Le blog de la Cybersécurité

by OpenSphere.

Revenir au blog

PME  : Il est temps de sécuriser votre S.I.  !

Avant toute chose, la bonne question qu’il faut se poser n’est pas si vous allez être attaqués mais plutôt quand…

La cybersécurité des PME est importante et pose problème car elle mobilise des moyens pas toujours adaptés pour protéger les systèmes d’information. Comme le risque zéro n’existe pas, il est important d’en être conscient et de mettre en œuvre des actions pour s’en prémunir.

Voici quelques conseils et moyens simples qui vous permettront de vous protéger contre le plus grand nombre et de mieux réagir en cas d’attaque.

 

Définir une politique de sécurité (une vraie !)

La sécurité informatique ne s'improvise pas et ne se bâtit pas en réaction à la suite d'une attaque ou en réaction à un fait d'actualité. Comme la stratégie pour son entreprise, il est important de se donner un cap et de prendre le temps d’élaborer un vrai plan d’actions. 

Il faut définir le périmètre à protéger, se fixer des objectifs, nommer des responsables en corrélation avec les budgets que vous estimez raisonnable pour la protection de vos données. Le périmètre, les priorités du périmètre et les interventions doivent être définis par écrit. Toutes ces étapes d’organisation sont importantes car il est essentiel d’avoir les bons réflexes et d’éviter toute maladresse malencontreuse dans un moment de panique.

 

Déterminez ce qui est critique pour votre entreprise

Les entreprises sont aussi différentes que les gens et ont toutes des choses différentes à protéger. Examinez de près ce qui compte vraiment pour votre entreprise et son adéquation avec vos objectifs globaux.

  • Définir quelles sont pour vous vos informations qui font la valeur de votre entreprise ? (on le nomme “patrimoine informationnel” : expl des données confidentielles client)
  • Savez-vous où se trouvent toutes vos informations (bases de données, serveur de fichiers, Cloud…) ? 
  • Propriété intellectuelle
  • Données financières
  • Informations du patient
  • Fonctions commerciales critiques, etc

 

Former vos employés

L'élément humain est souvent le maillon faible de la sécurité informatique d'une entreprise. Entraînez vos employés à utiliser des mots de passe forts et à éviter les liens et les pièces jointes dangereux. Il faut indiquer aux personnels quels sont les bons comportements à tenir face aux menaces de ce type, clef USB ou email frauduleux, etc.

Des règles de comportement simples permettent de déjouer bien des attaques. Certains pirates informatiques ont recours à l'ingénierie sociale car elle est bien plus simple à mettre en œuvre qu'une cyberattaque sur un système d'information protégé. Des entreprises ont dû  faire face aux « arnaques au président »  : L’art du FOVI (Faux ordre de virement) consiste à abuser d'un employé ou d'un assistant comptable afin d'exiger un virement bancaire.

Elle nécessite une phase préalable de connaissance de l’entreprise ciblée, de son personnel, et de ses dirigeants. La première contre-mesure, c'est de responsabiliser le personnel. 

Pour aller plus loin des sessions de sensibilisation des collaborateurs existent ainsi que des formations plus techniques (CISSP, CRISC, CISM, CISA, CEH V9, ITIL V3 FOUNDATION) https://www.opensphere.fr/fr/formations/

Surveillez vos réseaux WI-FI

Attention les routeurs ADSL ou 4G déployés par les salariés doivent être formellement interdit, ces accès Internet clandestins posent un sérieux problème de sécurité informatique, les bornes Wi-Fi déployées dans les locaux de l'entreprise doivent être placées sous très haute surveillance. 

S’ils sont mal sécurisés, ils sont de véritables invitations au piratage. Simple voisin de palier ou depuis un véhicule garé dans la rue les pirates ont de multiples outils à leur disposition pour décrypter les mots de passe Wi-Fi en quelques minutes. Contrôler ces accès est une des étapes importantes dans le processus d’amélioration de la sécurité de vos données et doit faire partie de la politique de sécurité informatique de l'entreprise.

N’hésitez pas à faire auditer votre réseau et/ou réaliser des tests d’intrusion réguliers au prêt de spécialistes certifiés (CEH - Certified Ethical hacker, par exemple)

 

Effectuez des sauvegardes régulières et systématiques de vos données

Les données informatiques sont l’or noir de l’entreprise. Ces données peuvent être compromises suite à un vol, une panne informatique ou un incident survenu au sein des locaux (incendie, dégât des eaux). 

