La cybersécurité est sûrement le sujet d’actualité qui a pris de l’ampleur au cours des 10 dernières années. Nous assistons de plus en plus à une augmentation d’incidents liés à la violation de la sécurité des données des entreprises et individus à travers le monde. Ces violations peuvent causer de graves dommages à la réputation et engendrer d’énormes pertes financières.
Le manque de talents en cybersécurité
La pénurie de main-d’œuvre en ce qui concerne les experts qualifiés du domaine de la cybersécurité se fait également ressentir. Ceci rend les choses encore plus difficiles car, dépendamment de la taille de l’entreprise, on pourrait avoir besoin d’au moins un spécialiste pour gérer une partie précise de la cybersécurité de l’entreprise. Par exemple, un gestionnaire du risque informationnel, un gestionnaire de la gouvernance, un gestionnaire des accès et de l’encryption, etc. La plupart du temps, tous ces rôles sont condensés au sein d’une petite entreprise et le responsable de la cybersécurité se voit entraîné à porter toutes ces casquettes.
Où devrait-on débuter?
Peu importe l’étendue de vos responsabilités en ce qui concerne la gestion de la cybersécurité au sein d’une entreprise, la définition d’un bon point de départ semble être primordiale afin d’assurer le succès de votre programme de cybersécurité.
Devriez-vous commencer par sensibiliser les employés ? Définir une bonne politique de cybersécurité ? Faire un bilan des vulnérabilités et menaces ? Faire une analyse de risques ?
Quel serait le point de départ idéal ?
Si jamais vous vous posiez la question, il existe dans le monde de la cybersécurité des cadres tels que celui du CIS (Center for Internet Security), un organisme américain qui aide les gouvernements et individus à se protéger contre les cybermenaces.
Ils ont mis en avant les ‘contrôles critiques CIS’ (version 8.1 actuellement), un cadre contenant une série d’actions ou d’étapes recommandées pour toute entreprise qui souhaite définir un point de départ en ce qui concerne la stratégie de cybersécurité.
Le cadre se résume avec les grandes lignes suivantes :
✔ Contrôle 01 : Inventaire et contrôle des actifs de l’entreprise
✔ Contrôle 02 : Inventaire et contrôle des actifs logiciels
✔ Contrôle 03 : Protection des données
✔ Contrôle 04 : Configuration sécurisée des actifs et logiciels de l’entreprise
✔ Contrôle 05 : Gestion des comptes
✔ Contrôle 06 : Gestion du contrôle d’accès
✔ Contrôle 07 : Gestion continue des vulnérabilités
✔ Contrôle 08 : Gestion des journaux d’audit
✔ Contrôle 09 : Protection des courriels et des navigateurs Web
✔ Contrôle 10 : Défenses contre les logiciels malveillants
✔ Contrôle 11 : Récupération des données
✔ Contrôle 12 : Gestion de l’infrastructure réseau
✔ Contrôle 13 : Surveillance et défense du réseau
✔ Contrôle 14 : Sensibilisation à la sécurité et formation aux compétences
✔ Contrôle 15 : Gestion des fournisseurs de services
✔ Contrôle 16 : Sécurité des logiciels d’application
✔ Contrôle 17 : Gestion des réponses aux incidents
✔ Contrôle 18 : Test de pénétration
Regardons ensemble le contenu de chacun de ces éléments et comment les implémenter au sein d’une entreprise.
NB : Ce cadre peut être utile si vous êtes dans le domaine des TI et vous n’avez pas d’expérience en ce qui concerne la mise en place d’un programme de cybersécurité. À mon humble avis, il peut être un bon point de départ, mais on ne peut pas dépendre entièrement de ce dernier pour tout ce qui concerne la gestion de la cybersécurité de manière courante.
Par exemple, il ne prend pas en considération la priorisation de la protection des actifs en fonction de leur criticité (gestion de risque).
Pour ceux qui souhaitent avoir accès au document officiel du CIS expliquant les différents contrôles, vous pouvez le télécharger via le lien ci-dessous;
Présentation des différents contrôles (Les contrôles critiques CIS (V8) )
Les contrôles critiques CIS® (CIS Controls®) ont commencé comme une simple initiative de base pour identifier les cyber-attaques les plus courantes et importantes dans le monde réel qui affectent les entreprises chaque jour, traduire cette connaissance et cette expérience en actions positives et constructives pour les défenseurs, puis partager ces informations avec un public plus large. Les objectifs initiaux étaient modestes : aider les gens et les entreprises à concentrer leur attention et à commencer les étapes les plus importantes pour se défendre contre les attaques qui comptaient vraiment. Les contrôles critiques CIS reflètent les connaissances combinées d’experts de tous les secteurs de l’écosystème (entreprises, gouvernements, individus), avec chaque rôle (répondants et analystes de menaces, technologistes, opérateurs et défenseurs de la technologie de l’information (TI), chercheurs de vulnérabilités, fabricants d’outils, fournisseurs de solutions, utilisateurs, décideurs politiques, auditeurs, etc.), et dans de nombreux secteurs (gouvernement, énergie, défense, finance, transport, académie, conseil, sécurité, TI, etc.), qui se sont regroupés pour créer, adopter et soutenir les CIS Controls.
Contrôle 01 Inventaire et contrôle des actifs de l’entreprise
Gérer activement (inventaire, suivi et correction) tous les actifs de l’entreprise (utilisateur final appareils, y compris portables et mobiles ; Périphériques réseau; non informatique/Internet des appareils IoT (IoT) ; et serveurs) connectés physiquement à l’infrastructure, virtuellement, à distance et dans les environnements cloud, pour connaître avec précision L’ensemble des actifs qui doivent être surveillés et protégés au sein de l’entreprise. Cela permettra également d’identifier les actifs non autorisés et non gérés à supprimer ou remédier. Pourquoi est-ce utile ? La gestion complète de tous les actifs de l’entreprise est cruciale pour une surveillance de sécurité efficace, une réponse aux incidents, une sauvegarde des systèmes et une récupération. Les entreprises doivent avoir une compréhension claire de leurs actifs pour les défendre adéquatement.
