Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Les Instantanés du CESIN

mars 2020 par CESIN

Le CESIN a mis en place un nouveau dispositif d’enquête hebdomadaire auprès de ses membres en charge de la cybersécurité des entreprises. Les Instantanés du CESIN sont les résultats d’une question posée chaque lundi aux membres du Club, sous forme d’enquête en ligne.

L’enquête hebdomadaire comprend une question unique, ouverte 24 heures, dont les résultats sont publiés aux membres du CESIN dans la foulée. Les questions sont diverses. Elles peuvent porter sur des concepts, stratégies de défense, politiques, processus, outils, méthodes, solutions techniques... Elles sont liées à l’actualité de la semaine quand cela s’y prête. Les questions sont proposées par des membres ou des administrateurs du Club. Elles sont validées par le Conseil d’Administration avant d’être soumises aux membres. Sans aucun effet marketing, ni influence de la part du marché, les réponses sont riches d’information et constituent une évaluation fiable de la situation des entreprises membres à date.

Mylène Jarossay, Présidente du CESIN, analyse ici les réponses aux 15 premières questions posées entre septembre 2019 et Janvier 2020. Chaque question a obtenu 220 réponses en moyenne, le nombre des répondants allant de 166 à 265 sur ce premier volet.

Si l’on se penche sur les règles relevant de l’hygiène, il apparaît que la gestion des vulnérabilités et de l’application des correctifs [Q15], qui recouvre des opérations connues et mises en œuvre depuis longtemps, s’avère difficile à maîtriser selon un tiers des répondants. Seuls 8,6% des répondants se déclarent en complète maîtrise de ce processus. En réalité, beaucoup de paramètres rendent ce processus sans doute bien plus ardu qu’auparavant, pour les équipes en charge du sujet. La veille nécessite de bien comprendre les enjeux des différentes vulnérabilités à traiter afin de pouvoir gérer efficacement les priorités dans ses plans d’action. Les inventaires de parc et le déploiement des correctifs se sont complexifiés avec le développement fort de la mobilité des terminaux, la part croissante du BYOD, l’arrivée des objets connectés, la dissémination des ressources sur site et dans le cloud et le recours massif à l’externalisation On peut se demander si les solutions techniques sont suffisantes pour déployer les correctifs de façon exhaustive et dans tous les environnements, avec une vision consolidée des résultats. Enfin rappelons que l’application des correctifs comporte ses propres risques. Il n’est pas toujours simple de convaincre les équipes métiers et la production informatique d’approuver les opérations de patching, qui peuvent potentiellement induire des effets de bord sur la production et nécessite souvent des interruptions de service.

Les réseaux [Q13] devraient pouvoir résister aux nouvelles attaques comportant des mouvements latéraux à vocation destructrice. Au moins, les architectures réseaux devraient permettre d’en limiter les impacts. Or elles n’ont pas toutes été conçues ainsi à l’origine, car ces scénarios d’attaques ne se sont réellement développés que depuis deux ans seulement. Construire une architecture segmentée « by design » est bien plus simple que de restructurer des grands réseaux existants, car les changements de plans d’adressage peuvent être délicats et avoir des impacts sur les systèmes en production. La médiatisation des ransomwares a permis une prise de conscience de l’importance du cloisonnement des réseaux. Même s’il reste 11% de répondants qui ont des réseaux insuffisamment segmentés, 75% des répondants se sont engagés dans une démarche de segmentation et de filtrage et 8% sont même en capacité d’actionner rapidement l’isolation complète de portions infectées de leur SI grâce à un mécanisme de « bouton rouge ».

L’Active Directory [Q8] est un autre composant clé pour lequel il faut travailler sa capacité à réagir en cas d’attaque. L’Active Directory est en quelque sorte le graal des attaquants puisque d’une part il leur ouvre de nombreux accès aux données du Système d’Information, et d’autre part, une attaque par ransomware sur les serveurs d’un Active Directory peut constituer un moyen de pression fort, si l’entreprise ne dispose pas du processus adéquat de restauration. Si l’on se place sous l’angle de la résilience, 40% des répondants ont réellement adressé la question de l’intégrité de leur Active Directory, 10% ayant mis en place et testé un dispositif pour remettre en fonction un Active Directory en cas de sinistre. Qu’elle soit à mener dans l’urgence d’une attaque ou à froid, dans un processus de refonte, la question de la reconstruction d’un Active Directory reste, dans tous les cas, un exercice difficile. La base existante a souvent été construite et enrichie au fil des migrations de versions et des développements du Système d’Information. Elle comporte des adhérences à de nombreux systèmes avec des enjeux forts de sécurité des accès, et les configurations mises en œuvre ne sont pas nativement très lisibles. Un effort particulier est donc nécessaire pour simplifier son Active Directory et le rendre plus résilient.

