Top 10 des conseils pour améliorer la cyber-sécurité des PME

Top 10 des conseils pour améliorer la cyber-sécurité des PME

Les cyber-attaques surviennent chaque jour avec des conséquences désastreuses. Pour les petites entreprises, cibles prioritaires des pirates informatiques, un vol des données peut coûter plus de 900 000 $ et aura obligatoirement un fort impact sur la confiance des consommateurs dans votre marque. Ce préjudice présente donc un très grand risque pour la survie de l’entreprise. Aujourd’hui, SecludIT se joint à Katherine Luk, de l’équipe HP Small Business Solutions, pour vous présenter quelques recommandations et bonnes pratiques de sécurité. Nous souhaitons apporter notre aide aux dirigeants de PME afin qu’ils puissent préserver la sécurité de leurs données et garder la confiance de leurs clients. Voici quelques conseils entre autres sur l’utilisation du Wifi public, la protection des périphériques physiques et de l’infrastructure global, la détection des serveurs fantômes ou encore l’éducation des employés !

 

1. Contrôler les accès physiques

Contrôler les accès physiques

L’accès physique aux ordinateurs reste et restera toujours une des méthodes des plus faciles  et des plus utilisées pour voler des informations.

Le rapport de Verizon (DBIR)  sur le vol des données a révélé qu’en 2016, “un actif est perdu 100 fois plus fréquemment qu’il n’est volé”.  Et rapporte que dans plus d’un tiers des cas de vol physique, l’ordinateur aura été volé en dehors du lieu de travail de l’employé.

Parmi les faits notables de cette année, on notera la disparition temporaire (vol ou perte) d’un ordinateur du service facturation de la société Premier Healthcare. Bien que l‘ordinateur portable ai été retourné plus tard par les services postaux, il aura exposé les informations personnelles de plus de 200 000 personnes.

Il existe de nombreuses façons pour complexifier le vol des périphériques et matériels nomades, mais la plus efficace pour restreindre les dommages reste le chiffrement complet des données.

Si vos employés ont régulièrement besoin d’avoir un accès à des informations sensibles alors qu’ils sont hors du bureau, il faut investir dans des outils spécifiques. Les ordinateurs portables professionnels HP offrent une gamme étendue de fonctions de sécurité professionnelles. Le chiffrement complet des ordinateurs portables, mais aussi des supports amovibles tels que les lecteurs flash et les cartes mémoires, empêche l’accès malveillant aux informations même si le matériel est lui-même détenu par des hackers.

Lorsque vous détenez des informations sensibles, prenez les mesures appropriées pour effacer en toute sécurité les informations à caractère confidentiel ou personnel, qu’elles soient stockées  sous forme numérique ou de manière physique.

Bien que les disques durs numériques puissent être effacés, il est préférable de les détruire avec un foret ou un marteau par exemple afin qu’aucune donnée ne puisse être récupérée par des acteurs malveillants.

Assurez-vous qu’une procédure appropriée est en place pour déchiqueter et supprimer en toute sécurité les documents confidentiels qui ont été imprimés.

Le meilleur exemple reste l’incident impliquant le Community Mercy Health Partners  (CMHP) : des documents ont été trouvés dans une poubelle  accessible au public.

Ces documents contenaient  les informations personnelles de  plus de 90 000 personnes.

 

2. Contrôler l’accès aux données

Contrôler l’accès aux données

La négligence continue de jouer un rôle important et facilite le vol des données.

Un rapport de Ponemon Institute sur les pratiques de cyber-sécurité des petites entreprises a révélé que la cause la plus fréquente des incidents de données était due, soit à l’absence de procédure, soit à une mauvaise manipulation.

Selon le rapport 2016 DBIR, près de 50% des cas de vol par utilisation abusive de privilèges ont pris plusieurs mois à être découverts. Ce qui indiquerait une difficulté pour l’ensemble de l’industrie à identifier et à contenir ce type d’infraction.

Une des meilleures façons de surveiller votre entreprise sur ce point est de mieux contrôler  l’accès à l’information. La création de comptes et d’identifiants uniques pour chaque utilisateur permet à votre entreprise de définir des privilèges d’accès appropriés pour les employés et de minimiser leurs chances de découvrir accidentellement (ou intentionnellement) des informations sensibles.