Pourquoi est-ce utile ?
La gestion complète de tous les actifs de l’entreprise est cruciale pour une surveillance de sécurité efficace, une réponse aux incidents, une sauvegarde des systèmes et une récupération. Les entreprises doivent avoir une compréhension claire de leurs actifs pour les défendre adéquatement. Cela inclut l’identification des données critiques et la garantie d’une gestion appropriée des actifs pour appliquer les contrôles de sécurité appropriés. Les attaquants externes scannent en continu les réseaux d’entreprise, que ce soit sur site ou dans le cloud, pour identifier les actifs potentiellement vulnérables. Ils exploitent les nouveaux actifs qui peuvent ne pas être configurés ou mis à jour de manière sécurisée. De même, en interne, les actifs non identifiés avec des configurations de sécurité faibles peuvent devenir vulnérables aux attaques de logiciels malveillants. Les adversaires peuvent exploiter ces configurations faibles pour se déplacer latéralement dans le réseau une fois qu’ils ont accès. Les actifs qui se connectent au réseau de l’entreprise, tels que les systèmes de démonstration ou les systèmes de test temporaires, doivent être identifiés et isolés pour éviter de compromettre la sécurité des opérations de l’entreprise. La gestion des environnements complexes et dynamiques pose des défis, notamment avec les appareils portables des utilisateurs finaux et les environnements cloud. Ces actifs peuvent rejoindre et quitter le réseau de manière intermittente, rendant l’inventaire des actifs dynamique et difficile à maintenir. Cependant, malgré ces défis, la gestion complète des actifs de l’entreprise est essentielle pour soutenir la réponse aux incidents. Cela aide à enquêter sur les origines du trafic réseau et à identifier les actifs potentiellement vulnérables ou impactés lors des incidents. En maintenant un inventaire précis des actifs, les entreprises peuvent améliorer leur posture de sécurité et atténuer efficacement les risques.
Contrôle 02 : Inventaire et contrôle des actifs logiciels
Gérer activement (inventaire, suivi et correction) tous les logiciels (systèmes d’exploitation et applications) sur le réseau afin que seuls les logiciels autorisés soient installés et puissent exécuter et que les logiciels non autorisés et non gérés sont détectés et empêchés dès l’installation ou l’exécution. Pourquoi est-ce utile ? Un inventaire complet des logiciels est une base critique pour prévenir les attaques. Les attaquants scannent en continu les entreprises cibles à la recherche de versions de logiciels vulnérables pouvant être exploitées à distance. Par exemple, si un utilisateur ouvre un site Web malveillant ou une pièce jointe avec un navigateur vulnérable, un attaquant peut souvent installer des programmes de porte dérobée et des bots qui lui donnent un contrôle à long terme du système. Les attaquants peuvent également utiliser cet accès pour se déplacer latéralement à travers le réseau. L’une des principales défenses contre ces attaques est la mise à jour et le “patching” des logiciels. Cependant, sans un inventaire complet des actifs logiciels, une entreprise ne peut pas déterminer si elle dispose de logiciels vulnérables, ou s’il existe des violations potentielles de licences. Même si un correctif n’est pas encore disponible, une liste d’inventaire complet des logiciels permet à une entreprise de se prémunir contre les attaques connues jusqu’à ce que le correctif soit publié. Certains attaquants sophistiqués utilisent des « exploits zero-day », qui exploitent des vulnérabilités précédemment inconnues pour lesquelles aucun correctif n’a encore été publié par le fournisseur de logiciels. Selon la gravité de l’exploit, une entreprise peut mettre en œuvre des mesures d’atténuation temporaires pour se prémunir contre les attaques jusqu’à ce que le correctif soit publié. La gestion des actifs logiciels est également importante pour identifier les risques de sécurité inutiles. Une entreprise devrait examiner son inventaire logiciel pour identifier tout actif d’entreprise exécutant un logiciel qui n’est pas nécessaire à des fins commerciales. Par exemple, un actif d’entreprise peut être livré avec un logiciel par défaut qui crée un risque potentiel pour la sécurité et ne présente aucun avantage pour l’entreprise. Il est essentiel d’inventorier, de comprendre, d’évaluer et de gérer tous les logiciels connectés à l’infrastructure d’une entreprise.
Contrôle 03 : Protection des données
Développer des processus et des contrôles techniques pour identifier, classer, gérer en toute sécurité, conserver et éliminer les données.
Pourquoi est-ce utile ?
Les données ne sont plus uniquement contenues dans les frontières d’une entreprise ; elles sont dans le cloud, sur des appareils portables des utilisateurs travaillant depuis chez eux, et sont souvent partagées avec des partenaires ou des services en ligne qui peuvent les avoir n’importe où dans le monde. En plus des données sensibles détenues par une entreprise liées aux finances, à la propriété intellectuelle et aux données clients, il peut également exister de nombreuses réglementations internationales pour la protection des données personnelles. La confidentialité des données est devenue de plus en plus importante, et les entreprises apprennent que la confidentialité concerne l’utilisation et la gestion appropriées des données, pas seulement le chiffrement. Les données doivent être gérées de manière appropriée tout au long de leur cycle de vie. Ces règles de confidentialité peuvent être compliquées pour les entreprises multinationales de toutes tailles ; cependant, il existe des principes fondamentaux qui peuvent s’appliquer à toutes. Une fois que les attaquants ont pénétré dans l’infrastructure d’une entreprise, l’une de leurs premières tâches est de trouver et d’exfiltrer des données. Les entreprises peuvent ne pas être conscientes que des données sensibles quittent leur environnement car elles ne surveillent pas les flux de données sortants. Alors que de nombreuses attaques se produisent sur le réseau, d’autres impliquent le vol physique d’appareils portables des utilisateurs, des attaques contre des fournisseurs de services ou d’autres partenaires détenant des données sensibles. D’autres actifs sensibles de l’entreprise peuvent également inclure des dispositifs non informatiques qui assurent la gestion et le contrôle des systèmes physiques, tels que les systèmes de supervision et d’acquisition de données (SCADA). La perte de contrôle de l’entreprise sur les données protégées ou sensibles est un impact commercial grave et souvent rapportable. Alors que certaines données sont compromises ou perdues à la suite de vols ou d’espionnage, la grande majorité résulte de règles de gestion des données mal comprises et d’erreurs de l’utilisateur. L’adoption du chiffrement des données, tant en transit qu’au repos, peut atténuer les risques de compromission des données, et, plus important encore, c’est une exigence réglementaire pour la plupart des données contrôlées.