Pour éviter toute perte dommageable et la mise en danger de l’entreprise, il est nécessaire de réaliser des sauvegardes aussi souvent que possible sur des supports mobiles ou d’externaliser les sauvegardes auprès d’un service cloud. Evidemment les données les plus sensibles (données vitales à  la survie de la  PME) restent sous le contrôle du chef d’entreprise ou administrateur.

 

Inventaire de vos appareils

Identifiez et sécurisez tous les périphériques utilisés par vos employés, y compris les clés USB, les smartphones, les tablettes et les ordinateurs portables. Seulement 17% des PME prennent des mesures pour sécuriser les données de l'entreprise sur leurs appareils personnels.

Ces appareils sont fréquemment perdus ou volés lors de déplacements. Le développement du « Home office » favorise cet état de fait. Ces terminaux perdus ou volés sont la cause d'importantes fuites de données informatiques d'entreprise. Il est primordial d’être capable de les Geolocaliser, de les activer ou désactiver à distance et de pouvoir en effacer le contenu dès la perte signalée. Des solutions type MDM (Mobile device management) existent et vous permet de gérer la sécurité de vos outils mobiles en société.

https://www.pcmag.com/article/342695/the-best-mobile-device-management-mdm-software

Autre point, pour les appareils et documents en fin de vie il est important de procéder à une restauration complète des équipements avant de les éliminer.

 

Ça vous intéresse, mais vous préférez vous concentrer sur votre métier  ? 

Le SOC (Security opération center) peut être la solution à vos besoins : 

Vous bénéficiez d’une surveillance en temps réel de la sécurité de vos actifs. Vous êtes informé en cas d’incidents et tout comportement malveillant est détecté en amont. Une équipe de spécialistes est à votre disposition pour surveiller et prendre soin de votre sécurité : vous gagner du temps en vous concentrant sur votre cœur de métier. Si vous le souhaitez, vous pouvez être accompagné pour la mise en place de la gouvernance « sécurité » ou dans la définition de l’architecture de sécurité.

 

Avantages pour votre entreprise :

  • Un équipe d’experts à votre service
  • Une simplification de la gestion du périmètre à sécuriser
  • Pas de gestion des mises à jour et des évolutions de produits
  • Une meilleure réactivité et rapidité de service
  • Une optimisation des coûts
Annexe : Pour aller plus loin

Autoformation à la sécurité du poste de travail de l'ANSSI
Sécurité du SI : pourquoi les méthodes classiques ne marchent pas
Protection de l'information et cloud computing, guide du Cigref
Éduquer les acteurs de l'entreprise aux risques numériques, guide du Cigref , 
Guide des bonnes pratiques informatique de l'ANSSI

Pour recevoir nos prochains articles sur la cybersécurité ! Abonnez-vous au blog d'Opensphere

abonner blog opensphere

 

Bertrand Jaunet
Bertrand Jaunet
Convaincu que la sécurité est une étape incontournable dans l’amélioration de la performance et de la compétitivité des entreprises, Bertrand en a fait un de ses domaines d’expertise. Ses compétences et son expérience acquise chez APPLE ou encore Dell/EMC, lui permettent aujourd’hui de partager sa vision et d’accompagner nos clients sur les enjeux de demain.

Sur le même thème

Répondre à une cyber-attaque en 6 étapes clefs (suite 2/2)

