Huit erreurs courantes en matière de cybersécurité - et comment les éviter
Streamscan aide continuellement les entreprises à gérer des incidents de sécurité qui les impactent. Nous voyons donc en permanence quels sont les stratagèmes et les moyens utilisés par les pirates pour entrer dans les réseaux. Nous voyons aussi les principales erreurs que les organisations commettent, ce qui les met à la merci des pirates.
Voici les TOP 8 erreurs de cybersécurité que les compagnies commettent.
Erreur 1: penser que l’antivirus et le firewall sont suffisants pour se sécuriser
En TOP 1 on retrouve malheureusement un mythe qui perdure. Plusieurs spécialistes TI pensent encore qu’un antivirus et un firewall sont suffisants pour se protéger contre les cyberattaques. En 2021 si votre stratégie de cyberdéfense est basée uniquement sur votre antivirus et votre firewall, achetez des bitcoins et préparez-vous à faire des nuits blanches pour répondre à un incident de sécurité.
En effet, aujourd'hui, plutôt que de lancer des attaques a l’aveugle en espérant qu’elles traversent votre coupe-feu, la plupart des attaques actuelles vont tenter d’exploiter des protocoles et services qui sont autorisés dans les coupe-feu des entreprises (web, courriel, etc.). Ainsi, votre coupe-feu ne prendra aucune action ce qui augmente les chances que l’attaque puisse aboutir. L’efficacité de votre coupe-feu est donc très limitée pour vous protéger contre les cyberattaques d’aujourd’hui.
Quant à votre antivirus, avec l’explosion des cybermenaces (plus de 1 millions de nouveaux outils malicieux détectés chaque jour en 2020), il va s’en dire qu’ils sont de moins en moins efficaces. Partez du principe qu’ils vont peut être vous protéger contre 25% des outils malicieux.
Solution: voyez votre organisation comme un château convoité. Il vous faudra plusieurs couches pour vous protéger, ce qu’on appelle la stratégie de défense en profondeur. L’antivirus et le coupe-feu peuvent ralentir les pirates ou vous protéger contre des attaques spécifiques mais ça s'arrête là. D'autres outils vous protégeront contre d’autres types d’activités malicieuses qui peuvent vous cibler.
Solution: la meilleure chose à faire est de démarrer votre stratégie de cybersécurité en faisant une analyse de risques. Cette analyse vous permettra d’identifier l’ensemble des risques qui peuvent vous cibler, ainsi que les mesures qu’il vous faudra mettre en place pour les mitiger. En faisant cet exercice, vous réalisez très rapidement que l’antivirus et le coupe-feu ne sont plus suffisants pour vous protéger.
Erreur 2 : Considérer que l’on ne sera jamais une cible
Dans l’imaginaire de plusieurs personnes, si vous êtes victimes d’un piratage, c’est que vous avez un ennemi qui a décidé de vous nuire. Il est donc fréquent que suite à un incident de sécurité, un concurrent ou des anciens employés sont suspectés, à tort d’ailleurs.
En réalité, 99% des cyberattaques sont lancées par des robots qui balaient Internet 24/7 pour trouver une vulnérabilité, qu'ils vont ensuite tenter d’exploiter. Malheureusement si le robot tombe sur une machine vulnérable dans votre réseau, vous allez faire les frais. Noter aussi que ça prend environ 5 minutes pour qu’un système connecté à Internet commence à subir des attaques. Autrement dit, quoi que vous fassiez, vos systèmes apparaîtront toujours sur les radars des robots et ceux-ci sont détenus par les pirates.
Solution: que vous soyez gentils ou méchants, vous êtes constamment sur les radars des pirates. Toute organisation est une cible potentielle. Une fois que vous l’aurez accepté, la prochaine étape consiste à identifier vos risques de sécurité et vous assurer que vous mettez en place les mesures nécessaires pour les traiter. Pour en savoir plus sur la réalisation d’une analyse de risques de sécurité, visitez ce lien.
Erreur 3 : Ne pas appliquer les correctifs de sécurité
Dans plusieurs cas d’intrusions que nous avons gérées, nous avons constaté que le pirate est entré dans le réseau en exploitant une vulnérabilité de sécurité connue (dont la plupart depuis des années).
Vous vous souvenez du ransomware Wannacry qui a infecté plus de 200 000 ordinateurs en 3 jours en mai 2017? Ce ransomware a exploité la vulnérabilité Microsoft MS170-010 dont un patch était disponible avant l’attaque. On se serait attendu à ce qu’une vulnérabilité aussi médiatisée n’existe plus dans les organisations. Ce n’est malheureusement pas le cas. Nous voyons encore cette vulnérabilité sur des serveurs dans plusieurs organisations où nous intervenons.
Les raisons les plus évoquées par les équipes IT pour justifier le manque de gestion des vulnérabilités sont: le manque de ressources ou de temps ou le manque d’expertise en cybersécurité.