Contrôle 04 : Configuration sécurisée des actifs et logiciels de l’entreprise
Établir et maintenir la configuration sécurisée des actifs de l’entreprise (utilisateur final appareils, y compris portables et mobiles ; Périphériques réseau; non informatique/IoT dispositifs; et serveurs) et logiciels (systèmes d’exploitation et applications). Pourquoi est-ce utile ? Lorsqu’ils sont fournis par les fabricants et les revendeurs, les configurations par défaut des actifs et des logiciels d’entreprise sont généralement orientées vers la facilité de déploiement et d’utilisation plutôt que vers la sécurité. Les contrôles de base, les services et ports ouverts, les comptes ou mots de passe par défaut, les paramètres DNS préconfigurés, les protocoles plus anciens (vulnérables) et l’installation préalable de logiciels inutiles peuvent tous être exploitables s’ils sont laissés dans leur état par défaut. De plus, ces mises à jour de configuration de sécurité doivent être gérées et maintenues tout au long du cycle de vie des actifs et des logiciels d’entreprise. Les mises à jour de configuration doivent être suivies et approuvées via un processus de flux de travail de gestion de configuration pour conserver un enregistrement pouvant être examiné pour la conformité, utilisé pour la réponse aux incidents et pour soutenir les audits. Cette commande CIS est importante pour les appareils sur site, ainsi que pour les appareils distants, les appareils réseau et les environnements cloud. Les fournisseurs de services jouent un rôle clé dans les infrastructures modernes, en particulier pour les petites entreprises. Ils ne sont souvent pas configurés par défaut dans la configuration la plus sécurisée pour permettre à leurs clients d’appliquer leurs propres politiques de sécurité. Par conséquent, la présence de comptes ou de mots de passe par défaut, d’un accès excessif ou de services inutiles est courante dans les configurations par défaut. Cela pourrait introduire des faiblesses qui relèvent de la responsabilité de l’entreprise qui utilise le logiciel, plutôt que du fournisseur de services. Cela s’étend également à la gestion continue et aux mises à jour, car certains services de plateforme en tant que service (PaaS) se limitent uniquement au système d’exploitation, de sorte que le patching et la mise à jour des applications hébergées relèvent de la responsabilité de l’entreprise. Même après qu’une configuration initiale solide a été développée et appliquée, elle doit être continuellement gérée pour éviter de dégrader la sécurité lorsque les logiciels sont mis à jour ou patchés, que de nouvelles vulnérabilités de sécurité sont signalées et que les configurations sont « ajustées » pour permettre l’installation de nouveaux logiciels ou pour prendre en charge de nouveaux besoins opérationnels. Contrôle 05 : Gestion de compte Utiliser des processus et des outils pour attribuer et gérer l’autorisation aux informations d’identification pour comptes d’utilisateurs, y compris les comptes d’administrateur, ainsi que les comptes de service, pour actifs et logiciels de l’entreprise.
Pourquoi est-ce utile ?
Il est plus facile pour un acteur de menace externe ou interne de gagner un accès non autorisé aux actifs ou aux données de l’entreprise en utilisant des identifiants d’utilisateur valides que de « pirater » l’environnement. Il existe de nombreuses façons d’obtenir discrètement l’accès à des comptes d’utilisateur, notamment : des mots de passe faibles, des comptes toujours valides après le départ d’un utilisateur de l’entreprise, des comptes de test dormants ou persistants, des comptes partagés qui n’ont pas été modifiés depuis des mois ou des années, des comptes de service intégrés dans des applications pour des scripts, un utilisateur ayant le même mot de passe que celui qu’il utilise pour un compte en ligne compromis (dans un fichier de mots de passe public), le piratage social d’un utilisateur pour obtenir son mot de passe, ou l’utilisation de logiciels malveillants pour capturer des mots de passe ou des jetons en mémoire ou sur le réseau. Les comptes administratifs, ou à privilèges élevés, sont une cible particulière, car ils permettent aux attaquants d’ajouter d’autres comptes ou de modifier des actifs qui pourraient les rendre plus vulnérables à d’autres attaques. Les comptes de service sont également sensibles, car ils sont souvent partagés entre des équipes, internes et externes à l’entreprise, et parfois méconnus, pour être révélés uniquement lors d’audits standard de gestion des comptes. Enfin, la journalisation et la surveillance des comptes sont des composants critiques des opérations de sécurité. Bien que la journalisation et la surveillance des comptes soient couvertes dans la Commande CIS 8 (Gestion des journaux d’audit), il est important dans le développement d’un programme complet de gestion des identités et des accès (IAM).
Contrôle 06 : Gestion du contrôle d’accès
Utiliser des processus et des outils pour créer, attribuer, gérer et révoquer les informations d’identification d’accès et privilèges pour les comptes d’utilisateur, d’administrateur et de service pour les actifs et logiciels de l’entreprise.
Pourquoi est-ce utile ?