4. Gérer les relations publiques Ce sera une exigence clé de l'équipe d'intervention en cas d'incident, en particulier lorsque l'organisation impliquée est une organisation tournée vers le consommateur. Toutes les atteintes à la sécurité ne seront pas rendues publiques, mais pour beaucoup, elles sont inévitables - par exemple, lorsque les données personnelles des clients ont été compromises et sont du domaine public, ou lorsque la législation applicable en matière de protection des données exige que les personnes concernées soient notifiées. Il est essentiel de pouvoir gérer les annonces au public en temps voulu et d’être précis, ouvert et honnête dans les messages transmis.   5. Répondre aux exigences légales et réglementaires Une législation spécifique peut contenir des obligations de notification réglementaires applicables en cas d'infraction. Bien que la plupart des juridictions ne disposent pas (encore) de lois spécifiques et globales en matière de cybersécurité, il existe souvent une mosaïque de lois et de réglementations élaborées en réponse à des menaces en constante évolution. Certaines de ces lois s'appliqueront universellement à tous les secteurs, tandis que des législations sectorielles continuent de se développer pour cibler les secteurs les plus exposés aux risques - par exemple, les services financiers, les infrastructures de services publics critiques et les télécommunications. En France, les organisations doivent accorder une attention particulière à la législation sur la protection des données. Le nouveau règlement proposé sur la protection des données en Europe impose aux organisations de tous les secteurs d’informer obligatoirement leurs autorités compétentes en matière de protection des données de toute atteinte à la sécurité, y compris des faits entourant la violation, de ses effets et des mesures correctives prises par l’organisation. Certaines législations peuvent également exiger, en plus d'une notification réglementaire, la notification des personnes dont les données ont été compromises à la suite de la violation de la cybersécurité. Décider qui notifier n'est pas facile - il peut ne pas être possible d'identifier les données qui ont été affectées, par opposition à celles qui auraient pu être affectées. Si une organisation compte plusieurs millions de clients, la perspective de les notifier tous ne doit pas être prise à la légère.   6. Engager sa responsabilité Malheureusement, quelle que soit la préparation d'une organisation, celle-ci est néanmoins susceptible d'engager une forme de responsabilité en cas d'infraction à la cybersécurité. Une organisation peut engager cette responsabilité de différentes manières.   Une cyber-attaque pourrait entraîner une responsabilité directe non juridique. Cette responsabilité pourrait résulter, par exemple, de tentatives de chantage, de vols, de ransomwares et de paiements à titre gracieux qu'une organisation peut choisir d'effectuer dans une perspective de relations publiques et de relation client. Cette dernière catégorie peut représenter un coût important pour les entreprises, mais peut réellement contribuer à limiter les dommages causés à la relation client. Par exemple, une organisation pour laquelle les informations de carte de crédit du client ont été compromises peut choisir de proposer un filtrage du crédit gratuit aux clients concernés pendant un certain temps.   Il y aura très souvent une responsabilité réglementaire résultant de violations de la cybersécurité. Du point de vue de la protection des données, la législation européenne en vigueur impose aux organisations de mettre en place des mesures de sécurité techniques et organisationnelles appropriées pour protéger les données à caractère personnel.    S'il s'avère qu'une organisation a échoué dans la mise en œuvre de cette exigence réglementaire, elle pourrait être passible d'une pénalité.  Dans le secteur des services financiers, le régulateur a toujours infligé des amendes plus lourdes pour les atteintes à la sécurité que le commissaire à l'information. Par exemple, en août 2010, la FSA a infligé une amende de 2,275 millions de livres à Zurich Insurance Plc pour la perte de 46 000 enregistrements de clients sur une bande de sauvegarde non cryptée, qui était en cours de traitement pour une filiale sud-africaine.   Bien que cet article se concentre sur ce qu’il faut faire en cas de violation, il est également important de garder à l’esprit que les organisations peuvent prendre un certain nombre de mesures proactives pour réduire le risque de cyber-attaque avant ça arrive. En particulier, les organisations doivent procéder à une évaluation complète de leurs processus et procédures existants, en identifiant les éléments à protéger et en évaluant les risques spécifiques et les impacts potentiels sur l'entreprise. Par la suite, un plan d'intervention doit être mis en place, comprenant la désignation d'une équipe d'intervention appropriée et apportant les modifications nécessaires aux politiques et procédures afin de traiter les problèmes immédiatement apparents. De plus, étant donné que de nombreuses violations de la sécurité des données surviennent à la suite d'une action ou d'une inaction des employés, la formation et la sensibilisation des utilisateurs sont essentielles.   Vous souhaitez recevoir nos prochains articles sur la thématique de la cybersécurité ? Abonnez-vous au blog Opensphere !   

