Covid-19 : Rappel des bonnes pratiques de sécurité

La méthode Revue des bonnes pratiques, Inventaire puis Cartographie permet un regard critique et incisif. Elle donne un objectif aux entreprises qui ne sont pas encore assez matures sur le sujet, tout en profitant des ressources déjà disponibles sur Internet. Akerva rappelle les bonnes pratiques de sécurité et délivre ses conseils pour contrôler la surface d’attaque.

La menace Cyber était déjà présente avant la crise Covid-19, elle l’est encore aujourd’hui et elle continuera de se développer par la suite. De nombreuses entreprises ont déjà pu s’armer et s’organiser en conséquence. Cependant, les équipes d’Akerva, Cabinet de Conseil en Cybersécurité et Management des Risques, constatent au quotidien que ce n’est pas encore suffisamment généralisé, indépendamment de la taille ou du budget des structures auditées.

Tout d’abord accompagner les utilisateurs

Si ce n’est pas encore fait, il convient de sensibiliser les utilisateurs via un simple mail ou encore via son extranet d’entreprise s’il est déjà à disposition et qu’il a déjà fait l’objet d’une revue de sécurité. Cette sensibilisation servira encore après la crise.

Parmi les conseils prodigués aux utilisateurs :

  • Se méfier du phishing en étant vigilants sur les demandes téléphoniques inhabituelles et en ne cliquant pas sur les liens des mails reçus si on n’est pas sûr de l’émetteur et de la légitimité de l’échange. Même quand les liens fournis semblent fiables ou que l’interlocuteur est connu, il faut rester vigilant sur la cohérence de la demande ou du type d’information.
  • Limiter l’accès aux sites Web qui ne semblent pas sérieux ou ne correspondent pas aux habitudes professionnelles (même si généralement un outil de filtrage Web est fourni par l’entreprise).
  • Ne pas installer de logiciels sans l’approbation (ou l’intervention) de l’équipe support de l’entreprise et utiliser uniquement les moyens de communication officiellement mis à disposition.
  • Même si le matériel fourni est « chiffré », toujours s’assurer de ne pas le laisser sans surveillance et ne pas tenter d’enlever les mécanismes de protection en place même si « c’est plus pratique ».
  • Ne pas envoyer de données confidentielles en clair dans les mails. Toujours utiliser les outils informatiques fournis par l’entreprise. Si on ne dispose pas d’outil dédié en ligne fourni par l’équipe informatique pour ce type d’échanges à risque, préférer l’utilisation d’outils comme 7-zip ou Zed avec l’envoi d’un mot de passe robuste par SMS.
  • Ne pas utiliser de clés USB ou médias amovibles sur la machine professionnelle et si possible s’assurer qu’au moins un antivirus à jour est activé et qu’un firewall est actif.
  • Ne jamais donner ses identifiants même quand l’interlocuteur prétend faire partie du service informatique.
  • Remonter les anomalies ou doutes aux équipes informatiques de l’entreprise via la boîte mail ou l’outil dédié mis à disposition.

Il est toujours bon de rappeler ces bonnes pratiques aux équipes techniques pour gagner du temps et éviter les erreurs en période de crise. Cela permet également de s’approprier différents réflexes techniques qui, même s’ils ne sont pas implémentés tout de suite, permettront d’orienter les conceptions ou évolutions d’architecture en cours et ainsi d’anticiper la suite.

Reprendre le contrôle sur la surface d’attaque, construire un plan d’action

  • Inventaire

Comme le rappellent les techniques de survie, il ne faut pas prendre le risque de créer un sur-accident. En premier lieu, il ne faut pas laisser des tiers accéder au SI dans « l’urgence de la crise » sans s’assurer que les bonnes pratiques de base sont appliquées.

Comme on ne peut pas efficacement protéger ce que l’on ne connaît pas :

  • Dresser un inventaire rapide et simple des adresses IP publiques exposées qui appartiennent à l’entreprise et/ou hébergent ses services.
  • Compléter cette liste avec les portails Web le cas échéant et les applicatifs Métier de tout type eux-aussi exposés sur Internet, en faisant apparaître les interactions ou tunnels avec des tiers, notamment les accès de maintenance ou de support aux utilisateurs.
  • Associer à cet inventaire « théorique » les composants du SI qui constituent ces chaînes de services et les mesures de protection qui vont avec afin de les comparer aux bonnes pratiques.
  • Lister les exigences clés permet d’avoir une vue d’ensemble de son niveau de maturité et ainsi prendre conscience des principaux risques décrits dans les guides.
  • Il faut, en cible, avoir un inventaire plutôt technique associé à au moins une cinquantaine de bonnes pratiques et un statut : traité, non traité, non applicable et à faire.