Cela permet aux équipes sécurité d’identifier et de combler les failles rapidement. La création d’un inventaire dans votre politique de cyber-sécurité va faciliter la prise de conscience de votre service informatique sur la nécessité de mettre en place des autorisations de sécurité pour les employés et va atténuer les risques d’exposition aux informations sensibles.

Un autre conseil du rapport DBIR de Verizon : faire régulièrement des audits d’accès aux lecteurs de supports amovibles. Le fait d’identifier l’utilisation de lecteurs USB dans le but de voler des informations non autorisées permet au service informatique de trouver des fuites et de sécuriser les données sensibles. Les ports USB représentent un risque de sécurité. Par conséquent, vous devez envisager l’achat et le déploiement de matériel de blocage de port USB sur des périphériques accessibles au public. Ces actions venant s’ajouter à la politique interne sur l’utilisation des supports amovibles pour le transfert d’informations.

 

3. L’authentification multiple et pourquoi elle est si efficace

L'authentification multiple

L’authentification multiple (AMF) a été rapidement adoptée par de nombreuses entreprises de pointe comme Google ou Amazon. Un système AMF bien configuré empêche non seulement l’accès de vos informations au personnel non autorisé, mais peut également protéger votre compte en cas de vol de mot de passe ou d’accréditation.

L’AMF s’articule autour de trois facteurs distincts : la connaissance, la possession et les facteurs inhérents.

La combinaison de deux ou trois de ces facteurs crée une politique de sécurité beaucoup plus forte à long terme et empêche de nombreuses voies d’attaques communes. Le facteur connaissance est généralement représenté par des mots de passe, des questions de sécurité ou des informations d’identités personnelles, en s’appuyant sur la mémorisation individuelle et les connaissances. Les facteurs de possession sont habituellement permis par l’accès physique ou par des jetons. Par exemple des cartes d’identité ou des téléphones mobiles. Dans ce dernier cas, un code numérique envoyé à un téléphone ou à un autre dispositif connecté peut constituer un facteur de possession puisque la connaissance du code dépend de la possession du dispositif. Enfin, les facteurs inhérents sont généralement basés sur les caractéristiques immuables d’un individu. Ce sont souvent des mesures biométriques telles que les empreintes digitales capturées par des scanners d’empreintes digitales portables.

Lorsqu’elle est correctement mise en œuvre, l’AMF peut protéger vos informations contre une grande variété de menaces, tout en gardant à l’esprit que ce dispositif doit être mis en place avant qu’un vol ne se produise.

L’AMF est particulièrement efficace pour atténuer les dommages causés par les fuites de mots de passe.

Personne n’est immunisé contre ce type de violation (il suffit de demander à Mark Zuckerberg !). Utiliser différents mots de passe pour chaque compte est sans doute la mesure préventive la plus efficace contre les fuites de mots de passe.

Cependant, cette pratique reste relativement rare : près de 60% des internautes réutilisent plusieurs fois leurs mots de passe (selon une étude récente de LastPass).

Il faut envisager la mise en œuvre de l’AMF dans votre politique de mot de passe afin de s’assurer que seuls les employés légitimes puissent accéder aux informations sensibles. En outre, restez attentif sur le fait que ces politiques soient effectivement mises en œuvre et suivies. Comme l’étude Ponemon SMB 2016 l’a constaté : 65% des entreprises interrogées n’appliquent pas les politiques de sécurité définies.

 

4. Travailler en dehors du bureau

Travailler en dehors du bureau, conseil cybersécurité

Travailler à distance ou en dehors du bureau présente un défi qui vous impose d’évoluer dans un environnement moins contraignant, loin du cadre stricte et des accès sécurisés et cloisonnés de l’entreprise (telles que la connexion Internet, box privative, …).

En effet, la sécurité de la connexion Internet est primordiale et dites vous que le  “wifi gratuit” n’existe pas, surtout si vous êtes assis dans un café ou une chaîne de restaurant.

Si de  nombreuses entreprises vous offrent le wifi gratuit, en échange elles absorbent vos historiques de navigation et autres données potentiellement sensibles.

N’accordez pas plus de légitimité aux zones prétendant avoir un wifi sécurisé. Elles peuvent être compromises ou infectées. Les centres d’affaires hôteliers sont des cibles de choix pour des attaques de type “malware” et “Man in the Middle” (MITM).

L’utilisation d’un réseau privé virtuel (VPN) atténuera ces risques. Mais soyez toujours attentif aux informations que vous souhaitez transmettre via une connexion non maîtrisée lorsque vous êtes en déplacement.

