Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Les 15 questions essentielles à se poser poser pour éviter un contamination informatique

mai 2020 par Mathilde Conseil, Security Awareness Officer Maltem Canada Inc. et Marcelo Ardiles, Senior cybersecurity consultant (OSCP, CISSP) Maltem Canada Inc.

- Ou comment développer un vaccin et générer des anticorps pour votre parc informatique !

La crise mondiale sanitaire du covid-19 offre des opportunités aux cyber criminels pour lancer des attaques visant tant la sphère professionnelle que personnelle. Nous aussi, entrepreneurs, indépendants, employés, dirigeants décidons d’être collaboratifs pour contrer ce pic d’attaques, en priorisant les 15 questions à se poser.
Bien entendu, le secteur d’activités, les enjeux économiques et les parties prenantes, impactent les risques et font varier les enjeux : nous proposons ici un scénario qui vise à illustrer la majorité des cas.

Mathilde Conseil, Security Awareness Officer Maltem Canada Inc.

Marcelo Ardiles, Senior cybersecurity consultant (OSCP, CISSP) Maltem Canada Inc.

A- Business first, mais pas à n’importe quel prix
La priorité est de pouvoir communiquer entre collègues et de pouvoir accéder à nos outils corporatifs et ce, de façon sécuritaire. Le télétravail et l’accès à distance des systèmes corporatifs deviennent absolument nécessaires pour assurer la continuité des affaires.

• [1] Chaque employé doit accéder aux outils dont il a besoin, devons-nous simplifier le processus de gestion des accès à distance ?
Ne perdons plus une seconde pour analyser et ajuster les règles en plaçant la sécurité de l’information comme fil conducteur pour ces nouvelles configurations. Dans un environnement sans outils infonuagiques, connexions VPN représentent le moyen le plus sûr d’accéder aux ressources et services privés de l’entreprise.
En conséquence, les accès VPN deviennent une cible privilégiée par les cybercriminels.

• [2] Avons-nous mis en œuvre des solutions pour protéger les mots de passe, telles que l’authentification multi facteurs ?
Au plus vite, nous devons porter une attention particulière au trafic de réseau associé aux connections VPN. Particulièrement-, les ports OpenVPN (U1194) ou SSL VPN (T443, IPsec/IKEv2 U500/U4500) et leurs « logs » respectifs pour s’assurer que ces services ne sont pas exploités par cybercriminels.
En outre, il est utile de garder à l’esprit que les solutions VPN corporatives ont été la cible d’un large éventail d’attaques qui ont commencé au cours de l’été dernier. Pour donner quelques exemples ; le CVE-2019-1579 (Palo Alto Network Security Advisory PAN-SA-2019-0020), le CVE-2019-19781 (Citrix Security Advisory CTX267027) et le CVE-2019-11510 (Pulse Secure Security Advisory SA44101).

• [3] Avons-nous appliqué les correctifs nécessaires pour nous prémunir contre les failles critiques présentes dans les solutions VPN corporatives ?
De même que pour les accès VPN, nous devons garder une attention spéciale sur les applications SaaS et les ressources publiées dans le nuage.
Dans ce contexte d’urgence, nous nous refusons à placer sécurité après productivité. N’oublions pas que les freins d’une voiture lui permettent d’aller plus vite.
Par ailleurs, la forte augmentation du nombre d’employés travaillant à distance, nécessite que nos ressources informatiques soient prêtes, formées et en pleine santé.

• [4] Avons-nous anticipé la multiplication massive des appels et sollicitations de l’équipe en charge du support technique ?
Nos fournisseurs d’accès Internet rencontrent des difficultés pour assurer le trafic demandé et la ligne est instable.

• [5] Avons-nous bien récolté les coordonnées de nos employés dans un environnement isolé en cas d’interruption prolongée de notre réseau (Numéro de cellulaire, seconde adresse de courriel) ?
Il est également nécessaire de leur recommander un canal de communication sécurisé pour échanger de l’information sensible, si nous vivons ce scénario.
À l’exemple du ministère de la santé américain ce 15 mars, ou les hôpitaux de Paris quelques jours plus tôt, les attaques par déni de services ne connaissent pas la crise.

• [6] Sommes-nous suffisamment équipés pour faire face à une attaque DDoS ?
La mise en place d’un plan d’atténuation ou mitigation d’attaques DDoS fera la différence entre des heures ou des jours de chaos. Une réponse rapide et ordonnée avec l’utilisation des solutions offertes sur le marché telles que Imperva, Akamai, Cloudflare, etc. protégera notre entreprise. Nous devons donc identifier quelles ressources sont nécessaires pour nous protéger mais également évalué les impacts sur la continuité des affaires en cas d’indisponibilité. Les délais acceptables pour récupérer les services notamment. Par exemple, les services basés sur des protections CDN sont tout le temps disponibles et instantanés, mais ils ne protègent pas les « data centres » ou les infrastructures de réseau.

• [7] Sommes-nous suffisamment familiarisés avec les types de protections, attaques, capacités de notre infrastructure et notre ISP ?
Une fois que nous avons identifié les ressources à protéger et le type de protection dont nous avons besoin, il faut contracter et déployer les services de protection avant d’en avoir besoin. Finalement, nous devons préparer nos « runbooks » pour définir et orchestrer les activités nécessaires pour répondre aux attaques. Bien évidemment, il faut s’assurer que les « runbooks » ont été adéquatement validés, revues périodiquement et qu’ils contiennent toutes les informations nécessaires. Cela inclus notamment, les chemins d’escalade, les points de contacts, rôles et responsabilités, les procédures de réponse aux incidents, les plans de communications, etc.