Un autre sujet fondamental, en partie lié à l’Active Directory, concerne l’authentification des utilisateurs, plus précisément les mots de passe [Q6]. 58% des répondants s’appuient sur des mots de passe classiques, complétés par de l’authentification multi-facteurs lorsque les utilisateurs sont en dehors des frontières de l’entreprise. On constate là l’effet direct et naturel du mouvement vers le cloud. Dans cet environnement, la compromission d’un compte a des impacts immédiats que seule une authentification multi-facteurs peut limiter. 27% des répondants examinent des solutions pour remplacer les mots de passe. C’est une nouvelle promesse des éditeurs, qui est supposée résoudre la difficulté réelle des organisations à sécuriser leurs mots de passe, malgré les dispositifs techniques et les nombreuses sessions de sensibilisation. Les deux tiers des répondants ont plutôt exclu le recours à la biométrie [Q11], comme l’un des facteurs d’authentification, 13% seulement l’envisagent ou y vont, alors que 21% des répondants constatent un développement non encadré de ce dispositif.

Un focus a été fait sur un sujet précis, parmi l’ensemble des opérations de durcissement des systèmes. Il s’agit de la sécurité des tâches planifiées [Q10]. Ces tâches jouent un rôle important soit localement sur des systèmes, soit dans la communication entre systèmes. Mal configurées, elles peuvent être exploitées par des attaquants en mouvements latéraux. Ce sujet a été choisi en écho à l’un des incidents de sécurité relativement médiatisés, survenu en novembre et exploitant ce mécanisme. Près de 60% des répondants n’ont pas adressé ce sujet. Du fait du scénario d’attaque qui a utilisé ce mécanisme, un certain nombre d’organisation seront probablement incitées à mettre en place un processus pour configurer et surveiller les tâches planifiées nécessaires à ses échanges inter-systèmes.

En matière de protection des données, les systèmes de stockage [Q5] ont évolué avec un recours de plus en plus fréquent à des solutions dans le cloud, non approuvées par les équipes informatiques, en mode « shadow IT ». L’accès à ces solutions alternatives est largement interdit chez 72% des répondants, même si en pratique seul 41% d’entre eux ont mis en place les outils pour réellement bloquer ces usages. A noter que 41% des entreprises qui acceptent ces solutions alternatives de stockage cloud ont mis en place des outils de détection de fuites de données pour superviser les usages.

Si certains fondamentaux sont en train d’être revisités dans nos plans d’action, avec l’objectif de limiter les impacts des attaques ou notre capacité à rebondir, qu’en est-il de notre capacité à faire face à des cyber-crises [Q9] ? Le nombre d’attaques d’amplitude a fortement augmenté et les entreprises n’ont plus de doute sur la nécessité de développer leurs processus de gestion des incidents et des crises. 45% d’entre elles sont en train de développer leurs moyens de défense, aussi bien sur le plan de la détection que celui de la réaction. Et 20% des répondants ont même déployé cette capacité sur des périmètres géographiques et horaires étendus. Ces pourcentages devraient évoluer à la hausse car le développement des moyens de réponse à incidents occupe désormais une place majeure dans les stratégies de défense.

Pour les cyber-crises liées à des ransomwares [Q1], il est intéressant de noter que le panel est relativement divisé en 2 groupes à peu près équivalents, ceux qui rejettent tout idée de paiement de rançon (47%), et ceux qui se disent prêts à l’envisager, même si 44,5% déclarent que ce serait à titre exceptionnel. 13% de ceux qui n’excluent pas une négociation se disent préférer s’appuyer sur un tiers spécialisé pour tout échange avec des attaquants.

Si l’on se projette maintenant sur les solutions de sécurité qui sont en train d’être déployées, et qui découlent sans doute de la vague de ransomwares, on constate qu’il y a eu une sorte de rush sur les solutions d’EDR [Q2]. 50% des répondants ont un projet en cours ou terminé et 22% le prévoient dans les prochains mois. Il semble que ce type de solution ait plutôt fait consensus. Devant les attaques d’ampleur, les entreprises ne se sont pas senties assez armées pour détecter de nouvelles attaques et pour chercher des indices de compromission massivement et rapidement sur l’ensemble de leur parc. La promesse de l’EDR, c’est aussi une possibilité de réaction en cas d’attaque, essentiellement une mise en quarantaine des systèmes infectés, action qui s’inscrit dans le besoin de contenir une propagation rapide. Ce développement des dispositifs de réaction est certainement une évolution majeure dans les stratégies de sécurité déployées dernièrement.

