Sensibilisation des développeurs :

L’objectif est de traiter le problème à la source, en formant les développeurs de manière concrète et imagée, avec des exemples d’exploitation d’injection SQL ou encore d’exploitation d’une faille d’un framework… Cette sensibilisation peut se faire au travers d’un mini-séminaire sur le top-ten de l’OWASP par exemple. Pour que cette démarche soit efficiente, privilégiez les démonstrations, et surtout parlez le même langage que les développeurs. La sensibilisation de vos développeurs vous permettra de réduire les coûts de redéveloppement après audit et d’améliorer le niveau de sécurité de ce qui est livré.

Protéger les bases de données :

Selon les retours d’expérience de XMCO, 90% des entreprises auditées souffrent de comptes MSSQL ou Oracle avec des mots de passe par défaut. L’utilisation des comptes par défaut sur les bases de données est un réel problème. Le principe serait donc de limiter les connexions SQL par IP source. Pour ce faire, XMCO conseille de lister les sources légitimes (serveurs d’applications…), configurer la base pour n’accepter que ces sources légitimes en SQL et autoriser également le VLAN des DBAs.

La veille :

Il serait illusoire d’imaginer pouvoir effectuer une veille sur tout. L’important est donc de choisir un périmètre que l’on est sûr de pouvoir couvrir. Vous pouvez, par exemple, a minima surveiller les 5 technologies les plus critiques, lire un avis d’expert par mois, mais surtout appliquer tous les patchs critiques.

Sensibiliser une direction :

Les Directions Générales perçoivent généralement la sécurité informatique comme un coût et n’ont souvent pas conscience des risques internes. Afin de les sensibiliser, il est nécessaire de leur démontrer par l’exemple une intrusion dans des données business. Dans les faits, il s’agit de réaliser un mini test d’intrusion interne, en simulant un pirate qui chercherait des documents sensibles (RH, métier), puis de montrer les résultats à la direction en expliquant que ce n’est qu’un échantillon relevé sur 2j.

L’antivirus pour détecter les intrus :

Les enquêtes forensics du CERT-XMCO constatent toujours que les pirates avaient été détectés très tôt sur la console AV. L’objectif serait donc d’exploiter au maximum les capacités des logiciels déjà installés. Pour optimiser la capacité de détection d’une intrusion, ils conseillent, dans un premier temps, de s’assurer que les antivirus détectent les menaces de type « hacking tool », puis de surveiller et réagir en cas de détection de Pwdump, Fgdump, Cain&Abel, Metasploit.

Filtrer les flux internes :

Le concept « autorisez que les ports strictement nécessaires » est impossible à mettre en place en interne. Le principe de précaution repose alors, selon eux, sur l’utilisation d’une blacklist, à défaut d’obtenir la matrice de flux parfaite. Il s’agit, entre autres, de définir des VLAN « postes de travail » et serveurs », d’interdire les ports dangereux vers les serveurs : 22, 1521, 1433, 23, 445, 8080…, ou encore d’interdire les flux MSRPC entre les VLAN postes de travail.

Interdire les connexions sortantes :

Dans tous les cas d’enquête forensics menées par le CERT-XMCO, les pirates étaient aidés par le fait qu’ils pouvaient facilement mettre en place une connexion avec leur serveur de rebond externe. Le but est donc d’empêcher les backdoors de se connecter à leur maître, afin de réduire les risques de rebond et de rémanence des pirates en cas de compromission. Pour ce faire, ils recommandent l’utilisation de whitelists pour les connexions sortantes des serveurs, une surveillance des volumes et des IP sortantes…

Des clauses sécurité dans les contrats :

Il est essentiel que les clauses sécurité apparaissent de manière précise et explicite dans les contrats. Vous devez ajouter des clauses sécuritaires avec les sociétés de développement et d’intégration, être clairs et concis sur vos exigences de sécurité, ou encore indiquer les checklists. Si vos contrats sont bien ficelés, les coûts de redéveloppement seront à la charge du prestataire en cas de détection de failles.

Renforcer l’Active Directory :

Les pirates copient la base de l’AD et utilisent des comptes de services pour rebondir sur tous les serveurs en usurpant différents comptes. Dans le but de renforcer l’Active Directory et de ralentir les pirates en interne, il est important de supprimer ou bloquer les comptes dangereux. Vous pouvez, dans un premier temps, détecter les mots de passe triviaux, avec le logiciel XMCO IMA par exemple. Il est également nécessaire de restreindre les droits des comptes de services et du nombre d’administrateurs

Ouvrir son réseau relationnel :

Les liens avec les autres RSSI sont essentiels, afin de bénéficier et d’échanger sur vos retours d’expérience respectifs. Pour faciliter ces échanges, n’hésitez pas à demander à vos prestataires de vous mettre en contact.

Traquer les données sensibles :

XMCO trouve très régulièrement lors de ses audits des documents très sensibles accessibles à tous. Mais comment traquer ces données sensibles avec des moyens simples ? Marc Behar et Frédéric Charpentier conseillent de se balader dans partages avec un compte standard, et d’utiliser l’explorateur de fichiers Windows afin d’effectuer des recherches sur les mots-clés suivants : « password », « login », « mot de passe », « confidentiel »… En outre, certains outils spécialisés PCI DSS, comme XMCO PANBuster, permettent de rechercher des numéros de CB en clair dans des systèmes de fichiers.

Pour conclure, les différents Quick Wins évoqués présentent l’avantage d’adresser tous les chantiers, même les plus gros et difficiles, tout en limitant les risques d’échec.