Je vous offre aujourd’hui un petit guide, en 10 points, pour garantir que vos appareils soient sécuritaires et qu’ils ne servent pas de conduit pour exfiltrer vos données.
1. L’hygiène des appareils accédant à vos données
La première fonction d’une donnée d’entreprise est d’être utilisée. Nous sommes tous d’accord. Par contre, est-ce que quelqu’un dans votre entreprise, ou une politique vous oblige à y accéder avec un appareil qui est propre, à jour et non-infecté?
Est-ce que n’importe quel employé peut accéder à vos informations à partir d’un téléphone personnel qui pourrait être compromis ?
Les questions sont simples, mais les réponses sont lourdes de conséquences.
Vos données d’entreprise sont désormais le sang et l’oxygène de votre entreprise. Si ce sang est infecté ou s’échappe, l’entreprise peut rapidement se retrouver en danger.
Voici donc les points de contrôle que je vous recommande :
- Savoir quelles données ont une valeur critique pour l’entreprise. Ces dernières doivent être protégées !
- Commencer à mettre en place des politiques internes ciblant l’usage des appareils et, surtout, informer et éduquer vos employés quant aux risques liés à une mauvaise gestion de la cybersécurité.
- Mettre en place des politiques limitant les accès aux appareils qui sont suspects.
Ainsi, vous aurez informé ceux qui ont le potentiel d’être bloqués, et aurez surtout compliqué l’accès aux données pour une personne souhaitant y avoir accès via un appareil compromis.
2. La mise en place d’un système de surveillance et de protection
Dans ma première chronique pour CScience, j’ai fait la distinction entre un antivirus, un EDR et un XDR. C’est de ce type de protection dont je parle ici. Il faut vous assurer de sécuriser vos appareils.
Qu’est-ce que j’entends par sécuriser ? J’entends que les appareils doivent avoir, au minimum, un EDR. Les appareils mobiles (tablettes, téléphones intelligents) doivent en plus être équipé d’un VPN (Virtual Private Network) qui permettra de protéger leurs échanges de données via Internet.
Vous aurez ainsi un gardien à la porte de vos appareils mobiles et un détecteur de fumée.
Une question demeure : si le détecteur de fumée sonne, est-ce que quelqu’un prendra action?
3. Surveiller c’est bien, Analyser c’est mieux
Si vous mettez en place un EDR, disons Microsoft Defender for Endpoint sur tous vos appareils, et que vous arrêtez là, que se passe-t-il ?
Vos appareils seront protégés, mais sans aucune interaction. Certaines alertes — appelons les intermédiaires — passeront sous le radar, ne seront jamais enquêtées et ont le potentiel, à court terme, de se transformer en catastrophe.
Poursuivons avec la même analogie. Que se passe-t-il si votre détecteur de fumée à la maison n’est pas lié à une centrale de surveillance, mais qu’une alarme sonne et que vous êtes absent de la maison ? Réponse courte : vous n’aurez plus de maison à votre retour, mais un amas de cendres.
Il est donc important d’avoir une centralisation des alarmes et des équipes qui surveillent les incidents 24/7. Vous devez immédiatement être informé de tout changement suspect qui survient dans votre environnement.
4. Isoler les suspects
L’étape suivante lors de la détection d’un comportement suspect d’un appareil, c’est l’isoler. Pourquoi, me demanderez-vous ?
72 minutes, c’est le temps moyen qu’un cybercriminel prend pour faire son nid au sein de votre entreprise.
La réponse : 72 minutes. C’est le temps moyen qu’un cybercriminel prend pour faire son nid au sein de votre entreprise. Après cette période, il détient les clés du royaume.
Donc, en isolant les appareils, le temps de faire le ménage et de faire enquête, nous évitons tout déplacement latéral vers son voisin, ou vers un serveur qui serait exposé.
En gros, nous créons un inconfort pour l’utilisateur qui a été ciblé par l’attaque, mais nous protégeons le reste de la société.
Vous devriez également mettre des règles en place pour isoler les appareils d’employés qui ne répondent pas aux critères de l’entreprise, comme un téléphone débridé (jailbroken) ou un poste qui est infecté ou qui n’a pas été mis à jour depuis plus de six mois.
5. La corrélation d’événements, pourquoi est-ce important?
Simplement : la corrélation permet de faire des liens entre des événements dispersés.
Par exemple : un événement d’un script non autorisé sur un ordinateur de bureau, suivi du même événement, mais qui a été autorisé, suivi d’un événement dans un pare-feu qui se connecte sur une ressource dans le Dark Web.
Vous allez me dire, mais voyons, René-Sylvain, c’est évident, quelqu’un a réussi !
6. Effectuer les mises-à-jour
J’entends déjà les « Boooohh » des lecteurs. Mais comment croyez-vous que toutes ces petites vulnérabilités découvertes par vos fabricants d’appareils respectifs et Microsoft se font colmater ?
Réponse : En installant les mises à jour.
Si vous les retardez, que vous n’y portez pas attention, avec chaque mois qui passe, vous ouvrez de plus en plus de portes aux cybercriminels.
Donc —point important — pour une gestion de base des vulnérabilités, une fois par mois, on installe les mises à jour.
