– Navigation sur Internet :

Marc Behar et Frédéric Charpentier conseillent, dans un premier temps, d’utiliser un navigateur qui soit sécurisé et qui protège notamment l’entreprise contre les principales menaces. Par exemple, si une entreprise arrive à se protéger des vulnérabilités 0day, java, flash, elle éviterait près de 80% des attaques.

– Exploiter au maximum l’antivirus :

Les enquêtes forensics du CERT-XMCO constatent toujours que les pirates avaient été détectés très tôt sur la console AV. L’objectif serait donc d’exploiter au maximum les capacités des logiciels déjà installés. Pour optimiser la capacité de détection d’une intrusion, ils conseillent, dans un premier temps, de s’assurer que les antivirus détectent les menaces de type « hacking tool », puis de surveiller et réagir en cas de détection de Pwdump, Fgdump, Cain&Abel, Metasploit. Il convient également d’interdire toute désactivation de l’antivirus par l’utilisateur, ou encore d’activer la protection contre les débordements de tampons. Ils conseillent, en outre, d’installer l’antivirus sur les serveurs. Ces bonnes pratiques permettent de lutter contre les intrusions ciblées de type APT.

– Avoir un plan de réaction :

Contrairement à ce que beaucoup d’entreprises pensent, la première chose à faire en cas d’intrusion, c’est justement de ne rien faire ! Le mieux est d’appeler immédiatement les personnes compétentes, à savoir notamment un huissier pour qu’il vienne constater les dégâts. On ne débranche rien, on ne touche à rien... Une fois cette première étape effectuée, vous pourrez alors copier le contenu de la mémoire vive, exporter les logs des équipements périmétriques (proxy, firewall, AD). Il faut, bien entendu, communiquer ce plan de réaction à tous les administrateurs. L’objectif est de se préserver en cas de plainte et d’obtenir le maximum d’éléments pour essayer de remonter à la source.

– Maîtriser son exposition sur le Web :

L’objectif dans ce cas précis est d’effectuer une cybersurveillance de ce que les autres voient de votre entreprise sur le Web et de son SI. Pour ce faire, ils conseillent, entre autres, de maintenir un inventaire des ressources exposées, de bloquer les interfaces d’administration Web, de détecter les ouvertures de portes inopinées, ou encore de surveiller les ajouts de sites Web non audités (marketing, outil, blog…). L’entreprise ne doit pas perdre de vue que le niveau de menaces augmente de façon exponentielle avec le nombre de serveurs visibles sur Internet.

– Renforcer l’Active Directory :

Les pirates copient la base de l’AD et utilisent des comptes de services pour rebondir sur tous les serveurs en usurpant différents comptes. Afin de renforcer l’Active Directory, il est important de supprimer ou bloquer les comptes dangereux. Dans un premier temps, ils conseillent de lister régulièrement les administrateurs du domaine, et de faire le lien entre le nombre d’administrateurs et le nombre de comptes. Les mots de passe doivent également être testés. L’utilisation des comptes de services doit, quant à elle, être restreinte. Il convient, en outre, de vérifier que l’antivirus est actif sur les contrôleurs. Les entreprises ne doivent pas perdre de vue que la maîtrise et le durcissement des comptes d’administration ralentissent la progression d’une intrusion.

– Sensibilisation des développeurs :

L’objectif est de traiter le problème à la source, en formant les développeurs de manière concrète et imagée, avec des exemples d’exploitation d’injection SQL, de contournement de la logique de l’application ou encore d’exploitation d’une faille d’un framework (CMS, jboss)… Cette sensibilisation peut se faire au travers d’un mini-séminaire sur le top-ten de l’OWASP par exemple. Pour que cette démarche soit efficiente, privilégiez les démonstrations, et surtout parlez le même langage que les développeurs. La sensibilisation de vos développeurs vous permettra de réduire les coûts d’audit, mais aussi de redéveloppement après audit, et d’améliorer le niveau de sécurité de ce qui est livré.

– Chiffrement des laptops :

Pour ce qui est des laptops, ils recommandent d’imposer aux utilisateurs le chiffrement natif, ainsi que le verrouillage par mot de passe. Il convient également de désactiver le firewire et PCMCIA qui permettent un accès direct à la mémoire. Ces bonnes pratiquent limiteront déjà les risques de fuites d’information sensibles en cas de vol ou de perte de vos équipements.