Parfois, l’attaque ne provient même pas d’une connexion réseau. Bien que cela semble évident, gardez à l’esprit que les autres personnes autour de vous peuvent potentiellement voir vos informations confidentielles.

L’utilisation d’un réseau sécurisé n’empêchera pas les personnes qui se tiennent derrière vous de voir vos données sensibles. Vous pouvez envisager d’acheter un filtre d’écran pour assurer  cette confidentialité (notez que maintenant certains ordinateurs portables ont ces filtres intégrés dans les écrans).

Pour résumer, la meilleure façon de conserver des données sécurisées est de limiter le nombre de fois où vous souhaitez y accéder en dehors de votre bureau. Garder à l’esprit que ces bonnes pratiques peuvent vous aider à atténuer le risque de vol de données mais ne peuvent pas complètement l’empêcher.

 

5. Formation et sensibilisation des employés

Formation et sensibilisation des employés à la cybersécurité

Vos employés sont votre première ligne de défense contre les nombreuses formes de cyber-attaques : logiciels malveillants, phishing, ransomware et autres intrusions.

Formez vos employés à identifier et signaler les menaces est un élément essentiel de la politique de cyber-sécurité de toute entreprise.

Les signes courants de phishing sont :

  • des adresses de courrier électronique ou des noms de domaines mals orthographiés (par exemple : g0ogle.com),
  • un texte copié et mal rédigé dans le courrier lui-même
  • des pièces jointes inattendues, en particulier des documents Microsoft Word.

Le fait de masquer les logiciels malveillants dans les pièces jointes est rapidement devenu la porte d’entrée la plus populaire pour les pirates.

Il faut  par défaut ‘désactiver l‘exécution des macros Word’ (qui permettent à un code malveillant de s’exécuter localement) et configurer votre messagerie professionnelle pour rejeter des pièces jointes douteuses.

Une autre technique très souvent employée est de prétendre être employé dans l’entreprise  et  de demander la transmission d’informations par mail.

Cette méthode d’attaque a été utilisée sur des entreprises connues, et notamment Snapchat. Des dossiers contenant des données d’identification ont été volés après qu’un membre du département de la paie ait transmis des fiches de paies à un contact mail se faisant passer pour le PDG Evan Spiegel.

Le rapport DBIR de Verizon a constaté que près d’un tiers des courriels de phishing ont été ouverts en 2016. Environ 12% des utilisateurs ont permis à une attaque de se poursuivre en téléchargeant des logiciels malveillants ou en cliquant sur un lien suggéré.

En outre, seulement 3% des courriels suspects de phishing ont été signalés à la direction, ce qui rend difficile la résolution du problème ou la possibilité d’avertir les autres employés de la menace potentielle.

Lors de la création de votre politique de cyber-sécurité, cherchez à encourager la déclaration de tout courriel suspect et la création d’un environnement ouvert pour partager des informations à travers l’entreprise. Ce n’est qu’après avoir pris connaissance de la menace que la direction pourra prendre des mesures pour y remédier.

 

6. Vérifier la configuration des solutions de sécurité

Vérifier la configuration des solutions de cybersécurité

Il existe de nombreuses solutions de sécurité. Les PME ont connaissance du cyber risque et investissent de plus en plus (+3.7% en 2015). Aujourd’hui, rares sont les PME qui ne disposent pas d’antivirus ou de pare feu. Certaines vont plus loin en optant pour des solutions d’analyses de mails, de logs ou de vérification de l’intégrité des données. D’autres préfèrent chiffrer leurs données pour les rendre illisibles en cas d’attaque réussies.

Mais aucune solution, aussi performante soit-elle ne sera vraiment efficace, si elle est mal configurée.

Plusieurs personnes peuvent intervenir sur un réseau d’entreprise, il est difficile de savoir quelle configuration a été mise en place sur tel ou tel élément du réseau.

Afin d’améliorer la visibilité des administrateurs réseaux et des RSSI, il est nécessaire de disposer d’outils d’analyse du réseau.

Effectuer un scan complet va permettre d’établir une liste des solutions en place et de leurs configurations respectives.

De plus, il est nécessaire de faire cette analyse en continue car l’infrastructure est en mouvement perpétuel. Les responsables informatique doivent avoir une vue exhaustive des configurations des solutions de sécurité pour pouvoir intervenir sur ces dernières après chaque évolution.