En complément, pour préparer son inventaire, le guide d’élaboration en 5 étapes Cartographie du système d’information, est disponible sur le site de l’Agence Nationale de la Sécurité des Systèmes d’Information : https://www.ssi.gouv.fr/uploads/2018/11/guide-cartographie-systeme-information-anssi-pa-046.pdf

Une fois cet inventaire réalisé, il est utile de s’inscrire aux bulletins de sécurité et autres news spécialisées (CERT-FR, CVE Details, Microsoft Technical Security Notifications…) afin d’être informé rapidement lors de la publication d’une faille majeure pour ces mêmes composants. Cela est valable pour les composants d’infrastructure mais aussi pour les périmètres Web ou les services généraux hébergés par des tiers.

S’assurer que les postes nomades et téléphones sont sous contrôle

Sans pouvoir être exhaustif, quelques étapes importantes :

  • S’assurer que l’on permet aux utilisateurs de bien séparer leurs activités personnelles des activités professionnelles (aussi bien pour respecter les bonnes pratiques RGPD que pour garantir l’étanchéité entre les deux environnements techniques).
  • Utiliser si possible pour les postes de travail « nomades », des solutions dites « End Point », « XDR », ou encore « MDM » pour les mobiles.
  • Ces solutions, selon les modules proposés, contribuent à :
    • Contrôler les supports amovibles particulièrement dangereux ;
    • Filtrer les sites Web accessibles ;
    • Isoler le PC portable du réseau domestique ou d’un WiFi illégitime avant et pendant sa connexion au réseau de l’entreprise ;
    • Challenger le niveau de mise à jour et de sécurité du poste ;
  • Avoir potentiellement la main sur l’équipement en cas de vol ou incident majeur de sécurité.
  • Prévoir un mécanisme d’accès VPN à l’entreprise avec authentification forte (TOTP, SmartToken…) et, idéalement, uniquement des flux autorisés pour initialiser le tunnel avant d’accéder aux services de l’entreprise (pas de connexion à Internet en direct en parallèle de l’accès au SI de l’entreprise).
  • Ne pas oublier également les mécanismes de chiffrement pour les PC portables (avec code PIN au démarrage, puce TPM récente, BitLocker ou équivalent) et les mobiles (chiffrement natif avec mot de passe Android/iOS).
  • Proscrire les droits « administrateurs » pour les comptes utilisés au quotidien sur les systèmes, même quand « c’est plus pratique » (toute exécution de code malveillant aurait, de fait, des droits généralement critiques sur le système).
  • Cartographie

Une cartographie technique de la surface d’attaque externe permet de s’assurer qu’il n’y a pas de services ou mécanismes illégitimes exposés sur Internet au regard de ce qui a déjà été inventorié. Cela inclut notamment les services Web, services d’infrastructure et autres « préprod » ou « recettes » à risque, qu’il faut garder sous contrôle et généralement ne pas exposer directement au public. A cela s’ajoute également les services « que l’on va bientôt enlever » ou qui « n’auraient pas dû être là » ou encore « je crois qu’on s’en sert encore » ou « c’est quand même plus pratique » – alias Shadow IT mais pas que.

Le faire dans cet ordre (Revue des bonnes pratiques, Inventaire puis Cartographie) permet d’avoir un regard plus critique et incisif sur les services illégitimes qui sont remontés par cette cartographie.

Après avoir fait une première cartographie du Système d’Information exposé sur Internet, il est possible de faire le « tri » en identifiant les différents types de services remontés par le scan nmap, notamment ceux qui hébergent des applicatifs Web. Même si on arrive à réduire la surface d’attaque générale via les étapes précédentes, la protection des applicatifs (Web, mais pas que) reste un sujet dense qui nécessite un travail de fond.

Quelques objectifs clés qui permettent d’avancer sur le sujet :

  • Le durcissement du socle technique hébergeant les applicatifs.
  • Le respect des bonnes pratiques OWASP/CWE dans le cycle de développement (notamment le fait d’avoir des fonctions ou classes factorisées dédiées à la sécurité, des mécanismes d’authentification avancée, une protection avancée des sessions, des entrées/sorties de fichiers ou d’APIs sous contrôle, des frameworks bien configurés, etc).
  • Un cloisonnement réseau pertinent en fonction des rôles des composants et de la criticité des données manipulées (aka cloisonnement vertical et horizontal, voire même de la micro-segmentation).
  • Une politique de gestion des comptes (services et utilisateurs) avec une granularité fine et une volonté de contrôler les escalades de privilèges et mécanismes de « pivoting » après compromission éventuelle d’un composant (aka « mouvement latéral »).
  • Les scans de vulnérabilités : ils sont nécessaires et complémentaires des Tests d’Intrusion et des opérations Red Team, sans toutefois pouvoir les remplacer.

Une fois ces quelques conseils délivrés, Akerva rappelle qu’il convient de travailler sur la durée pour pouvoir maintenir une démarche d’amélioration continue et limiter les impacts en cas d’intrusion. Les bonnes pratiques organisationnelles et les référentiels associés (analyses de risques, dossiers de sécurité, politiques, procédures, processus, PCA/PRA, SMSI, normes et frameworks de sécurité…) restent par conséquent indispensables et font partie du dispositif complet.

à lire