7. Réduire sa surface d’attaque, qu’est-ce que ça implique ?
Dans le but de rendre leurs systèmes d’exploitation compatibles avec un maximum de partenaires, les fabricants ont laissé, au fil des années, des portes ouvertes, des configurations par défaut, qui ne servent parfois plus, ou qui n’ont jamais été adoptées par le marché.
Ainsi, notre configuration par défaut ressemble davantage à un gruyère qu’à un mur de Chine. Ce gruyère constitue notre surface d’attaque, tous les services, ports et autres configurations qui sont exposés, qu’ils servent ou non.
Un exemple : IPv6. Actif par défaut, il réussit à joindre n’importe quel appareil sur la planète. Si vous êtes sur votre petit réseau, avec cinq autres postes et un réseau sans fil, est-ce qu’il vous est utile d’avoir accès à quelques milliards d’adresses ? Réponse évidente : non.
Par contre, le protocole est activé par défaut, sur tous les postes de travail aujourd’hui : Mac, PC et la majorité des Linux commerciaux.
Donc, pour réduire sa surface d’attaque, il s’agit de valider les points que nous connaissons comme étant activés, et pouvant servir lors d’une attaque, et de fermer ces portes.
8. Analyser ces vulnérabilités pour mieux les colmater
Au fil des années, vous comprendrez que les vendeurs de systèmes d’exploitation, tous azimuts, détiennent une liste des vulnérabilités connues de vos appareils.
Il est important, au moins annuellement, de valider lesquels sont résidentes sur vos appareils et surtout, de les colmater.
Les résolutions existent, mais ne peuvent pas toutes être déployées, sinon vous seriez à risque de ne plus pouvoir travailler. Mais il faut en appliquer 80% pour améliorer votre posture de sécurité de façon directement proportionnelle.
En résumé, il est important, pour réduire le risque et compliquer la vie des criminels, de faire évaluer les vulnérabilités et déployer les correctifs.
9. Qui et surtout quoi accède à vos données ?
Si votre but est vraiment de protéger vos données, il faut les connaitre. La topographie des données et des services y accédant est très souvent loin des priorités des gestionnaires de PME. Par contre, si je vous demande où est votre testament, vos papiers d’assurances et les papiers les plus importants en cas de désastre, vous le savez. Ils sont probablement dans un coffre à la banque !
La même logique s’applique à vos données. Plus elles sont sensibles et critiques à l’entreprise, meilleure doit en être la protection.
Une fois cette protection en place, allez-vous simplement vous retourner et ne jamais plus y retourner ? C’est là que le modèle digital diffère énormément du modèle brique et mortier. Vous pouvez faire cela avec un coffre à la banque, et vous assurer que personne d’autre n’y accèdera. Mais sur le plan digital, il faut surveiller. Savoir qui cogne à la porte pour tenter d’accéder à vos données confidentielles ; qui et à partir de quel appareil ? Si l’un de vos proches collaborateurs, que vous savez actuellement à Bromont, tente d’accéder aux données financières ou aux clients de l’entreprise depuis la Corée du Nord, vous savez que quelqu’un tente de vous voler !
Un avant dernier point important : connaissez-vos données, catégorisez-les, et protégez-les à hauteur de leurs valeur critique. Ensuite, n’oubliez pas de surveiller.
10. Si vos données s’échappent, saurez-vous les récupérer?
La pandémie a été un vecteur d’éparpillement de données épique. En quelques jours, les données d’entreprise se retrouvaient sur des DropBox personnels, des OneDrive publics, un cauchemar pour n’importe quel responsable de sécurité. Mais comme les entrepreneurs disent en latin : « The Show must go on! » (le spectacle doit continuer!).
Mes questions deviennent :
- Est-ce que toutes ces données ont été rapatriées?
- Est-ce que certaines données ont été exfiltrées, sans qu’on en soit au courant ?
- Est-ce que certains fournisseurs de services gratuits (ie. Dropbox) ont profité de l’exposition de données sensibles pour amasser une tonne d’informations pour leurs projets d’IA, sans nécessiter de consentement ?
Je sais que les questions sont inquiétantes, mais elles doivent être posées.
La majorité des gens ne prennent pas le temps de lire les règles d’utilisation des services gratuits. Pourtant, ces règlements ne les tient nullement pour responsables si vos données sont perdues ou volées. Pire encore : il y a habituellement une liste exhaustive de compagnies qui ont le droit d’accéder à vos données, sans avoir à demander la permission.
Donc, au point 10, je recommande fortement que vos données sensibles soient chiffrées, et liées à un identifiant d’entreprise. Ainsi, si elles se retrouvent dans la nature, au moins, rien ne sera dévoiler. Il faudrait idéalement qu’elles soient structurées de façon à accroitre la difficulté de les joindre.
En conclusion
Je réalise que ces 10 points sont peut-être un peu exigeants. Mais la réalité, c’est que peu de gens ont le paysage complet de leur parc d’appareils en tête, et connaissent intimement leurs données. Or, si vous ne prenez pas le temps de le faire, un cybercriminel engagé, lui, le prendra. Il le fera avec l’appât du gain comme motivation. Ainsi, pendant que vous êtes occupé à travailler dans votre entreprise, le cybercriminel travaillera à comprendre comment en extraire chaque dollar.
Dans l’éventualité où vous vous sentiriez dépassé, n’hésitez pas à me contacter, il me fera plaisir de voir comment je pourrais vous aider.
[credti]Saksham Choudhary[/credit]