Gardons tout de même à l’esprit que ces moyens de protection du poste de travail s’appliquent bien sur un parc que l’on contrôle et sur lequel il est aisé de déployer des agents. La tâche s’avère plus compliquée avec des terminaux privés ou BYOD [Q4]. Le BYOD est répandu et encadré chez 11% des répondants, interdit dans 60% des cas. En pratique, qu’il soit admis, encadré ou subi en mode Shadow IT, il est présent chez les deux tiers des répondants avec une pénétration plus ou moins importante.

En complément du poste de travail classique, les mobiles [Q12] occupent une place croissante dans les usages du SI. Le passage des MDM à des UEM pour une gestion unifiée des flottes se fait timidement. La sécurité est traitée par le MDM ou l’UEM (62%), même si ceux-ci n’adressent pas l’ensemble des besoins de sécurité. Il y a encore peu de déploiement de solutions de sécurité dédiées aux mobiles (9%). Les antivirus sont très peu présents (3%). Un quart des répondants n’a dressent pas le sujet spécifique de la sécurité des mobiles.
Du côté des nouveaux environnements et méthodes de développement et d’opérations [Q7] (devsecops), 12% des répondants ont adapté leur démarche de sécurisation, 25% sont en train de modifier les méthodes d’audit et 42% sont en cours de réflexion sur le sujet. 20% n’ont pas encore entamé de réflexion.

Autre changement de paradigme avec le concept zero trust [Q3]. 13% des répondants considèrent qu’il ne s’agit que d’un nouveau terme marketing et 34% ne le comprennent pas encore bien. Il y a donc un vrai travail de pédagogie à mener pour clarifier cette nouvelle façon de gérer la confiance au niveau des terminaux et des identités et qui devrait avoir des répercussions importantes dans nos architectures. A noter que 6% des répondants sont très engagés dans la démarche et 15% d’entre eux démarrent progressivement sur le sujet. Une évolution à observer de près en 2020.

Alors justement, pour 2020, quelles sont les prédictions [Q14] des répondants en matière de menaces ? Il a été demandé à chaque membre de choisir son top 3 des scénarios. Celui qui arrive en haut du classement (56%) concerne des attaques de fournisseurs qui, par rebond, impacteraient les entreprises auxquelles ces fournisseurs sont connectés. Ce scénario a commencé à se présenter en 2019. Les entreprises vont devoir revoir attentivement leurs dispositifs techniques d’interconnexion, mais aussi l’évaluation et le suivi de leurs fournisseurs, tout ceci dans un cadre contractuel qui doit être vérifié attentivement. Les attaques par ransomwares avec destructions de systèmes arrivent en deuxième position du classement (47%). Crainte peu surprenante dans la mesure où les ransomwares ont largement enrichi ceux qui les ont exploités ces deux dernières années. Et il est à craindre que ces extorsions se poursuivront dans la mesure où un taux suffisant de victimes acceptent de payer les rançons demandées. Le troisième scénario sur le podium concerne le terrain des arnaques et de la fraude par la compromission de boîtes mails. Moins spectaculaires que les ransomwares, ces attaques permettent tout de même à leurs auteurs de détourner des sommes conséquentes. La suite du classement met en évidence des craintes sur des attaques croisées entre ransomware et vol de données. Un autre scénario, qui inquiète les répondants, concerne les environnements cloud (41%). Le sujet porte là sur le manque d’expertise des architectes et exploitants de ces environnements, et se traduirait, pendant quelques temps encore, par des risques d’erreurs de conception ou d’administration, exposant ainsi des systèmes sensibles. Le besoin de monter en expertise sur le cloud a été particulièrement souligné lors du congrès du CESIN, qui s’est tenu en décembre 2019.


A propos du CESIN
Le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) est une association loi 1901, créée en juillet 2012, avec des objectifs de professionnalisation, de promotion et de partage autour de la sécurité de l’information et du numérique.
Lieu d’échange, de partage de connaissances et d’expériences, le CESIN permet la coopération entre experts de la sécurité de l’information et du numérique et entre ces experts et les pouvoirs publics. Il participe à des démarches nationales et est force de proposition sur des textes réglementaires, guides et autres référentiels.
Le CESIN est partenaire de plusieurs organismes et institutions, comme l’ANSSI, la CNIL, la BEFTI, la Gendarmerie Nationale, le Cercle Européen de la sécurité, ACYMA (cybermalveillance.gouv.fr), l’AFAI, l’EBG, le CyberCercle ou encore l’EPITA.
Le CESIN compte plus de 600 membres issus de tous secteurs d’activité, industries, Ministères et entreprises, dont CAC40 et SBF120.
www.cesin.fr


Voir les articles précédents

    

Voir les articles suivants