Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Le défi de sécuriser les petites et les moyennes entreprises (PME)

juin 2018 par IS DECISIONS

Les petites et moyennes entreprises (PME) aujourd’hui sont attaquées par des logiciels malveillants, des rançongiciels, des menaces externes et des violations de données. Mais avec le manque de sophistication autour de la stratégie de sécurité de la plupart des PME, la perspective de ne pas être affecté par les attaques est mince.

LES PME, UNE CIBLE LUCRATIVE

La plupart des PME n’ont pas suffisamment de défenses en place pour protéger, détecter ou réagir aux attaques, ce qui les rend faciles à attaquer. En réalité, l’étude du Ponemon Institute a constaté que seulement 14% des PME considèrent leur propre sécurité comme « très efficace ».

UNE MENACE DE COMPROMISSION OMNIPRÉSENTE

Aujourd’hui, la majorité des PME se focalise sur une sécurité protectrice. Elles mettent en place un antivirus, des filtres de messagerie, une liste blanche des applications et peut-être un système de détection d’intrusion ou d’authentification à deux facteurs pour les comptes les plus privilégiés.
Il n’y a pas de mal à cela. Ces mesures de protection et de détection doivent évidemment être prises, mais cela ne suffit pas.
Malgré tous ces efforts, la compromission persistera. Les attaquants s’améliorent, cherchent de nouvelles façons d’attaquer et le problème est que personne ne le détecte. Et s’il n’y a pas de détection, il n’y a pas non plus de réponse.
Le problème parfois avec une violation est de détecter qu’elle a eu lieu. Selon le Ponemon Institute, il faut en moyenne 191 jours pour découvrir une violation. Pour être bonne, une stratégie de protection doit être validée au fil du temps. « Détecter et réagir » devrait être utilisé pour s’assurer que les mesures préventives fonctionnent – il faut repérer et réagir à une activité anormale ou suspecte.

METTRE EN PLACE UNE SÉCURITÉ PROACTIVE

Alors, comment une PME peut-elle mettre en place une stratégie qui protège son organisation, ses utilisateurs et ses données ?
Voici 8 critères adaptés aux PME pour atteindre un impact maximum avec un minimum d’effort :
1. Efficace : Ajoutez des couches à votre stratégie de sécurité. Mettez en place une défense en couches maximise vos chances d’arrêter une menace avant qu’elle ne commence.
2. Intelligence : Les solutions qui offrent simplement de l’information entraînent la nécessité d’embaucher un « chien de garde ». Choisissez des informations et de l’intelligence qui peuvent vous aider à repérer et à arrêter une violation.
3. Automatisé : Si une action tombe en dehors d’un ensemble de restrictions établies, votre solution devrait automatiquement prendre des mesures avant que le dommage ne soit fait.
4. Administration limitée : La plupart des petites et moyennes entreprises n’ont pas d’équipe informatique importante. Les solutions de sécurité les plus utilisées ont tendance à être simples à mettre en œuvre et intuitives à gérer.
5.Précis : Les PME ne peuvent pas avoir beaucoup de faux positifs. Elles n’ont pas le temps de chasser 50 alertes par jour.
6. Non perturbateur pour l’informatique : Les solutions qui fonctionnent avec l’infrastructure existante ne frustrent pas les équipes informatiques.
7. Adoption facile : Si la sécurité submerge et étouffe la productivité, les utilisateurs ne peuvent pas faire leur travail et la solution est déjà morte à l’arrivée.
8. Rentable : La sécurité ne doit pas nécessairement coûter cher, mais elle doit être efficace par rapport à son coût.

Il ne fait aucun doute que les PME ont besoin d’une stratégie de sécurité proactive. Elles doivent être en mesure d’identifier quand n’importe quel type d’acteur de menace essaie de frapper. Il existe un certain nombre d’indicateurs de compromission [1] mais il est impossible de tout surveiller en même temps. Il convient donc de déterminer quel indicateur est le plus facilement détectable, tout en fournissant le meilleur indicateur de compromission.

SECURISER LES PME GRÂCE A LA GESTION DES CONNEXIONS

45% des violations de données sont le résultat d’identifiants compromis [2]. La compromission d’identifiants est essentielle aux hackers pour éviter la détection de violation de réseau.
De cela découle une vérité fondamentale : un attaquant est incapable de faire quoi que ce soit dans votre organisation à moins de pouvoir compromettre un ensemble d’informations d’identification internes. Autrement dit : pas de connexion, pas d’accès.
Mais pour un administrateur de sécurité, il peut être fastidieux d’essayer d’identifier une activité suspecte lorsque l’adversaire dispose d’informations d’identification valides et autorisées.

Les connexions fournissent l’une des indications les plus claires de compromission potentielle. Elles représentent une activité commune à travers presque tous les modèles d’attaque et elles sont souvent facilement compromises. Il suffit d’un employé négligent qui partage un mot de passe ou laisse un poste de travail sans surveillance. Même l’employé le plus prudent peut être exploité et victime d’un vol d’identifiants.

Un indicateur de compromis inclut les anomalies de connexion suivantes :

Point de terminaison utilisé : le PDG ne se connecte jamais à partir d’une machine située dans le département comptabilité, n’est-ce pas ?
Heure d’utilisation - Un utilisateur avec un travail de 9h à 17h se connectant un samedi à 3h du matin ? Oui, c’est suspect.
Fréquence - Un utilisateur se connecte normalement une fois le matin et se déconnecte le soir, s’il est soudainement en train de se connecter et déconnecter plusieurs fois en très peu de temps, cela peut indiquer un problème.
Sessions simultanées - La plupart des utilisateurs se connectent à un seul point de terminaison. Voir un utilisateur se connecter soudainement à plusieurs terminaux simultanément est un indicateur évident.

La visibilité est la clé. En surveillant vos connexions, vous aurez une meilleure idée des risques auquel l’organisation est confrontée quotidiennement. Néanmoins, vous devez également mettre en place des contrôles pour limiter le comportement à risque si vous voulez que votre organisation commence à améliorer sa position en matière de sécurité et à limiter les risques de compromission.

Avec UserLock [3], les équipes informatiques peuvent s’assurer que les utilisateurs authentifiés sont ceux qu’ils prétendent être, même lorsque les identifiants sont compromis. Les tentatives de connexions qui ne satisfont pas aux restrictions établies sont automatiquement bloquées avant que tout dommage ne soit causé. Les outils de détection des risques alertent sur d’autres activités suspectes offrant aux administrateurs informatiques la possibilité de réagir instantanément. Travaillant aux côtés d’Active Directory, UserLock étend la sécurité bien au-delà des stratégies de groupe et des fonctionnalités Windows natives.




Voir les articles précédents

    

Voir les articles suivants