’identification sont protégées dans des référentiels cryptés et renouvelées régulièrement.
Limiter l’escalade des privilèges, la reconnaissance et le mouvement latéral
Pour éviter les accès non autorisés, vous devez garantir les points suivants :
Une règle « confiance 0 » oblige les utilisateurs à s’authentifier pour pouvoir accéder aux systèmes.
Des contrôles d’accès basés sur les rôles et une authentification unique (SSO) sont appliqués conjointement.
Des règles sont mises en œuvre via des filtres de commande, ainsi que des listes noires et blanches, pour permettre un contrôle précis des actions que les utilisateurs sont autorisés ou non à exécuter.
Toute tentative de mouvement latéral par un utilisateur, entre des systèmes non autorisés, est stoppée de manière proactive.
Superviser, enregistrer et auditer l’activité
Pour prévenir les violations lors de cette étape de la chaîne de frappe, vous devez garantir :
Les sessions utilisateur sont en permanence supervisées, enregistrées et consignées, afin de pouvoir les revoir.
Toutes les données d’activité (données graphiques et texte), ainsi que les métadonnées, sont enregistrées, notamment le moment où la session a démarré et toute tentative de violation des règles en place. • Toute activité des comptes à forts privilèges est attribuée à un utilisateur spécifique, afin d’éviter la confusion qui peut régner en cas de comptes partagés.
Les fonctions d’analyse en place incluent la capacité à détecter de manière proactive tout comportement inapproprié, en intégrant l’activité des utilisateurs aux données SIEM existantes.
Les impacts liés à une cyberattaque peuvent être considérables pour toute entreprise. Il n’existe aucune solution miracle pour empêcher quelqu’un de vouloir s’introduire dans le SI et ce, en dépit des efforts de préparation et protection qu’une entreprise peut y consacrer.
Les entreprises doivent donc modifier leur positionnement en matière de sécurité, abandonner la posture défensive pour adopter une approche à la fois stratégique, proactive et pragmatique puis maîtriser le temps de transformation.
Vous avez trouvé cet article intéressant ? Partagez le sur vos réseaux sociaux !