Alors que la Commande CIS 5 traite spécifiquement de la gestion des comptes, la Commande CIS 6 se concentre sur la gestion de l’accès que ces comptes ont, en veillant à ce que les utilisateurs n’aient accès qu’aux données ou aux actifs d’entreprise appropriés à leur rôle, et en garantissant qu’il existe une authentification forte pour les données ou les fonctions d’entreprise critiques ou sensibles. Les comptes ne devraient avoir que les autorisations minimales nécessaires pour le rôle. Développer des droits d’accès cohérents pour chaque rôle et attribuer des rôles aux utilisateurs est une meilleure pratique. Le développement d’un programme pour la fourniture et la déprovisionnement complètes de l’accès est également important. Centraliser cette fonction est idéal. Certaines activités des utilisateurs présentent un risque plus élevé pour une entreprise, soit parce qu’elles sont accessibles depuis des réseaux non fiables, soit parce qu’elles effectuent des fonctions d’administration qui permettent d’ajouter, de modifier ou de supprimer d’autres comptes, ou de faire des modifications de configuration aux systèmes d’exploitation ou aux applications pour les rendre moins sécurisés. Cela souligne également l’importance de l’utilisation de l’authentification multifacteur (MFA) et des outils de gestion des accès privilégiés (PAM). Certains utilisateurs ont accès à des actifs ou à des données d’entreprise dont ils n’ont pas besoin pour leur rôle; cela peut être dû à un processus immature qui donne à tous les utilisateurs tous les accès, ou à un accès persistant alors que les utilisateurs changent de rôles au sein de l’entreprise au fil du temps. Les privilèges d’administrateur local sur les ordinateurs portables des utilisateurs sont également un problème, car tout code malveillant installé ou téléchargé par l’utilisateur peut avoir un impact plus important sur l’actif d’entreprise s’exécutant en tant qu’administrateur. L’accès des utilisateurs, des administrateurs et des comptes de service devrait être basé sur le rôle et le besoin de l’entreprise.
Contrôle 07 : Gestion continue des vulnérabilités
Élaborer un plan pour évaluer et suivre en permanence les vulnérabilités des actifs au sein de l’infrastructure de l’entreprise, afin de remédier et de minimiser les fenêtres d’opportunité pour les attaquants. Surveiller les sources industrielles publiques et privées pour de nouvelles informations sur les menaces et les vulnérabilités.
Pourquoi est-ce utile ?
Les défenseurs cyber sont constamment mis au défi par des attaquants à la recherche de vulnérabilités au sein de leur infrastructure à exploiter et à accéder. Les défenseurs doivent avoir des informations sur les menaces disponibles en temps opportun sur : les mises à jour logicielles, les correctifs, les avis de sécurité, les bulletins de menace, etc., et ils doivent régulièrement passer en revue leur environnement pour identifier ces vulnérabilités avant que les attaquants ne le fassent. Comprendre et gérer les vulnérabilités est une activité continue, nécessitant une concentration de temps, d’attention et de ressources. Les attaquants ont accès aux mêmes informations et peuvent souvent profiter des vulnérabilités plus rapidement qu’une entreprise ne peut les remédier. Bien qu’il y ait un délai entre la connaissance d’une vulnérabilité et sa correction, les défenseurs peuvent prioriser les vulnérabilités les plus impactantes pour l’entreprise, ou susceptibles d’être exploitées en premier en raison de leur facilité d’utilisation. Par exemple, lorsque des chercheurs ou la communauté signalent de nouvelles vulnérabilités, les fournisseurs doivent développer et déployer des correctifs, des indicateurs de compromission (IOC) et des mises à jour. Les défenseurs doivent évaluer le risque de la nouvelle vulnérabilité pour l’entreprise, tester en régression les correctifs et installer le correctif. Il n’y a jamais de perfection dans ce processus. Les attaquants peuvent utiliser une faille pour une vulnérabilité qui n’est pas connue au sein de la communauté de sécurité. Ils peuvent avoir développé une exploitation de cette vulnérabilité appelée exploitation « zero-day ». Une fois que la vulnérabilité est connue dans la communauté, le processus mentionné ci-dessus commence. Par conséquent, les défenseurs doivent garder à l’esprit qu’une exploitation peut déjà exister lorsque la vulnérabilité est largement divulguée. Parfois, les vulnérabilités peuvent être connues au sein d’une communauté fermée (par exemple, un fournisseur développant encore une solution) pendant des semaines, des mois ou des années avant qu’elles ne soient divulguées publiquement. Les défenseurs doivent être conscients qu’il peut toujours y avoir des vulnérabilités qu’ils ne peuvent pas remédier, et donc doivent utiliser d’autres contrôles pour les atténuer. Les entreprises qui n’évaluent pas leur infrastructure pour les vulnérabilités et qui ne remédient pas activement aux failles découvertes risquent grandement de voir leurs actifs d’entreprise compromis. Les défenseurs sont confrontés à des défis particuliers pour mettre à l’échelle la remédiation dans toute une entreprise, et pour prioriser les actions avec des priorités conflictuelles, tout en n’impactant pas les activités ou la mission de l’entreprise.
Contrôle 08 : Gestion des journaux d’audit
Collectez, alertez, examinez et conservez les journaux d’audit des événements qui pourraient aider à détecter, comprendre ou se remettre d’une attaque.
Pourquoi est-ce utile ?
La collecte et l’analyse des journaux sont cruciales pour la capacité d’une entreprise à détecter rapidement une activité malveillante. Parfois, les enregistrements d’audit sont les seules preuves d’une attaque réussie. Les attaquants savent que de nombreuses entreprises conservent des journaux d’audit à des fins de conformité, mais les analysent rarement. Les attaquants utilisent cette connaissance pour masquer leur emplacement, les logiciels malveillants et les activités sur les machines des victimes. En raison de processus d’analyse des journaux mal ou non existants, les attaquants contrôlent parfois les machines des victimes pendant des mois ou des années sans que personne dans l’entreprise cible ne le sache. Il existe deux types de journaux généralement traités et souvent configurés de manière indépendante : les journaux système et les journaux d’audit. Les journaux système fournissent généralement des événements au niveau du système qui montrent divers débuts et fins de processus système, des crashs, etc. Ils sont natifs aux systèmes et nécessitent moins de configuration pour être activés. Les journaux d’audit incluent généralement des événements au niveau de l’utilisateur – quand un utilisateur s’est connecté, a accédé à un fichier, etc. – et nécessitent plus de planification et d’efforts pour être configurés. Les enregistrements de journal sont également essentiels pour la réponse aux incidents. Après qu’une attaque a été détectée, l’analyse des journaux peut aider les entreprises à comprendre l’étendue de l’attaque. Des enregistrements de journal complets peuvent montrer, par exemple, quand et comment l’attaque s’est produite, quelles informations ont été consultées et si des données ont été exfiltrées. La conservation des journaux est également critique au cas où une enquête de suivi serait nécessaire ou si une attaque est restée non détectée pendant une longue période.