B- Bambi et ses amis oui ! mais pas que …
Nous sommes fiers de notre capacité à passer au 100% numérique et réussir à maintenir nos activités, depuis près de 2 semaines maintenant.

• [8] Mais nos employés sont-ils suffisamment sensibilisés aux risques cybernétiques et d’ingénierie sociale, pour passer à ce mode de travail ?
Les attaquants surfent sur un sujet omniprésent et pressant pour proposer des scénarios toujours plus convainquant : vaccins miracles, applications de suivi de l’éclosion, livraison à domicile, support technique, demande de dons, signatures de pétitions … Ainsi, les attaques sont en forte croissance tant dans la sphère personnelle et que professionnelle, avec pour objectif le vol de données ou l’installation de maliciels.

• [9] Avons-nous mis à disposition de nos employés un outil pour signaler les tentatives d’hameçonnage nous permettant de bloquer les expéditeurs à la source ?
Il est primordial qu’ils sachent reconnaitre les indices (urgence, liens externes et pièces jointes inattendues, adresse d’expéditeur inhabituelle…) et bien réagir en cas de doute. Identifier l’adresse de destination en plaçant le curseur sur le lien avant de cliquer est un réflexe simple qui peut éviter une contamination.
Ces dernières peuvent d’ailleurs se faire directement par le biais d’une application mobile à télécharger, à l’exemple de « The coronavirusapp » sur Android qui, en réalité, exécute un rançongiciel. Cette application malveillante utilise une technique de « Clickjacking » pour attirer l’attention des utilisateurs. En effet, le site qui héberge l’application intègre, à travers d’un « iframe html », le contenu d’un site légitime qui permet monitorer la quantité d’infectés de COVID-19 aux États-Unis. Malheureusement, le site légitime n’utilise pas les entêtes http nécessaires pour que les navigateurs puissent se protéger de ces types d’attaques. Une fois l’utilisateur installe l’application, celle-ci demande toutes les permissions nécessaires pour chiffrer le « smartphone » et demander une rançon.
Comme évoqué plus tôt, les centres de services TI des entreprises sont inondés d’appels et les nouveaux usages de la technologie peuvent présenter des dysfonctionnements à corriger rapidement. Un scénario parfait pour lancer une campagne malveillante d’hameçonnage téléphonique (vishing).

• [10] Avons-nous suffisamment sensibilisé nos employés à l’attaque au faux support technique, qui permet à l’attaquant de prendre le contrôle d’une machine, en quelques minutes ?
Ces appels frauduleux font d’ailleurs souvent appel à l’ingénierie sociale, exerçant une manipulation psychologique sur la victime pour qu’elle pose un geste un plus vite.

• [11] Avons-nous éduqué nos employés, notamment les plus à risques (comptabilité, assistance administrative et de direction, département décaissement…), sur les risques de scams, arnaque au président et au faux ordre de virement ?
Ralentir la situation et faire preuve de bon sens sont les meilleurs réflexes pour ces employés en première ligne de défense.
Plus que jamais, nous devons accompagner la mise en œuvre d’un cadre de travail rigoureux : les actions doivent être identiques à celles habituellement effectuées au bureau. Les employés sont fragilisés par un contexte anxiogène, propice aux erreurs et à la négligence : inquiets pour leurs proches (et leurs emplois), affectés par un confinement parfois dans de petits espaces avec des enfants… Tous ces facteurs vont naturellement impacter la vigilance et la rigueur.

• [12] Avons-nous formalisé l’utilisation d’applications tierces et l’usage personnel des outils corporatifs ?
L’usage de solutions externes, pour répondre à des enjeux opérationnels, sont tous autant de portes d’entrées pour les attaquants qui, une fois infiltrés dans un réseau, peuvent s’avérer très patients pour obtenir une information clé. Il est important de rappeler aux employés les informations qu’ils ont le droit de partager, entre eux, aux clients mais aussi avec leurs proches, et sur quels canaux ils peuvent le faire.

• [13] Les alertes de nos solutions de prévention de fuites de données et d’intelligence des cybermenaces sont-elles efficacement analysées ?
C- Rester positif, en anticipant le pire
Ainsi, pour survivre, comme la très grande majorité des entreprises, nous avons poursuivi l’intégralité de nos activités « à distance ». Sans préavis, comme des millions d’employés nous avons drastiquement changé notre façon de travailler. Quel succès et quelle satisfaction de réussir à nous adapter à cette crise. Pour certains, le travail depuis la maison faisait déjà partie des habitudes, pour d’autres c’est une nouveauté après 30, 40 ans de carrière. La technologie dans tout ça ? Rappelons-nous qu’elle reste dans cette crise, notre meilleur ennemi. Par exemple, les dispositifs « BYOD » sont autorisés, nous devons donc sans délais rappeler aux employés leurs conditions d’utilisation acceptables.

• [14] Avons-nous une directive de sécurité pour le télétravail et l’accès à distance à nos systèmes d’information ?
La crise requière un cadre, à minima, de la rédaction de quelques guides basiques de bons usages.
Les dispositifs déployés en urgence doivent rapidement être analysés, idéalement par un « Subject Matter Expert », pour immédiatement combler les failles de sécurité. Est-ce possible, à distance de continuer à scanner tous nos ordinateurs portatifs ? Devons-nous stopper les mises à jour planifiées sur nos équipements ? Nos sauvegardes sont-elles correctement paramétrées ?

• [15] Pourrons-nous répondre aux Recovery Point Objective (RPO) and Recovery Time Objective (RTO) nécessaires pour l’activité ?
Nous devons en effet évaluer les mesures à adopter pour assurer la confidentialité, l’Intégrité et la disponibilité de nos ressources informatiques dans ces jours atypiques, qui pourraient perdurer…


Voir les articles précédents

    

Voir les articles suivants