Répondre à une cyber-attaque en 6 étapes clefs

La cybersécurité concerne toutes les entreprises et tous les secteurs d'activité. La gestion des cyberattaques est un problème «global» qui concerne toutes les équipes de l'entreprise. Il s’agit également d’une question humaine et opérationnelle, plutôt que simplement technique. Dans l'environnement moderne d'aujourd'hui, où chaque organisation dépend dans une certaine mesure de la technologie et des télécommunications, il ne s'agit pas d'un cas de "si" une violation de la sécurité informatique se produit, mais plutôt d'un cas de "quand". Lorsqu'une violation est découverte, il est essentiel d'agir de manière globale et rapide sans quoi l'entreprise risque une plus grande responsabilité. L'organisation doit suivre six étapes critiques pour y faire face Il est important de garder à l'esprit que ces étapes ne sont pas séquentielles - dans la pratique, il sera nécessaire de penser à la plupart d'entre elles en parallèle, en particulier au début de la rupture, où les priorités seront de la contenir afin d'atténuer les effets de la violation, les risques de dommages supplémentaires ou de perte de données.   1-Mobiliser l'équipe d'intervention en cas d'incident En cas d’incident, une équipe d’intervention doit être formée et inclure toutes les parties prenantes internes pertinentes, tels que l'équipe technique chargée d’enquêter sur la violation (éventuellement récupérer des informations volées), les ressources humaines et les représentants des employés si la violation affecte les employés, des experts en propriété intellectuelle afin de réduire au maximum l’impact sur la marque, des responsables communication et/ou relations publiques. Il peut également être nécessaire de faire appel à des représentants externes - par exemple, lorsque les équipes internes ne disposent pas de compétences suffisantes. L'équipe doit également compter des juristes (internes ou externes). Toute cyber-attaque implique des questions juridiques parfois complexes. Dans ce cadre, il sera également nécessaire de vérifier si les pertes résultant d'une cyberattaque sont couvertes par les polices d'assurance d'entreprise existantes de l'organisation. Lorsqu'il y a une assurance en place, l'organisation devra examiner les politiques pertinentes pour déterminer si/quand les assureurs doivent être informés de la violation. Certaines polices couvrent les coûts légaux et de réparation, mais seulement à partir de la date de notification.   2. Sécuriser les systèmes et assurer la continuité des activités À la suite d’une violation, la première étape d’un point de vue technique consistera à sécuriser les systèmes informatiques afin de contenir la violation et d’éviter qu’elle ne se propage. Cela peut signifier qu'une organisation doit isoler ou suspendre une partie compromise de son réseau de manière temporaire, voire déconnecter tout son réseau. Cela peut bien sûr être extrêmement perturbant et potentiellement coûteux pour l’entreprise. Il est également nécessaire de déterminer quand et comment la violation est intervenue et si d'autres systèmes ont été compromis. Bien entendu, il convient de s'assurer que toute nouvelle tentative d'intrusion soit détectée immédiatement.   3. Mener une enquête approfondie Une enquête doit être menée sur cette violation, ses effets et sur les mesures correctives à prendre. L'organisation devra décider qui doit diriger cette enquête et s'assurer qu'elle dispose des ressources appropriées. Lorsqu'il y a un risque d'implication d'employés dans l'infraction, l'enquête doit également tenir compte de la législation du travail applicable. L'équipe d'enquête doit donc consulter et associer les représentants des ressources humaines, selon le cas. Enfin, l'équipe chargée de l'enquête devra s'assurer de documenter toutes les mesures prises, dans la mesure où celles-ci pourraient être nécessaires dans le cadre de toute notification réglementaire à soumettre. En pratique, les enquêtes sont généralement itératives : de nouvelles pistes d’interrogation apparaîtront à mesure que les circonstances entourant la violation deviennent plus claires. En cas d'infraction, il est important de rappeler les conclusions des enquêtes sur les politiques et procédures en place et sur le plan de réaction aux incidents. Il convient de veiller à ce que les employés reçoivent un préavis et une formation appropriés. Les régulateurs sont souvent aussi intéressés par ce qui a été fait pour remédier aux processus à venir que par la violation elle-même.

Bretagne : Recourir à des Ethical Hackers... pour se défendre !