Solution: la gestion des vulnérabilités de sécurité est cruciale pour mettre votre réseau à l'abri des cyberattaques. Plus vous les corrigez, et plus vous minimisez les risques d’attaques. Nous vous recommandons de mettre en place un processus de gestion des vulnérabilités de sécurité, afin d’identifier et de corriger les failles existantes dans votre réseau, avant que les pirates ne les trouvent et tentent de les exploiter. Vous pouvez utiliser des outils tels que NESSUS, RAPID7 NEXPOSE, OPENVAS pour identifier les vulnérabilités de sécurité et les corriger. En plus de sa capacité à détecter les intrusions et outils malicieux, la technologie CDS de Streamscan permet aussi d’identifier les vulnérabilités de sécurité dans votre réseau, ce qui en fait le choix idéal pour une PME. En effet, plutôt que d'acquérir, déployer et maintenir 1 outil pour la gestion des vulnérabilités et 1 autre pour la détection des cyberattaques, le CDS vous offre tout en un. Ceci réduit non seulement vos coûts, mais permet de faire une gestion proactive de vos vulnérabilités de sécurité: chaque fois que le CDS découvre une vulnérabilité de sécurité dans votre réseau en analysant le trafic réseau, vous recevez une alerte. Avec les outils précités, vous devez lancer des scans périodiques, analyser les rapports de scan (des dizaines ou des centaines de pages) et identifier les vulnérabilités les plus pertinentes à corriger. Chose difficile lorsque l’on n’a pas de ressources internes qualifiées.
Erreur 4: ne pas surveiller la sécurité de son réseau
Par expérience, plusieurs cyberattaques auraient pu être évitées si les organisations surveillaient les attaques qui les ciblent. L’infection par un ransomware, l’exfiltration des données ou encore la fraude sont toujours l’aboutissement d’une attaque qui s’est produite en plusieurs phases. Par exemple: les pirates commencent par balayer votre réseau à la recherche de vulnérabilités, tentent ensuite de les exploiter, prennent le contrôle de votre réseau, cherchent des machines ou des services intéressants dans votre réseau, avant d’infecter certains par un ransomware. Cela peut prendre quelques jours ou plusieurs mois. Il faut noter que plusieurs des attaques actuelles qui marchent (ex: brute force RDP/VPN) font beaucoup de bruit qui sont faciles à détecter si vous surveillez la sécurité de votre réseau.
Solution: déployez un système de détection d’intrusions (IDS/IPS/NDR) tel que le CDS de Streamscan pour surveiller la sécurité de votre réseau. Ce genre d’outils vous permet d’avoir une visibilité à 360 degrés de votre réseau et de vous alerter en cas de cyberattaques. La prise en charge de ces alertes vous permet de mitiger les attaques et de rehausser en continu votre réseau.
Si vous n’avez pas d’expertise interne pour surveiller la sécurité de votre réseau, la meilleure chose à faire consiste à externaliser cette activité via des services de supervision de sécurité tels que MDR de Streamscan.
Erreur 5: Voir la cybersécurité uniquement sur l’angle technologique
Certaines entreprises pensent qu’installer des outils de sécurité est suffisant pour les mettre à l'abri des cyberattaques. Dans plusieurs cas d’incidents que nous avons gérés, les entreprises avaient des outils de sécurité en place et ces outils ont généré des alertes qui n’ont pas été prises en charge. Ce n’est que lors des investigations que ces organisations ont réalisé que l’attaque aurait pu être détectée rapidement si les alertes de sécurité étaient prises en charge.
Solution: Installer des outils est certes important, mais ce n’est pas suffisant pour vous mettre à l'abri des cyberattaques. Vous devez avoir des processus et du personnel qualifié qui gèrent votre sécurité. Si vous n’avez pas l’expertise interne, les services externalisés tel que le MDR de Streamscan est une bonne option pour vous.
Erreur 6: présupposer des fonctionnalités alors que les technologies en place ne l’ont pas.
Nous avons aussi constaté que certaines équipes TI ont une mauvaise compréhension des fonctionnalités des outils de sécurité en place dans leur réseau. Par exemple, un directeur TI a été surpris de constater que son SIEM n’a pas été en mesure de détecter une attaque de minage de bitcoin (lancée via un shellcode). Un autre ne comprenait pas pourquoi son coupe-feu n’avait pas été en mesure de bloquer une exfiltration de données. Dans son cas, l’exfiltration des données s’est faite via HTTPS, protocole justement autorisé dans son réseau. Dans ces 2 cas, les responsables TI ont supposé que ces fonctionnalités devraient être évidentes, alors que ce n’est pas le cas. Autant un SIEM n’a pas pour vocation de détecter des attaques de type shellcode, autant un coupe-feu n’est pas conçu pour détecter une exfiltration de données.