 

7. L’analyse continue est votre meilleure amie

L’analyse continue est votre meilleure amie

Avant de vous montrer pourquoi l’analyse continue est votre meilleure amie, nous allons vous expliquer pourquoi les audits de sécurité sont devenus inutiles.

Les PME, consciencieusement, font réaliser des audits de sécurité en interne (avec des outils de test d’intrusion ou des scanner de vulnérabilités open source) ou font intervenir un prestataire externe.

Elles ont pour objectifs de mieux se protéger contre les cyber-attaques, et encore trop peu d’entreprises ont ce bon réflexe.

Cependant, voici ce qu’il se passe dans les faits :

  • L’infrastructure ne sera auditée qu’une ou deux fois par an
  • La détection d’un grand nombre de vulnérabilités va entrainer une surcharge de travail importante pour mettre en œuvre la remédiation.

Certes, vous avez réalisé une partie du travail mais votre infrastructure est toujours vulnérable. Pourquoi ?

Car en moyenne 28 nouvelles vulnérabilités sont détectées chaque jour.

Vous effectuez un audit une fois par an ? Vous devrez traiter 10 317 vulnérabilités lors de votre prochain audit. Si vous le faites 2 fois par an ce chiffre sera de 5 000…

Voilà pourquoi il est nécessaire de mettre en place une solution de détection des vulnérabilités en continue.

Dès qu’une nouvelle vulnérabilité sera découverte vous pourrez intervenir immédiatement afin de lisser la charge de travail tout au long de l’année. Cette démarche est vraiment efficace car elle permet à l’entreprise de voir son niveau de risque réduit au maximum, comme le CIS (center for internet security) le conseille avec 5 points des contrôles prioritaires à effectuer. De plus, de nouvelles solutions de détection permettent de générer des rapports qui vont faciliter votre intervention et améliorer le reporting à votre direction.

 

8. Améliorer la communication avec la direction

Améliorer la communication avec la direction

Le poste de Responsable de la Sécurité du Système d’Information est relativement récent. Il affiche un manque de main d’œuvre et ceux qui occupent ce poste le doivent à leur expérience. Il est difficile pour un comité de Direction de suivre et comprendre le travail du RSSI ou d’une personne en charge de la sécurité car il est rare que les membres de la Direction aient un profil ou background technique.

L’efficacité d’un RSSI est donc jugée sur le fait que l’entreprise soit attaquée ou non.

Or les points de vue divergent, si le RSSI souhaite avoir un budget conséquent pour protéger une infrastructure de plus en plus exposée, rarement la Direction considère le cyber risque comme prioritaire. Dès lors quand une attaque survient, la direction fustige le RSSI et l‘accuse de ne pas faire son travail. Il est alors le premier à devoir rendre des comptes.

Afin d’améliorer la communication, il est primordial de mettre en place des indicateurs de risque compréhensibles par la direction. Ils vont permettre de communiquer sur le niveau de risque de l’infrastructure afin de juger si tel ou tel investissement est nécessaire. En effet, suivant le degré du risque et les actifs affectés, une cyber-attaque peut avoir des répercussions sur toute l’activité de l’entreprise.

La perte de données clientes ou l’arrêt d’un site e-commerce font perdre rapidement  de l’argent et de la crédibilité à l’entreprise. Comme pour le service commercial ou marketing, le service de la direction du système d’information doit mettre en place des indicateurs de performance. Le meilleur d’entre eux est de pouvoir suivre le niveau de risque de l’entreprise. Il peut être déterminé par des standards de sécurité comme l’ANSSI, OWASP, PCI DSS ou le CIS par exemple.

Ces organismes préconisent des bonnes pratiques à respecter qui vont faire diminuer le risque d’attaque rapidement.

 

9. IT shadow, les vulnérabilités fantômes

IT shadow, les vulnérabilités fantômes

Les PME utilisent de moins en moins les infrastructures physiques, préférant réduire leurs investissements IT avec les solutions Cloud et l’hébergement externalisé. De ce fait, elles peuvent accéder à de nouvelles ressources dynamiques et évolutives. Elles bénéficient de la rapidité de déploiement des serveurs/applications et de capacités de calculs accrues. La contrepartie est que l’exhaustivité du parc informatique est difficile à connaître car des serveurs peuvent être lancés pour tester un projet, puis oubliés par son propriétaire. Ils continuent de consommer des ressources et ne sont pas mis à jour. De même pour gagner du temps, il est plus facile d’arrêter un serveur ou une application quand l’entreprise n’en a plus l’utilité dans le but de le relancer plus tard. Ces ressources dormantes sont des portes d’entrées pour les attaquants car elles ne sont analysées avant d’être redéployées. Comme l’indique le cabinet d’étude Gartner, environ 28% des serveurs sont des serveurs fantômes.

