Faire des économies et gagner en efficacité font partie des attributions d’un responsable informatique. Mais sacrifier la sécurité au nom de la commodité, c’est presque toujours s’exposer à des problèmes ultérieurs. Il existe des raccourcis en matière de sécurité informatique qui peuvent vous sembler judicieux sur le moment, mais qui pourraient avoir de graves conséquences négatives (non voulues). Nous allons passer en revue neuf raccourcis courants en matière de sécurité informatique pouvant à terme coûter des millions aux entreprises.  

1. Exposition à Internet des interfaces admin de gestion à distance  

Dans une organisation à distance ou hybride, il est probable qu’une équipe informatique devra traiter la question de la gestion à distance à un moment ou à un autre. L’avantage d’exposer cette interface administrative à Internet est que cela peut être fait depuis n’importe où. Toutefois, en cas de problème avec l’appareil en question, comme une vulnérabilité ou une erreur d’identification, plus d’un milliard d’autres personnes seront désormais en capacité de l’administrer.  

La faille la plus fréquente se trouve dans un système dont vous ignoriez qu’il vous appartenait. Vous devez savoir exactement ce que vous exposez à Internet – notamment les services, et pas uniquement vos appareils. Tout ce qui n’a pas besoin d’être exposé à Internet ne devrait probablement pas l’être. Pour les actifs dont vous disposez, veillez autant que possible à automatiser la maintenance afin de libérer des ressources. En cas d’incident majeur(comme le piratage de MoveIt), déterminez rapidement si vous êtes concerné et agissez.  

Conseil : n’exposez pas l’administration à distance à Internet. Veillez à ce qu’on ne puisse y accéder sans VPN et assurez-vous que vos serveurs VPN sont bien renforcés et corrigés. 

2.Réutilisation des mots de passe (même les plus forts)

Supposons que votre politique en matière de mots de passe impose aux utilisateurs finaux de créer des passphrases aléatoires de 20 caractères pour leurs mots de passe Active Directory. Ils contiennent des chiffres, des caractères spéciaux et même un mot délibérément mal orthographié. Ils sont également comparés à une base de données de mots de passe compromis connus. Cette politique garantirait que vos utilisateurs finaux disposent de mots de passe Active Directory forts, mais serait néanmoins inutile si ces utilisateurs réutilisent leurs mots de passe sur plusieurs appareils, applications et sites web pour des raisons de commodité. 

Une vulnérabilité dans une seule de ces applications ou sites web pourrait exposer toutes les informations d’identification des utilisateurs à leur insu. Si des pirates informatiques volent une base de données de mots de passe, ils peuvent s’efforcer faire le lien entre un ensemble d’informations d’identification appartenant à un utilisateur et la personne réelle et découvrir où elle travaille. Cela pourrait représenter une voie d’accès facile à votre organisation. Chaque fois qu’un mot de passe est réutilisé, les chances que cela se produise se voient multipliées.  

Conseil : malgré la formation, il n’existe pas un moyen infaillible pour empêcher les utilisateurs finaux de réutiliser leurs mots de passe. Disposer d’une solution qui vérifie en permanence votre Active Directory pour détecter les mots de passe compromis connus peut réduire les risques de réutilisation des mots de passe.  

3.Travailler inutilement à partir de votre compte administrateur 

Si vous êtes administrateur informatique de votre organisation, il peut vous être plus pratique de travailler depuis votre compte d’administrateur informatique. Vous n’aurez pas besoin de changer de contexte et n’aurez à consulter qu’une seule boîte de réception. Cependant, si votre système est compromis par un drive-by-download ou quelque chose de similaire, c’est l’ensemble de votre organisation qui sera touchée par un ransomware, et non pas seulement votre ordinateur portable. Si vous utilisez un compte administrateur de domaine lors de l’enregistrement des ordinateurs portables, des jetons d’accès peuvent également être mis en cache localement, ce qui signifie que même si vous n’en êtes pas la victime, vos actions ont mis l’organisation en danger. 

C’est moins pratique, mais c’est précisément la raison pour laquelle il est judicieux d’avoir un compte utilisateur avec des privilèges moins élevés pour le travail quotidien, et un compte administrateur que vous n’utilisez que lorsque vous avez besoin d’effectuer des opérations privilégiées.  

Conseil : avoir plusieurs comptes peut coûter de l’argent et être un peu fastidieux, mais ce n’est rien comparé aux risques de compromission d’un compte administrateur.  

4.Perdre la trace des modifications apportées au réseau 

De nombreuses organisations modernes font le choix de travailler de manière agile. Si elles disposent également d’un vaste réseau et de nombreux services connectés, il est nécessaire que chacun respecte les processus et les contrôles de qualité. On fait confiance aux personnes pour assumer elles-mêmes directement cette responsabilité afin de ne pas nuire à la rapidité et à la productivité, mais cela pose des problèmes du point de vue de la sécurité.  

Il y aura toujours des sites web ou des services qui apparaîtront, des changements d’API, des mises à jour de configuration et d’autres sources de changement constant. Si les services de sécurité ne sont pas en mesure de suivre tous ces changements, ils ne connaîtront pas l’état des services ou des sites existants ou nouveaux, et pourraient donc avoir du mal à les défendre. 

Conseil: les solutions de sécurité continue comme l’EASM vous permettent de suivre l’intégralité de l’exposition de votre organisation et d’exécuter des analyses automatisées en continu pour surveiller tous les réseaux et toutes les applications. 