Solution: les équipes TI devraient faire un diagnostic de sécurité de leur environnement TI. Ce diagnostic consiste à identifier l’ensemble des risques de sécurité qui peuvent es cibler, puis à vérifier si les outils de sécurité existants/en place ont les fonctionnalités nécessaires pour les détecter/bloquer. Ne présupposez rien, vérifiez par vous-même avant que les pirates ne vous fassent regretter d’avoir été négligents. Si vous n’avez pas l’expertise requise, surtout ne bricolez pas. Appelez une firme spécialisée qui a l’habitude de faire ce genre de vérification. Le diagnostic de sécurité vous fera ressortir les écarts et ainsi que la priorisation des mesures à mettre en place pour combler les gaps. Pour en savoir plus sur le diagnostic de sécurité, visiter ce lien.
Erreur 7: sous-estimer le coût des cyberattaques de type ransomware
Plusieurs organisations pensent que le coût d’une attaque par ransomware se résume au montant demandé pour le paiement d’une rançon éventuelle.
Le montant de la rançon est très minime par rapport aux dépenses qu’une organisation victime de ransomware devra faire pour se relever. Selon le dernier rapport de SOPHOS sur les cybermenaces, le montant moyen des rançons demandées aux PME par les pirates était de US$170,404. Le coût total moyen était de l’ordre de 1.85M$, ce qui inclut: le montant de la rançon, les arrêts de service, le salaire versé aux employés qui ne peuvent pas travailler à cause de l’impact du ransomware sur le réseau, etc.
Plusieurs organisations pensent aussi que si elles ont des sauvegardes, une attaque par ransomware n’aura pas d’impact et ne coûtera rien. Cette perception est erronée, car la restauration des sauvegardes prend du temps et vos services seront aussi interrompus pendant plusieurs jours, ce qui ne fera qu’augmenter la facture globale de l’incident.
Solution: il est toujours bien de savoir en amont combien peuvent vous coûter les incidents de sécurité, notamment les ransomwares. Un exercice simple consiste à se poser la question suivante: combien vous coûtera un arrêt complet de votre réseau pendant 1 semaine? (c’est ce qui risque de vous arriver si votre contrôleur de domaine AD est infecté. Or les infections de AD sont fréquentes dans les organisations). Identifiez tous les impacts et coûts (paiement des salaires, ventes, frais TI pour reconstruire le réseau, impact sur votre image ou votre réputation, etc.). Rajoutez ensuite le montant moyen des rançons (US$170,404). Le montant final que vous aurez défini vous permettra d’avoir une meilleure idée des conséquences d’une cyberattaque. Cette information vous sera utile lors de l’établissement de vos budgets de sécurité.
Erreur 8: faire trop confiance à la sensibilisation sans confirmer son efficacité
Il est connu, l’homme est le maillon faible de la cybersécurité. À juste titre, la sensibilisation des utilisateurs fait partie des mesures de sécurité prioritaires à mettre en place dans une organisation. Ainsi, en se basant sur les bonnes pratiques de sécurité recommandées, les entreprises sensibilisent leurs employés 1 ou 2 fois par année. Après la sensibilisation, les équipes TI supposent que le message est passé et que par conséquent, les employés seront plus vigilants. Or le fait de sensibiliser ses employés ne garantit pas qu’ils ne vont pas cliquer sur un lien malicieux.
Solution: En cybersécurité, ne pré-supposez rien et validez l’efficacité de vos campagnes de sensibilisation. Si vous sensibilisez vos employés 1 à 2 fois par année, considérez que vous êtes à risque. En effet, de nouveaux scénarios d'hameçonnage apparaissent sans cesse et sont de plus en plus sophistiqués. C’est un effort considérable pour les employés de s’adapter. Il est donc important qu'à l'issue de chaque sensibilisation, vous fassiez un test afin d’identifier quels employés ont cliqué vs ceux qui ne l'ont pas fait.
Nous vous recommandons de sensibiliser vos employés 1 fois par mois. Identifiez les cliqueurs réguliers ou compulsifs et offrez leur une formation ciblée. Si malgré cela, certains continuent encore de cliquer, créer un segment réseau des cliqueurs et connectez les à cette zone. Vous devez ensuite limiter les communiquer entre cette zone et le reste de votre réseau (au strict minimum requis) de telles sortes qu’en cas d’activité malicieuse, vous limitez la propagation au reste du réseau. N’oubliez pas, le pirate a besoin d’un seul clic pour entrer dans votre réseau et il finira par l’avoir.
Comment Streamscan peut vous aider?
En nous appuyant sur notre longue expérience en matière de réponse aux cas de ransomwares, nous avons établi une méthode de diagnostic opérationnel qui nous permet de vérifier si votre stratégie de backups est bonne et si vous avez en place tout ce qu’il faut pour restaurer vos données et revenir en production rapidement en cas de chiffrement par un ransomware. Dans de tels cas, les minutes comptent et plus vous serez prêts, mieux ce sera. Ne laissez pas les ransomwares ou les pirates vous dicter la conduite à tenir, prenez les devants et soyez prêts pour une restauration rapide de vos données, chaque fois que c’est nécessaire.
Pour en savoir plus sur ce service de diagnostic, veuillez contacter l’un de nos experts.