Contrôle 09 : Protections des courriels et des navigateurs Web
Améliorer les protections et les détections des menaces provenant des vecteurs de courrier électronique et Web, car ce sont des opportunités pour les attaquants de manipuler le comportement humain via engagement direct.
Pourquoi est-ce utile ?
Les navigateurs Web et les clients de messagerie électronique sont des points d’entrée très courants pour les attaquants en raison de leur interaction directe avec les utilisateurs au sein d’une entreprise. Le contenu peut être conçu pour inciter ou tromper les utilisateurs afin de divulguer leurs informations d’identification, de fournir des données sensibles ou de fournir un canal ouvert permettant aux attaquants de prendre accès, augmentant ainsi le risque pour l’entreprise. Étant donné que l’e-mail et le Web sont les principaux moyens par lesquels les utilisateurs interagissent avec des utilisateurs et des environnements externes et non fiables, ils sont des cibles de choix pour les codes malveillants et l’ingénierie sociale. De plus, à mesure que les entreprises passent à l’e-mail basé sur le Web ou à l’accès à l’e-mail mobile, les utilisateurs n’utilisent plus les clients de messagerie électronique traditionnels complets, qui fournissent des contrôles de sécurité intégrés tels que le chiffrement des connexions, l’authentification forte et les boutons de signalement de phishing.
Contrôle 10 : Défenses contre les logiciels malveillants
Empêcher ou contrôler l’installation, la propagation et l’exécution d’applications malveillantes, du code ou des scripts sur les actifs de l’entreprise.
Pourquoi est-ce utile ?
Les logiciels malveillants (parfois classés comme des virus ou des chevaux de Troie) sont un aspect intégral et dangereux des menaces sur Internet. Ils peuvent avoir de nombreux objectifs, tels que la capture d’informations d’identification, le vol de données, l’identification d’autres cibles au sein du réseau, et le chiffrement ou la destruction de données. Les logiciels malveillants évoluent constamment et s’adaptent, car les variantes modernes exploitent des techniques d’apprentissage automatique. Les logiciels malveillants pénètrent dans une entreprise par le biais de vulnérabilités au sein de l’entreprise sur les appareils des utilisateurs finaux, les pièces jointes aux e-mails, les pages Web, les services cloud, les appareils mobiles et les supports amovibles. Les logiciels malveillants reposent souvent sur un comportement peu sûr de l’utilisateur final, tel que le clic sur des liens, l’ouverture de pièces jointes, l’installation de logiciels ou de profils, ou l’insertion de clés USB. Les logiciels malveillants modernes sont conçus pour éviter, tromper ou désactiver les défenses. Les défenses contre les logiciels malveillants doivent être capables de fonctionner dans cet environnement dynamique grâce à l’automatisation, à la mise à jour rapide et opportune, et à l’intégration avec d’autres processus tels que la gestion des vulnérabilités et la réponse aux incidents. Elles doivent être déployées à tous les points d’entrée possibles et sur tous les actifs de l’entreprise pour détecter, prévenir la propagation ou contrôler l’exécution de logiciels ou de code malveillants.
Contrôle 11 : Récupération de Données
Établir et maintenir des pratiques de récupération de données suffisantes pour restaurer dans le cadre les actifs de l’entreprise à un état de confiance et d’avant l’incident.
Pourquoi est-ce utile ?
Dans la triade de la cybersécurité – Confidentialité, Intégrité et Disponibilité (CID) – la disponibilité des données est, dans certains cas, plus critique que leur confidentialité. Les entreprises ont besoin de nombreux types de données pour prendre des décisions commerciales, et lorsque ces données ne sont pas disponibles ou ne sont pas fiables, cela peut avoir un impact sur l’entreprise. Un exemple simple est celui des informations météorologiques pour une entreprise de transport. Lorsque les attaquants compromettent des ressources, ils apportent des modifications aux configurations, ajoutent des comptes et ajoutent souvent des logiciels ou des scripts. Ces changements ne sont pas toujours faciles à identifier, car les attaquants peuvent avoir corrompu ou remplacé des applications de confiance par des versions malveillantes, ou les changements peuvent sembler être des noms de compte standard. Les modifications de configuration peuvent inclure l’ajout ou la modification d’entrées de registre, l’ouverture de ports, la désactivation de services de sécurité, la suppression de journaux, ou d’autres actions malveillantes qui rendent un système non sécurisé. Ces actions n’ont pas nécessairement à être malveillantes ; une erreur humaine peut en être la cause. Il est donc important de disposer de sauvegardes récentes ou de miroirs pour récupérer les actifs de l’entreprise et les données dans un état de confiance connu. Il y a eu une augmentation exponentielle des rançongiciels au cours des dernières années. Ce n’est pas une nouvelle menace, bien qu’elle soit devenue plus commercialisée et organisée en tant que méthode fiable pour les attaquants de gagner de l’argent. Si un attaquant crypte les données d’une entreprise et demande une rançon pour leur restauration, disposer d’une sauvegarde récente pour récupérer dans un état de confiance connu peut être utile. Cependant, à mesure que les rançongiciels ont évolué, ils sont également devenus une technique d’extorsion, où les données sont exfiltrées avant d’être cryptées, et l’attaquant demande un paiement pour restaurer les données de l’entreprise, ainsi que pour les empêcher d’être vendues ou rendues publiques. Dans ce cas, la restauration résoudrait uniquement le problème de restauration des systèmes dans un état de confiance et de continuité des opérations. En s’appuyant sur les conseils des Contrôles CIS, on peut réduire le risque de rançongiciels grâce à une meilleure hygiène cybernétique, car les attaquants utilisent généralement des exploits plus anciens ou basiques sur des systèmes non sécurisés.
Contrôle 12 : Gestion de l’infrastructure réseau
Établir, mettre en œuvre et gérer activement (suivre, signaler, corriger) les périphériques réseau, afin d’empêcher les attaquants d’exploiter les services réseaux vulnérables et les points d’accès.
Pourquoi est-ce utile ?