– Durcir les téléphones et les tablettes :

Concernant les téléphones et les tablettes, ils conseillent a minima de configurer l’effacement des données à distance, de chiffrer avec la solution native, mais aussi de forcer le verrouillage après 5 minutes. Il apparaît, en outre, préférable que les entreprises interdisent les markets non-officiels, ainsi que le jailbreak.

– Anticiper le BYOD :

En tant que société d’experts en SSI, XMCO n’est pas directement confrontée à cette problématique, et n’a donc pas vraiment d’expérience en la matière. Toutefois, ils recommandent aux entreprises qui acceptent le BYOD de l’isoler. Ils constatent que la grande majorité des salariés souhaitent utiliser leur terminal personnel en entreprise uniquement pour pouvoir se connecter à Internet et accéder à leurs mails. Ils conseillent alors de créer deux réseaux différents et de proposer un hot-spot Wi-Fi dédié à ce type d’utilisation.

– Traquer les données sensibles :

XMCO trouve très régulièrement lors de ses audits des documents très sensibles accessibles à tous. Mais comment traquer ces données sensibles avec des moyens simples ? Marc Behar et Frédéric Charpentier conseillent, en premier lieu, de se balader dans partages avec un compte standard, et d’utiliser l’explorateur de fichiers Windows afin d’effectuer des recherches sur les mots-clés suivants : « password », « login », « mot de passe », « confidentiel »… En outre, certains outils spécialisés PCI DSS, comme XMCO PANBuster, permettent de rechercher des numéros de CB en clair dans des systèmes de fichiers.

– Protéger les bases de données :

Selon les retours d’expérience de XMCO, 90% des entreprises auditées souffrent de comptes MSSQL ou Oracle avec des mots de passe par défaut. L’utilisation des comptes par défaut sur les bases de données est un réel problème. Le principe serait donc de limiter les connexions SQL par IP source. Pour ce faire, XMCO conseille de lister les sources légitimes (serveurs d’applications…), configurer la base pour n’accepter que ces sources légitimes en SQL et autoriser également le VLAN des DBAs.

– Sensibiliser une Direction :

Les Directions Générales perçoivent généralement la sécurité informatique comme un coût et n’ont souvent pas conscience des risques internes. Afin de les sensibiliser, il est nécessaire de leur démontrer par l’exemple une intrusion dans des données business. Dans les faits, il s’agit de réaliser un mini test d’intrusion interne, en simulant un pirate qui chercherait des documents sensibles (RH, métier), puis de montrer les résultats à la direction en expliquant que ce n’est qu’un échantillon relevé sur 2j.

– Interdire les connexions sortantes :

Dans une grande majorité des cas, les pirates sont aidés par le fait qu’ils peuvent facilement mettre en place une connexion avec le serveur de rebond externe. Le but est donc d’empêcher les backdoors de se connecter à leur maître, afin de réduire les risques de rebond et de rémanence des pirates en cas de compromission. Pour ce faire, ils recommandent l’utilisation de whitelists pour les connexions sortantes des serveurs, une surveillance des volumes et des IP sortantes…

– Des clauses sécurité dans les contrats :

Il est essentiel que les clauses sécurité apparaissent de manière précise et explicite dans les contrats. Vous devez ajouter des clauses sécuritaires avec les sociétés de développement et d’intégration, être clairs et concis sur vos exigences de sécurité, ou encore indiquer les checklists. Si vos contrats sont bien ficelés, les coûts de redéveloppement seront à la charge du prestataire en cas de détection de failles ou autres problèmes.

– Ouvrir son réseau relationnel :

Les liens avec les autres RSSI sont essentiels, afin de bénéficier et d’échanger sur vos retours d’expérience respectifs. Pour faciliter ces échanges, n’hésitez pas à demander à vos prestataires de vous mettre en contact.

Les différents Quick Wins évoqués cette année permettent à la fois d’adresser tous les chantiers, y compris les plus difficiles, tout en limitant les coûts et les risques d’échec. En conclusion, Marc Behar et Frédéric Charpentier rappellent que l’efficacité du RSSI repose, outre une certaine dose d’inconscience, sur un savant mélange de communication, de marketing, de RP, de management, de connaissances techniques et de veille.