5.Ne pas isoler les serveurs de sauvegarde 

Si vous gérez un grand réseau, il peut être plus simple pour vos administrateurs informatiques qui s’occupent du réseau d’administrer également les solutions de sauvegarde de vos centres de données à partir des mêmes comptes ou de la même infrastructure. Toutefois, cela risquerait de tout compromettre en même temps. Les groupes de ransomware commencent souvent par essayer d’identifier vos solutions de sauvegarde, et s’ils parviennent à compromettre un compte ayant accès à la fois aux serveurs et aux solutions de sauvegarde, ils peuvent empêcher toute possibilité de restauration.  

Les organisations doivent faire tout ce qui est en leur pouvoir pour garantir la séparation et veiller à ce qu’un attaquant ne puisse pas passer des environnements normaux aux systèmes de sauvegarde. 

Conseil: séparez vos comptes et vos environnements afin de vous assurer que les serveurs de sauvegarde ne sont pas liés aux mêmes comptes administrateurs ou à la même infrastructure que les réseaux principaux.  

6.Réduire les coûts des évaluations de sécurité  

Certaines organisations choisissent d’organiser des exercices sur table afin de prédire l’efficacité de leurs contrôles de sécurité. Il peut s’agir d’un moyen rentable d’obtenir une vue d’ensemble de votre niveau de sécurité, car vous pouvez vous fier à vos propres ingénieurs qui connaissent le mieux votre organisation. Cela signifie toutefois que vous vous basez en grande partie sur des hypothèses. Si votre équipe d’ingénieurs a conçu votre sécurité, elle l’a fait de son propre point de vue. Il est risqué de leur demander d’évaluer la sécurité qu’ils ont contribué à mettre en place, car ils savent comment elle est censée fonctionner et la testeront en conséquence. 

Conseil : pour réellement challenger votre sécurité, faites appel à une équipe rouge (red team) indépendante pour mesurer la résilience de votre organisation avec de nouvelles idées et perspectives, autrement vous ne connaîtrez jamais votre véritable capacité à détecter les menaces et à y répondre.

7.Du retard dans l’application des correctifs 

L’application de correctifs est parfois considérée comme un projet ; quelque chose à réaliser à une certaine échéance afin de remettre la sécurité à niveau. Cela semble simple, mais ce n’est pas la meilleure solution. L’application de correctifs doit être une responsabilité constante et récurrente – elle est trop importante pour être considérée autrement. L’application de correctifs dans le cadre d’un projet à une date déterminée entraînera des périodes pendant lesquelles vos systèmes seront plus vulnérables.  

La sécurité est avant tout un travail de prévention, il est donc important de garder le contrôle des correctifs et de mesurer les progrès accomplis. Ces comparaisons peuvent facilement être effectuées à l’aide de fonctions telles que les rapports de tendance de groupe dans une solution de vulnérabilité basée sur le risque (Risk-Based Vulnerability Management ou RBVM), qui donnent un aperçu détaillé du niveau de risque comparable de vos équipes et de vos environnements. 

Conseil : instaurez des KPI pour les équipes opérationnelles en même temps que vous corrigerez/résoudrez les vulnérabilités et agirez sur les différentes façons de travailler des équipes. Pensez à investir dans une solution RBVM.  

8.Supposer que les pirates informatiques ne vous prendront pas pour cible  

Il s’agit d’un raccourci dont certaines organisations n’ont probablement pas conscience. Imaginer que les pirates informatiques sont plus susceptibles de se concentrer uniquement sur des organisations plus grandes ou des industries plus médiatisées, pourrait vous conduire à adopter une approche plus détendue en matière de sécurité. Cela ne semble pas illogique si vous supposez que personne ne vous cible activement. Mais si votre sécurité présente des failles, vous avez beaucoup plus de chances d’être pris pour cible de manière opportune. 

Il est important que chaque organisation se familiarise avec les activités des acteurs de la menace qui l’entourent, soit en trouvant des groupes d’intérêt spéciaux, soit en examinant les informations du CERT national, soit (encore mieux) en accédant à une source de renseignements sur les menaces. 

Conseil : les solutions de Threat Intelligence peuvent vous aider à comprendre votre niveau de risque – et ce que ces risques représentent. Découvrir, par exemple, ce qui se dit sur votre organisation sur le dark web. 

9. Sacrifier la sécurité au profit de l’expérience de l’utilisateur final 

Les organisations modernes accueillent des personnes d’horizons et de niveaux de compétences différents qui travaillent depuis des endroits variés. Certains utilisateurs auront des besoins plus techniques que d’autres, et il est donc risqué de sacrifier la sécurité de l’utilisateur final à la commodité. Pour certains utilisateurs finaux de votre organisation, la sécurité ne constituera pas un enjeu aussi crucial que pour vous – pour cela, ils pourraient être la porte d’entrée recherchée par les pirates informatiques. Il peut être tentant par exemple de simplifier les exigences en matière d’accès à distance, mais il suffit alors de l’identification erronée d’un seul utilisateur pour que des pirates pénètrent à l’intérieur de votre organisation. Cela pourrait très vite vous coûter cher. 
 
Conseil : optez pour une solution qui vous permette d’authentifier les utilisateurs à distance via une MFA, ce qui vous permettra de trouver le bon équilibre entre l’expérience de l’utilisateur final et la sécurité. Par exemple, une solution Secure Service Desk facile à utiliser pour les utilisateurs finaux tout en protégeant le service desk contre l’ingénierie sociale.  

Réduisez vos risques dès aujourd’hui  

Vous souhaitez discuter plus avant des questions soulevées dans ce billet de blog ? Contactez un de nos experts et découvrez comment les solutions d’Outpost24 pourraient s’adapter à votre organisation.