Une infrastructure réseau sécurisée est une défense essentielle contre les attaques. Cela comprend une architecture de sécurité appropriée, l’adressage des vulnérabilités qui sont souvent introduites avec les paramètres par défaut, la surveillance des changements et la réévaluation des configurations actuelles. L’infrastructure réseau comprend des dispositifs tels que des passerelles physiques et virtualisées, des pares-feux, des points d’accès sans fil, des routeurs et des commutateurs. Les configurations par défaut des dispositifs réseau sont conçues pour faciliter le déploiement et l’utilisation, et non pour la sécurité. Les vulnérabilités potentielles par défaut comprennent les services et ports ouverts, les comptes et mots de passe par défaut (y compris les comptes de service), le support pour les protocoles plus anciens et vulnérables, et l’installation préalable de logiciels inutiles. Les attaquants recherchent les paramètres par défaut vulnérables, les lacunes ou les incohérences dans les ensembles de règles de pare-feu, de routeurs et de commutateurs, et utilisent ces failles pour pénétrer les défenses. Ils exploitent les failles de ces dispositifs pour accéder aux réseaux, rediriger le trafic sur un réseau et intercepter les données en transmission. La sécurité du réseau est un environnement en constante évolution qui nécessite une réévaluation régulière des diagrammes d’architecture, des configurations, des contrôles d’accès et des flux de trafic autorisés. Les attaquants profitent du fait que les configurations des dispositifs réseau deviennent moins sécurisées avec le temps, car les utilisateurs demandent des exceptions pour des besoins commerciaux spécifiques. Parfois, les exceptions sont déployées, mais ne sont pas supprimées lorsqu’elles ne sont plus applicables aux besoins de l’entreprise. Dans certains cas, le risque de sécurité d’une exception n’est ni correctement analysé ni mesuré par rapport au besoin commercial associé et peut changer avec le temps.
Contrôle 13 : Surveillance et défense du réseau
Utiliser des processus et des outils pour établir et maintenir un réseau complet de surveillance et défense contre les menaces de sécurité sur l’ensemble du réseau de l’entreprise pour l’infrastructure et base d’utilisateurs.
Pourquoi est-ce utile ?
Nous ne pouvons pas compter uniquement sur les défenses réseau pour être parfaites. Les adversaires continuent d’évoluer et de mûrir, partageant ou vendant des informations au sein de leur communauté sur les exploits et les contournements des contrôles de sécurité. Même si les outils de sécurité fonctionnent « comme annoncé », il faut comprendre la posture de risque de l’entreprise pour les configurer, les régler et les journaliser de manière efficace. Souvent, les erreurs de configuration dues à des erreurs humaines ou au manque de connaissance des capacités des outils donnent aux entreprises un faux sentiment de sécurité. Les outils de sécurité ne peuvent être efficaces que s’ils soutiennent un processus de surveillance continue permettant au personnel d’être alerté et de répondre rapidement aux incidents de sécurité. Les entreprises qui adoptent une approche purement technologique connaîtront également plus de faux positifs, en raison de leur sur-reliance sur les alertes provenant des outils. Identifier et répondre à ces menaces nécessite une visibilité sur tous les vecteurs de menace de l’infrastructure et l’utilisation des humains dans le processus de détection, d’analyse et de réponse. Il est essentiel pour les grandes entreprises ou celles très ciblées de disposer d’une capacité opérationnelle de sécurité pour prévenir, détecter et répondre rapidement aux menaces cybernétiques avant qu’elles ne puissent avoir un impact sur l’entreprise. Ce processus générera des rapports d’activité et des métriques qui aideront à améliorer les politiques de sécurité et à soutenir la conformité réglementaire pour de nombreuses entreprises. Comme nous l’avons vu de nombreuses fois dans la presse, des entreprises ont été compromises pendant des semaines, des mois, voire des années avant d’être découvertes. Le principal avantage d’avoir une conscience de la situation complète est d’augmenter la vitesse de détection et de réponse. Ceci est crucial pour répondre rapidement lorsque des logiciels malveillants sont découverts, des informations d’identification sont volées ou lorsque des données sensibles sont compromises afin de réduire l’impact sur l’entreprise. Grâce à une bonne conscience de la situation (c’est-à-dire aux opérations de sécurité), les entreprises identifieront et catalogueront les tactiques, techniques et procédures (TTP) des attaquants, y compris leurs IOC, ce qui aidera l’entreprise à devenir plus proactive dans l’identification des menaces ou incidents futurs. La récupération peut être plus rapide lorsque la réponse dispose d’informations complètes sur l’environnement et la structure de l’entreprise pour développer des stratégies de réponse efficaces.
Contrôle 14 : Sensibilisation à la sécurité et formation aux compétences
Établir et maintenir un programme de sensibilisation à la sécurité pour influencer le comportement des utilisateurs. Les équipes doivent être soucieuses de la sécurité et correctement qualifiées pour réduire les risques de cybersécurité pour l’entreprise.
Pourquoi est-ce utile ?
Les actions des individus jouent un rôle critique dans le succès ou l’échec du programme de sécurité d’une entreprise. Il est plus facile pour un attaquant de convaincre un utilisateur de cliquer sur un lien ou d’ouvrir une pièce jointe à un e-mail pour installer un logiciel malveillant afin de pénétrer dans une entreprise, que de trouver une faille réseau pour le faire directement. Les utilisateurs eux-mêmes, intentionnellement ou non, peuvent causer des incidents en raison d’une mauvaise manipulation de données sensibles, en envoyant un e-mail avec des données sensibles au mauvais destinataire, en perdant un appareil utilisateur portable, en utilisant des mots de passe faibles ou en utilisant le même mot de passe qu’ils utilisent sur des sites publics. Aucun programme de sécurité ne peut efficacement traiter le risque cybernétique sans moyen de s’attaquer à cette vulnérabilité humaine fondamentale. Les utilisateurs à tous les niveaux de l’entreprise présentent différents risques. Par exemple : les cadres gèrent des données plus sensibles ; les administrateurs système ont la capacité de contrôler l’accès aux systèmes et aux applications ; et les utilisateurs des finances, des ressources humaines et des contrats ont tous accès à différents types de données sensibles qui peuvent les rendre vulnérables. La formation doit être régulièrement mise à jour. Cela renforcera la culture de la sécurité et dissuadera les solutions de contournement risquées.