Peu d’outils peuvent analyser les IT shadow car ils doivent intégrer un mode de recherche automatique d’IP. Les vulnérabilités de ces serveurs fantômes ne doivent surtout pas être négligées car environ 53% des cyber-attaques réussies dans le monde le sont en exploitant une vulnérabilité connue.

 

10. Quelle cyber-sécurité pour le Cloud Computing ?

cybersécurité pour le Cloud Computing

Les entreprises pensent souvent (à tort) que le Cloud est moins sécurisé que les infrastructures traditionnelles.

Cette fausse impression est en partie due au caractère distant de l’hébergement ainsi que d’une mise à disposition des données partout dans le monde (pour ceux qui ont les identifiants).

Il est vrai que la sauvegarde de ses propres serveurs dans les bureaux de l’entreprise est rassurante. Cependant, les investissements dans le matériel informatique sont coûteux et il ne faut pas omettre la logistique nécessaire pour assurer la sécurité des bâtiments qui doit être prise en charge de façon additionnelle.

En ce qui concerne les fournisseurs d’offres et de services Cloud (IaaS, PaaS, IaaS), ils s’occupent de la sécurité physique des serveurs et des bâtiments, des applications, des accès, des identités…

Cette sécurité de “base” fonctionne suivant le partage de responsabilité. Le fournisseur de Cloud protège ses infrastructures et le client doit veiller à ce que ses actifs (serveurs, pare feu, réseau…) soient bien configurés et à ce qu’ils ne soient pas vulnérables (mise à jour non effectuée, vulnérabilité connue non patchée par exemple).

Le périmètre des responsabilités de l’entreprise est donc restreint ce qui lui permet de s’occuper plus efficacement de ses actifs.

Les entreprises réticentes pourront toujours mettre en avant les nouvelles vulnérabilités détectées dans les technologies des containers ou liées au Big Data. Docker et Hadoop sont ainsi montrés du doigt. Ces technologies sont récentes mais elles se sont bien structurées et proposent aujourd’hui des bonnes pratiques de sécurité à mettre en place afin de profiter de nouvelles ressources dynamiques et efficientes en toute sécurité.

Il est certain que les équipes en charge de la sécurité ne peuvent pas être expertes dans tous les domaines. Elles ont donc besoin de solutions de sécurité qui vont analyser leur infrastructure Cloud et vérifier que les bonnes pratiques de sécurité soient appliquées.

Ces solutions doivent prendre en compte les technologies de Docker, Hadoop, les Cloud Workloads, tout en ayant un champ d’action incluant les infrastructures traditionnelles. En effet, les PME ne peuvent et ne doivent pas être submergées par un trop grand nombre de solutions de sécurité différentes qui pourrait entraîner une perte de temps et d’efficacité générale.

 

Ces 10 conseils pour améliorer votre sécurité ne sont pas exhaustifs. Vous devez vous équiper de solutions de sécurité qui répondent à vos besoins car ces derniers peuvent être spécifiques à votre activité (avoir la certification PCI DSS pour un site e-commerce par exemple). Nous savons que la mise en place d’une politique efficace peut faire peur à certaines PME mais c’est avant tout leur business qui est concerné. Il ne faut pas hésiter à se faire accompagner dans un premier temps pour être sûr de démarrer sur des bases solides. Suivez nos conseils et faites baisser dès à présent votre niveau de risque.

 

___________________________________

Katherine est la coordinatrice de la communauté HP Solutions pour les entreprises, est  se bat pour partager les informations et les bonnes pratiques de sécurité. Katherine est passionnée par les nouvelles technologies et les dernières innovations technologiques. Elle s’investie dans la promotion des PME spécialisées en cyber-sécurité et qui s’engagent dans la communauté technologique.

.

Sébastien Aucouturier est le directeur R&D et produit de SecludIT. Son travail : un mix de R&D, expert sécurité et visionnaire IT. Il est devenu expert dans les technologies de conteneurs et notamment la sécurité de Docker. Il travaille actuellement sur le développement d’une solution de surveillance et d’analyse continue des infrastructures Cloud.

Leave a Reply