La multiplication des terminaux et le perfectionnement des techniques utilisées par les pirates informatiques rendent la sécurisation des systèmes IT à la fois plus importante et plus délicate. Le RSSI ne peut agir seul : il doit à la fois travailler de concert avec la DSI et les utilisateurs eux-mêmes. Une vision globale et automatisée de la sécurité est le premier rempart pour une lutte 24/7/365.

Une sécurité implémentée sur plusieurs niveaux

L’ampleur des récentes attaques, WannaCry en tête, a attiré l’attention sur les risques posés par les cybercriminels. Mais le déroulé général de l’attaque – phishing, exploit, infection, propagation, cryptage et demande de rançon – n’avait rien d’exceptionnel. La différence provient en l’occurrence de la sophistication de l’exploit et du mode de propagation à travers le système IT. Or, de simples mesures préventives peuvent finalement suffire à assurer une sécurité hermétique.

À commencer par l’antivirus, qui doit être mis à jour régulièrement. Cette première ligne de défense est nécessaire mais insuffisante : lors de sa propagation, WannaCry ne pouvait être détecté que par 30 % environ des antivirus. Des mises à jour régulières d’autant plus nécessaires que lorsque le virus est modifié, sa variante – comme Petya – peut passer totalement inaperçue de l’antivirus, sans une base de virus récente.

Mais aussi efficace soit-il, l’antivirus ne pourra pas seul venir à bout de toutes les menaces. C’est la raison pour laquelle les systèmes d’opération et applications doivent régulièrement recevoir les patches de mises à jour. Le patching est essentiel à la réduction du cyber-risque, car lui-aussi réduit les points d’entrée des virus : moins les portes d’entrée des vulnérabilités sont nombreuses, moins les lacunes de l’antivirus risqueront d’être problématiques.

Enfin, la gestion des privilèges et le whitelisting, englobés sous le terme de contrôle des applications, permettent quant à eux de limiter les dégâts en cas d’infection. Les entreprises sont souvent réticentes à sa mise en place, par peur d’une gêne pour les utilisateurs ou d’une gestion trop chronophage. Mais, géré dynamiquement, le contrôle des applications élève sensiblement le niveau de sécurité, sans pour autant affecter la performance des collaborateurs.

L’humain : maillon faible de la stratégie de sécurité ?

Solide comme un roc, la « forteresse IT » n’en reste pas moins à l’usage d’un groupe d’individus. Et c’est parfois là que le bât blesse : dotés de droits étendus – pour pouvoir travailler tout simplement – les collaborateurs sont sources d’un certain nombre de vulnérabilités. C’est ainsi que l’ouverture malencontreuse d’un email peut suffire à lancer le téléchargement d’un malware. Et c’est encore sans compter sur une certaine dose d’inconscience collective, les utilisateurs ayant parfois tendance à télécharger des applications non autorisées, sans forcément s’assurer qu’elles soient fiables, ou encore à se connecter sur leur lieu de travail avec leurs terminaux personnels non sécurisés.

Dès lors, il n’est pas étonnant que, comme le souligne l’étude DBIR 2017 de Verizon, un employé sur 14 ait ouvert une pièce jointe malicieuse sur l’année écoulée. Pour éviter la contagion par le virus, la collaboration entre le service desk et la sécurité est essentielle. Le service desk doit informer la sécurité sur les encours, le réseau, les terminaux utilisés et les flux de données. C’est à lui que s’adressent les utilisateurs en cas de problème, et non à la sécurité – il dispose donc de données que n’a pas le service de sécurité. Il peut en tirer des conclusions ou au moins reconnaître des schémas inhabituels qui doivent l’alerter sur la possibilité d’une attaque de grande envergure, et les communiquer au RSSI.

Intégrer l’IoT comme un facteur de sécurité

L’infrastructure IT des entreprises s’ouvre rapidement à l’Internet des Objets : IDC estime que 31 % des entreprises ont développé des solutions IoT, ce qui pose des risques conséquents, car leur sécurité est encore généralement à remettre en question. Selon une étude du SANS Institute de 2016, 44 % des entreprises ont en effet estimé qu’au moins un de leurs terminaux avait été compromis au cours deux dernières années. Tandis que les attaques DDoS récentes ont montré à quel point il est aisé de pirater un objet connecté.

À n’en pas douter, l’IoT peut donc devenir une véritable et très dangereuse menace pour les entreprises. Car au-delà de son utilité dans le cadre d’attaques en déni de service, un objet connecté hacké permet de récupérer des données (adresse IP, données clients, etc.) à revendre : un marché noir estimé à un milliard de dollars l’an dernier. Une entrée facile, de plus en plus de points d’accès, et un gros butin : inutile d’être devin pour imaginer que ce marché a encore une belle croissance devant lui.

Pour s’y préparer, les entreprises doivent mieux communiquer en interne. La DSI – et plus particulièrement son département Sécurité – doit tenir et mettre à jour quotidiennement un inventaire précis de tous les terminaux capables de se connecter au réseau de l’entreprise, y compris les fameux objets connectés. Objectif : sécuriser tous les accès au système d’information et être en mesure de réagir rapidement et efficacement en cas d’attaque avérée. Mais avec la multiplication exponentielle et très rapide du nombre de terminaux, quels qu’ils soient, inutile de penser pouvoir tout gérer « à la main » : une automatisation et une unification des technologies de patching, de whitelisting et de contrôle des applications est indispensable pour une vision et une gestion globales des défenses contre les attaques.

 

__________
Jean-Benoît Nonque est Vice-Président France, Europe du Sud, Moyen-Orient et Afrique, Ivanti