Contrôle 15 : Gestion des fournisseurs de services
Développer un processus pour évaluer les prestataires de services qui détiennent des données sensibles ou qui sont responsable des plates-formes ou des processus informatiques critiques d’une entreprise, afin de garantir que les fournisseurs protègent ces plates-formes et ces données de manière appropriée.
Pourquoi est-ce utile ?
Dans notre monde moderne et connecté, les entreprises dépendent de fournisseurs et de partenaires pour les aider à gérer leurs données ou s’appuient sur des infrastructures tierces pour des applications ou des fonctions essentielles. Il y a eu de nombreux exemples où des violations de tiers ont eu un impact significatif sur une entreprise ; par exemple, dès la fin des années 2000, des cartes de paiement ont été compromises après que des attaquants ont infiltré de plus petits fournisseurs tiers dans le secteur de la vente au détail. Des exemples plus récents incluent les attaques de rançongiciels qui ont un impact indirect sur une entreprise, en raison du blocage de l’un de leurs prestataires de services, causant des perturbations dans les affaires. Ou pire, si directement connecté, une attaque de rançongiciel pourrait crypter des données sur l’entreprise principale. La plupart des réglementations sur la sécurité des données et la vie privée exigent que leur protection s’étende aux fournisseurs de services tiers, comme avec les accords associés aux entreprises de la « Health Insurance Portability and Accountability Act » (HIPAA) dans le secteur de la santé, les exigences du « Federal Financial Institutions Examination Council » (FFIEC) pour l’industrie financière, et le Cyber Essentials du Royaume-Uni. La confiance envers les tiers est une fonction de gouvernance, de gestion des risques et de conformité (GRC) essentielle, car les risques qui ne sont pas gérés au sein de l’entreprise sont transférés à des entités extérieures à l’entreprise. Bien que l’examen de la sécurité des tiers soit une tâche effectuée depuis des décennies, il n’existe pas de norme universelle pour évaluer la sécurité ; et de nombreux fournisseurs de services sont audités par leurs clients plusieurs fois par mois, ce qui a un impact sur leur propre productivité. Cela est dû au fait que chaque entreprise dispose d’une « liste de contrôle » ou d’un ensemble de normes différents pour évaluer le fournisseur de services. Il n’y a que quelques normes industrielles, telles que dans la finance, avec le programme Shared Assessments, ou dans l’enseignement supérieur, avec leur « Higher Education Community Vendor Assessment Toolkit » (HECVAT). Les compagnies d’assurance vendant des polices de cybersécurité ont également leurs propres mesures. Alors qu’une entreprise pourrait examiner de près les grandes entreprises de cloud ou d’hébergement d’applications parce qu’elles hébergent leur messagerie électronique ou leurs applications métier critiques, les petites entreprises représentent souvent un risque plus important. Souvent, un fournisseur de services tiers contracte avec des parties supplémentaires pour fournir d’autres plug-ins ou services, comme lorsque qu’un tiers utilise une plateforme ou un produit d’un quatrième tiers pour soutenir l’entreprise principale.
Contrôle 16 : Sécurité des logiciels d’application
Gérer le cycle de vie de la sécurité des logiciels développés, hébergés ou acquis en interne pour prévenir, détecter et corriger les failles de sécurité avant qu’elles puissent avoir un impact l’entreprise.
Pourquoi est-ce utile ?
Les applications fournissent une interface conviviale permettant aux utilisateurs d’accéder et de gérer des données de manière alignée sur les fonctions commerciales. Elles réduisent également la nécessité pour les utilisateurs de traiter directement avec des fonctions système complexes (et potentiellement sujettes aux erreurs), comme se connecter à une base de données pour insérer ou modifier des fichiers. Les entreprises utilisent des applications pour gérer leurs données les plus sensibles et contrôler l’accès aux ressources système. Par conséquent, un attaquant peut utiliser l’application elle-même pour compromettre les données, plutôt qu’une séquence de piratage réseau et système élaborée visant à contourner les contrôles de sécurité réseau et les capteurs. C’est pourquoi il est si important de protéger les identifiants d’utilisateur (en particulier les identifiants d’application) définis dans la CIS Control 6. En l’absence d’identifiants, les failles de l’application sont le vecteur d’attaque privilégié. Cependant, les applications d’aujourd’hui sont développées, exploitées et maintenues dans un environnement très complexe, diversifié et dynamique. Les applications s’exécutent sur plusieurs plates-formes : web, mobile, cloud, etc., avec des architectures d’application plus complexes que les structures client-serveur ou base de données-serveur web héritées. Les cycles de développement sont devenus plus courts, passant de mois ou d’années dans les méthodologies en cascade longues, à des cycles DevOps avec des mises à jour fréquentes du code. De plus, les applications sont rarement créées à partir de zéro et sont souvent « assemblées » à partir d’un mélange complexe de cadres de développement, de bibliothèques, de code existant et de nouveau code. Il existe également des réglementations modernes et évolutives sur la protection des données traitant de la confidentialité des utilisateurs. Celles-ci peuvent exiger la conformité aux exigences de protection des données régionales ou sectorielles spécifiques. Ces facteurs rendent les approches traditionnelles de sécurité, telles que le contrôle (des processus, des sources de code, de l’environnement d’exécution, etc.), l’inspection et les tests, beaucoup plus difficiles. De plus, le risque qu’une vulnérabilité d’application introduise peut ne pas être compris, sauf dans un contexte ou une configuration opérationnelle spécifique. Les vulnérabilités des applications peuvent être présentes pour de nombreuses raisons : conception non sécurisée, infrastructure non sécurisée, erreurs de codage, authentification faible et absence de tests pour des conditions inhabituelles ou inattendues. Les attaquants peuvent exploiter des vulnérabilités spécifiques, notamment les débordements de tampon, l’exposition à l’injection SQL, les scripts intersites, les requêtes intersites forgées et le détournement de code pour accéder à des données sensibles ou prendre le contrôle d’actifs vulnérables dans l’infrastructure comme point de départ pour d’autres attaques. Les applications et les sites web peuvent également être utilisés pour collecter des identifiants, des données, ou tenter d’installer des logiciels malveillants sur les utilisateurs qui y accèdent.