Le terme de “hacker”, a pris au fil du temps, une connotation péjorative. Car selon Wikipedia, “un hacker désigne un virtuose pouvant intervenir dans différents domaines comme la programmation, l'architecture matérielle d'un ordinateur, l'administration système, l'administration réseau, la sécurité informatique ou tout autre domaine de l'informatique ; les médias grand public utilisent à tort le terme « hacker » dans le sens de cracker, black hat (« chapeau noir »), c'est-à-dire un « hacker » opérant de façon illégale ou non éthique. Les hackers sont parfois confondus avec les script kiddies, cyber-délinquants à la recherche de cibles faciles ne demandant pas de connaissance particulière en informatique. “ Les “Ethical Hackers”, (“white hat ou chapeau blanc”) en référence aux hackers, sont les professionnels de la sécurité informatique, qui tentent de pénétrer dans les systèmes d’information de leurs clients, avec leur autorisation préalable. En effet, l’éthique est un des éléments clés de ce métier encore assez peu connu, et qui génère parfois beaucoup de fantasmes.   Les E.H. utilisent leurs compétences pour s'introduire dans les systèmes de leurs clients, découvrir les vulnérabilités et les exploiter afin d’en informer les clients. Ces derniers peuvent ainsi prendre des mesures correctrices et combler ces failles, avant que d’autres n’en fassent mauvais usage... Les E.H. utilisent pour cela des outils existants (par exemple des distributions Linux spécialisées comme Kali qui propose un ensemble d’outils de hacking pré-installés) et leurs propres “armes” développées au cours du temps selon les besoins et les environnements, ainsi qu’une méthodologie stricte et procédurale, permettant de garantir une certaine exhaustivité dans les tests (et ne pas rater une grosse faille !).   La rigueur et la curiosité, la patience et l’astuce sont autant de qualités qu’un bon E.H. doit posséder, le tout serti d’une éthique irréprochable : lorsqu’une banque demande qu’on essaie de la pirater et lui voler de l’argent, il faut le rendre à la fin de la mission, si celle-ci est un "succès" !   Les E.H. réalisent des tests d’intrusion, “penetration testing ou pentest” en anglais. On distingue plusieurs typologies de pentests : externes (depuis internet), internes (depuis le réseau de l’entreprise), en mode black box (sans information) ou grey box (avec un login de test par exemple) pour n’en citer que quelques-uns.   Lors d’un pentest externe en blackbox, le E.H. n’a aucune information technique ou très peu (une adresse IP par exemple ou une URL de site web) sur l’environnement qu’il doit attaquer. À partir de là, il utilise les mêmes stratégies qu’un pirate pour arriver à ses fins. Il va récolter de l’information sur sa cible (le nom de domaine, les services qui sont actifs sur le serveur visé, les technologies utilisées...). Ensuite, il va tester les vulnérabilités connues sur les services découverts à l’aide de scanner de vulnérabilités. Et si elles existent, il va tenter de les exploiter pour s’introduire dans le système pour potentiellement obtenir le “graal” : les droits d’administrateur lui permettant un contrôle total de la machine compromise. Et de fil en aiguille, de rebond de machine en machine et de réseaux en réseaux, il va pouvoir étendre son méfait sur la cible et potentiellement accéder à des infos confidentielles, arrêter des systèmes et contrôler tout ou partie du Système d’Informtion du client à sa guise. Et c’est là où l’éthique fait toute la différence, là où le E.H./consultant sécurité va écrire son rapport de tests, sans porter préjudice au client, comme aurait pu le faire un pirate.   Les tests d'intrusion internes, quant à eux, ont pour but de tester ce qu’un employé malintentionné pourrait faire comme dégât dans l’entreprise, simplement en se procurant des outils et en suivant des tutoriels disponibles sur internet (cf. Scripts kiddies de wikipedia) ! Le cloisonnement des réseaux et de l’information, l’escalade de privilèges, la force des mots de passe, sont autant d’éléments qui sont testés en réel lors du pentest interne et qui permettent souvent de mettre en évidence des lacunes dans ces domaines.   Ainsi, les mots de passe faibles sont généralement découverts très vite, grâce à des outils de “force brute” qui permettent de tester toutes les combinaisons de caractères possibles dans un temps record (*). Les “azerty”, “12345678”, ... n’y résistent pas, ouvrant la porte aux intrusions internes, dans les répertoires et/ou les applications informatiques non autorisés en temps normal.   Outre la technique, d’autres attaques peuvent être utilisées par le E.H. pour arriver à ses fins. Dans un cadre contractuel précis et avec l’accord du client, il pourra mettre en œuvre des techniques de social engineering pour piéger les utilisateurs. Par exemple, il va téléphoner au gens du service comptable et se faire passer pour M. X du service informatique (en ayant préalablement confirmé sur les réseaux sociaux que ce M. X travaille bien au service informatique de l’entreprise pour étayer ses dires), et va demander au collaborateur de lui fournir des informations confidentielles prétextant telle ou telle intervention informatique nécessitant par exemple la création d’un nouveau mot de passe. La plupart des utilisateurs se font piéger, ne soupçonnant pas une seule seconde que ce type d’attaques existe (d’où l‘importance de la sensibilisation à la cyber-sécurité) !   À la fin de sa mission, le E.H. va remettre son rapport au client, pointant du doigts les faiblesses du système et la totalité des failles découvertes, mais aussi ses forces, car le E.H. agit toujours dans le but d’élever le niveau de sécurité, et en aucun cas, dans le but de dénigrer le travail des adminsys.   Ainsi, après y avoir remédier, l’entreprise n’est que mieux protégée des tentatives de piratages. Sachant que les pirates vont le plus souvent là où c’est le plus facile, ils renoncent en général si leurs tentatives sont infructueuses pendant un certain temps, comme le ferait un voleur ne s’acharnant pas sur une porte blindée.   Vous souhaitez recevoir nos prochains articles sur la thématique de la sécurité ? Abonnez-vous au blog d'OpenSphere !