Aucune entreprise n’est trop petite ou insignifiante pour un cybercriminel; les événements récents montrent à quel point une cyberattaque peut être dommageable. Qu’il s’agisse d’attaques au retentissement mondial, comme la société Colonial Pipeline victime du ransomware Darkside, ou les attaques qui ont visé de très nombreux hôpitaux français, les conséquences et répercussions sont dramatiques.
Avec tous les moyens et solutions qui existent aujourd’hui, pourquoi une telle cybercriminalité est-elle encore possible ? Et que peut-on faire pour prévenir les attaques avant qu’elles ne se produisent ?
Au cours de la dernière décennie, la détection a été de plus en plus utilisée comme un moyen d’obtenir une meilleure visibilité des cybermenaces et plus particulièrement des ransomwares. Dans de nombreux cas, la détection est même devenue le principal moyen de réponse à ces attaques. Elle nécessite des outils tels que les services de réponse à incidents, ainsi qu’une analyse précise pour déterminer la cause initiale d’une attaque ainsi qu’une réponse en post-mortem. Après l’attaque, un focus est effectué sur l’entreprise, son secteur et, plus directement, sur ses équipes de réponse à incidents. Il s’ensuit une pression pour modifier les équipes, les processus ou les outils en place afin de mieux faire face aux futures attaques.
En recherchant comment ces attaques sont rendues possibles, il est facile de déceler les actions communes qui les permettent. Souvent, l’attaque initiale se fait par le biais de l’ingénierie sociale, du phishing ou de téléchargements à la dérobée afin d’établir un point de contact et de prendre le contrôle d’une vulnérabilité dans un logiciel ou dans une application Web. Viennent ensuite la découverte, le déplacement latéral, l’escalade de privilèges et, dans certains cas, l’exfiltration de données. Enfin, la dernière étape de l’attaque est le rançonnement, étape où l’entreprise se trouve dans la position délicate de devoir payer une rançon ou bien de faire face aux longues conséquences de l’attaque.
Les organisations ne peuvent plus attendre qu’une attaque se produise pour se doter d’une politique de sécurité, d’un programme de gestion des correctifs, et surtout d’un programme de formation à la sensibilisation des utilisateurs. Cet exercice doit être exécuté au moins une fois par trimestre avec chaque employé de l’entreprise.
En adoptant cette approche proactive pour revoir régulièrement toutes les politiques et conseils de sécurité, les entreprises peuvent non seulement garder une longueur d’avance sur l’évolution du paysage, mais aussi faire en sorte que leurs employés soient un maillon de sécurité globale. Stopper les attaques de phishing en reconnaissant les communications illégitimes provenant d’emails, des réseaux sociaux et de sites web sur les devices de l’entreprise fait partie intégrante de toute pratique de sécurité.
Avoir un état d’esprit axé sur la prévention signifie régler les outils de sécurité d’une entreprise sur l’anticipation, au lieu de s’appuyer sur l’investigation et la réponse en post-mortem. Souvent, les entreprises confondent une meilleure visibilité avec une meilleure sécurité. Or, rien ne remplace une excellente prévention avant exécution lorsqu’il s’agit de la sécurité des terminaux.
Une bonne visibilité des mouvements latéraux, de l’élévation des privilèges et de l’exfiltration des données est importante, mais sans une équipe qui analyse les alertes et y donne suite, les données elles-mêmes ont moins de valeur.
Le processus d’évaluation des données et la prise de décisions éclairées sur les contrôles d’accès, les politiques des endpoints, les processus en cours d’exécution et les connexions externes sur chaque terminal sont tout aussi importants que la collecte de données des endpoints.
Si une organisation ne réagit pas rapidement, elle court le risque de passer à côté des indicateurs d’une attaque qui aurait pu être évitée.
En matière de sécurité, il est normal de remettre en question la norme de façon régulière. Il ne devrait pas être acceptable de revoir des mesures et configurations de sécurité uniquement en post-mortem. Le moment de l’examen et de la remise en question se situe avant l’attaque, c’est pourquoi tous les outils devraient faire l’objet d’un examen au moins trimestriel afin de vérifier leur visibilité, leur efficacité et leur adaptation pour combler les lacunes en matière de sécurité. Les exceptions appliquées pour des raisons de compatibilité et de continuité de l’activité doivent faire l’objet d’un examen annuel afin de s’assurer qu’elles sont toujours nécessaires et de combler les éventuelles lacunes de sécurité qu’elles laissent subsister. Enfin, il convient de procéder à une mise à jour mensuelle des vulnérabilités des applications et des systèmes d’exploitation et d’établir un plan d’action pour l’application de correctifs permettant de combler les lacunes.
La menace des ransomwares est présente pour tous les utilisateurs, qu’ils soient chez eux ou au bureau. Il incombe à tous les membres d’une entreprise de mettre l’accent sur la prévention et sur un effort régulier de révision, de formation et d’analyse des données. Si chacun s’efforce de participer à la pratique de la sécurité, il est tout à fait possible de mettre fin à la menace des ransomwares et à leur impact sur les organisations et l’économie.
___________________
Par Guillaume Maguet, en charge du développement technique de l’Europe du Sud chez Deep Instinct