Contrôle 17 : Gestion des réponses aux incidents
Établir un programme pour développer et maintenir une capacité de réponse aux incidents (par ex. politiques, plans, procédures, rôles définis, formation et communications) pour préparer, détecter et réagir rapidement à une attaque.
Pourquoi est-ce utile ?
Un programme complet de cybersécurité comprend des protections, des détections, des capacités de réponse et de récupération. Souvent, les deux derniers sont négligés dans les entreprises immatures, ou la technique de réponse aux systèmes compromis se limite simplement à les réimager dans leur état d’origine et à passer à autre chose. L’objectif principal de la réponse aux incidents est d’identifier les menaces au sein de l’entreprise, d’y répondre avant qu’elles ne se propagent, et de les remédier avant qu’elles ne puissent causer de dommages. Sans comprendre l’étendue complète d’un incident, comment il s’est produit et ce qui peut être fait pour empêcher qu’il ne se reproduise, les défenseurs seront simplement dans un schéma perpétuel de « jeu du taupin ». Nous ne pouvons pas nous attendre à ce que nos protections soient efficaces à 100 % du temps. Lorsqu’un incident se produit, si une entreprise n’a pas de plan documenté, même avec des personnes compétentes, il est presque impossible de connaître les bonnes procédures d’investigation, de signalement, de collecte de données, de responsabilité de la gestion, de protocoles juridiques et de stratégie de communication qui permettront à l’entreprise de comprendre, de gérer et de récupérer avec succès. En plus de la détection, de l’isolement et de l’éradication, la communication aux parties prenantes est essentielle. Si nous voulons réduire la probabilité d’impact matériel dû à un événement cybernétique, les dirigeants de l’entreprise doivent savoir quel impact potentiel il pourrait y avoir, afin qu’ils puissent aider à prioriser les décisions de remédiation ou de restauration qui soutiennent le mieux l’entreprise. Ces décisions commerciales peuvent être basées sur la conformité réglementaire, les règles de divulgation, les accords de niveau de service avec les partenaires ou les clients, les revenus ou les impacts sur la mission. Le temps d’occupation, c’est-à-dire le temps écoulé entre une attaque et son identification, peut-être de plusieurs jours, semaines ou mois. Plus l’attaquant reste dans l’infrastructure de l’entreprise, plus il s’y enracine et développe des moyens de maintenir un accès persistant pour quand il sera finalement découvert. Avec la montée des ransomwares, qui sont une source de revenus stable pour les attaquants, ce temps d’occupation est critique, surtout avec les tactiques modernes de vol de données avant de les chiffrer pour obtenir une rançon.
Contrôle 18 Test de pénétration
Testez l’efficacité et la résilience des actifs de l’entreprise en identifiant et exploitant les faiblesses des contrôles (personnes, processus et technologie), et simuler les objectifs et les actions d’un attaquant.
Pourquoi est-ce utile ?
Une posture défensive réussie nécessite un programme complet de politiques et de gouvernance efficaces, de solides défenses techniques, combinées à une action appropriée des personnes. Cependant, elle est rarement parfaite. Dans un environnement complexe où la technologie évolue constamment et où de nouvelles pratiques des attaquants apparaissent régulièrement, les entreprises devraient périodiquement tester leurs contrôles pour identifier les failles et évaluer leur résilience. Ce test peut être réalisé du point de vue du réseau externe, du réseau interne, de l’application, du système ou du périphérique. Il peut inclure de l’ingénierie sociale des utilisateurs ou des contournements de contrôle d’accès physique. Souvent, les tests de pénétration sont effectués dans des buts spécifiques :
- Comme une démonstration « dramatique » d’une attaque, généralement pour convaincre les décideurs des faiblesses de leur entreprise
- Comme moyen de tester le fonctionnement correct des défenses de l’entreprise (« vérification »)
- Pour tester si l’entreprise a mis en place les bonnes défenses en premier lieu (« validation »)
Les tests de pénétration indépendants peuvent fournir des informations précieuses et objectives sur l’existence de vulnérabilités dans les actifs et les humains de l’entreprise, ainsi que sur l’efficacité des défenses et des contrôles d’atténuation pour protéger l’entreprise contre les impacts négatifs. Ils font partie d’un programme complet et continu de gestion et d’amélioration de la sécurité. Ils peuvent également révéler des faiblesses de processus, telles qu’une gestion de configuration incomplète ou incohérente, ou une formation des utilisateurs insuffisante. Les tests de pénétration diffèrent des tests de vulnérabilité, décrits dans la CIS Control 7. Les tests de vulnérabilité vérifient simplement la présence d’actifs d’entreprise connus et non sécurisés, et s’arrêtent là. Les tests de pénétration vont plus loin pour exploiter ces faiblesses afin de voir jusqu’où un attaquant pourrait aller, et quels processus commerciaux ou données pourraient être impactés par l’exploitation de cette vulnérabilité. C’est un détail important, et souvent les tests de pénétration et les tests de vulnérabilité sont incorrectement utilisés de manière interchangeable. Les tests de vulnérabilité consistent exclusivement en un balayage automatisé avec parfois une validation manuelle des faux positifs, tandis que les tests de pénétration nécessitent une implication humaine et une analyse, parfois soutenue par l’utilisation d’outils ou de scripts personnalisés. Cependant, les tests de vulnérabilité sont souvent un point de départ pour un test de pénétration. Un autre terme courant est celui des exercices de « Red Team ». Ils sont similaires aux tests de pénétration en ce sens que les vulnérabilités sont exploitées ; cependant, la différence réside dans la focalisation. Les équipes « Red Team » simulent des TTPs (Tactics, Techniques, and Procedures) spécifiques des attaquants pour évaluer la manière dont l’environnement d’une entreprise résisterait à une attaque d’un adversaire spécifique, ou d’une catégorie d’adversaires.
