Représentant 90% des attaques de logiciels malveillants, les TPE / PME sont les cibles préférentielles des cybercriminels. Ces attaques s’expliquent par une sécurité souvent plus faible que des grosses entreprises (par manque de moyens alloués), malgré des informations tout aussi capitales (les cabinets comptables de taille moyenne hébergent par exemple potentiellement les comptes de grandes entreprises locales), et celles qui arrivent à leurs fins ont de grosses conséquences sur la santé de ces petites entreprises, les condamnant parfois à mettre la clef sous la porte.
Ce constat pousse les DSI et dirigeants d’entreprise des TPE / PME à s’armer de protections supplémentaires. Il leur est possible d’internaliser ces services, ou bien de les externaliser en s’appuyant sur des structures spécialisées qui permettent le même niveau de service via des coûts bien inférieurs (le coût étant partagé entre les clients d’une plateforme).
Zoom dans cet article sur les outils que nous recommandons et qui sont à disposition de ces services spécialisés (comme le CTN / SOC de Cyberenity, la branche cybersécurité d’IPgarde), qu’ils aient vocation de prévenir des cyberattaques (en amont), de détecter les tentatives d’entrée de malwares ou bien de réagir / y remédier si l’attaquant réussit à rentrer sur les systèmes d’informations en question.
Avant de parler des outils, il faut rappeler que l’ultra majorité des cyber-attaques ont pour origine une erreur humaine, du basique mot de passe reproduit sur chaque service jusqu’au clic sur un email frauduleux permettant le téléchargement d’un malware sur la machine du collaborateur concerné, qui peut ensuite potentiellement s’étendre sur un réseau entier.
Le premier niveau de sécurité est donc la prévention et la formation des collaborateurs, afin de les sensibiliser sur les enjeux de la cybersécurité et pour déjouer les attaques les plus simples / les plus courantes. Avoir des collaborateurs éveillés vous permettra de réduire les risques d’infection de plus de 90%.
La première prévention est à faire au sujet de la sécurisation des mots de passe, premier verrou potentiellement affaibli pour entrer sur vos SI. Rentrons ensuite dans le vif du sujet en parlant des outils permettant de se prévenir sur les sujets du phishing (responsable de 74% des actes de cyber malveillance en 2023 = CyberCoach), de la vulnérabilité des versions (Scan de vulnérabilité Ikare), et de l’Open Source Intelligence (Diagnostic OSTINT Anozr Way)
CyberCoach est une plateforme de simulation d’attaques (et notamment de phishing) imaginée et gérée par Mail in Black, un des acteurs les plus connus de la lutte anti-phishing par mail.
Ce programme, basé à la fois sur les sciences cognitives et sur l’expérience empirique liée à leur domaine, simule des attaques de phishing provenant d’acteurs et d’entités personnalisables (pour s’approcher au plus de la réalité du métier des formés) sur un temps donné (par exemple 12 attaques réparties sur 1 an), afin de lier la sensibilisation et la formation avec un entraînement concret.
Le responsable de la formation en interne reçoit les résultats de tous ses collaborateurs et peut voir le nombre d’actions à risque effectuées par ses équipes. On note sur CHAQUE formation une grande amélioration des résultats au fil du processus, et donc un risque de phishing fortement amoindri.
Ikare permet un scan de vulnérabilité de vos systèmes afin de vérifier de manière automatisée et continue s’ils sont à jour ou, s’ils ne le sont pas, s’ils sont sous une version présentant une faille de sécurité connue. Très simple d’accès pour les DSI / RSSI, il présente une cartographie complète des appareils (ou de votre cloud), personnalisable selon la répartition de vos équipes ou en Business Unit (par exemple Messagerie, markéting, compta…).
|
💡 Bon à savoir 💡 Le gros + d’Ikare ? L’audit de vulnérabilité automatisé et en continu La console d’Ikare permet de programme la récurrence des scans afin de permettre une remontée en quasi-temps réel et un classement des alertes par ordre de criticité selon les standards CVSS. |
L’OSINT, ou Open Source Intelligence, regroupe l’ensemble des données retrouvables :
Si à première vue le rapport entre OSINT et cybersécurité peut paraître flou, il est important de notifier que ces données peuvent contenir :
Faire un diagnostic OSINT de son entreprise et de ses collaborateurs (avec leur consentement) permet ainsi d’avoir une vue sur toutes les infos en circulations qui pourraient potentiellement aider des cybercriminels à monter une attaque. A vous de choisir si vous préférez être au courant de ces infos AVANT ou APRES eux.
Malheureusement, malgré toute la prévention possible, il est fort probable que des cybercriminels tentent de pénétrer vos réseaux. C’est ici que vos outils de fortification (pour augmenter la difficulté d’accès) et de détection (pour être prévenu d’un accès / mouvement inhabituel et malveillant sur vos réseaux et plus facilement retrouver le malware) entrent en jeu.
Les firewalls (pare-feux) de nouvelle génération (NGFWs pour Next-Generation Firewalls) sont la porte blindée qui empêche les intrus de pénétrer votre réseau. Ils permettent de sécuriser un environnement hybride (sur site/centre de données, cloud, SaaS) et de fournir une protection avancée contre les malwares et les intrusions. Les NGFW sont conçus pour inclure le contrôle des applications, les systèmes de prévention des intrusions, l'anti-malware, l'inspection approfondie des paquets et de nombreuses autres fonctions de sécurité réseau nécessaires pour lutter contre les cyber-menaces actuelles.
Les collaborateurs, même ceux suffisamment éduqués, se montrent très souvent négligeants en termes de sécurité de leurs mots de passe, avec :
Dans ce cadre, les MFA sont primordiaux pour protéger vos infrastructures en rajoutant une seconde couche de sécurité pour identifier et autoriser l’accès.
Le MFA Phoenix ID, racheté par Clavister, offre à l’utilisateur un moyen sûr et simple de se connecter via l’authentification multifactorielle (ou l’authentification à deux facteurs). Cette deuxième authentification peut prendre la forme :
L’absence de cloisonnement (=un réseau « à plat ») permet à chaque machine d’accéder à n’importe quelle autre machine présente sur ce dit réseau. En cas de compromission de l’une d’elle, toutes les autres présentes sur ce réseau seraient en péril : l’attaquant n’aurait ainsi qu’à rebondir de machine en machine (=> mouvement latéral)
En raisonnant par segmentation des zones du système selon leurs besoins en sécurité, on pourra par exemple regrouper sur des réseaux virtuels (VLAN) les serveurs, les postes, le wifi, la téléphonie, etc. L’attaquant pourra ainsi se déplacer latéralement entre chaque entité d’un VLAN, mais pas entre les réseaux, ce qui limite déjà fortement son mouvement dans votre système. Au mieux, chaque déplacement entre 2 réseaux demanderait une authentification (MFA) et un passage par le Firewall pour renforcer le système global et rendre encore plus difficile la circulation entre différents réseaux.
|
💡 Bon à savoir 💡 S’il y a 1 entité à absolument segmenter sur 1 réseau différent, c’est votre back-up. En cas d’attaque, si l’attaquant injecte un ransomware qui chiffre votre réseau par exemple, alors vous pourrez utiliser le back-up présent sur un autre réseau. Si ce dernier était sur le même réseau, il y aurait de fortes chances qu’il soit lui aussi chiffré, car l’attaquant aurait facilement pu se déplacer de l’un à l’autre. |
C’est l’étape supérieure du cloisonnement des réseaux. Dans un système micro-segmenté, chaque machine est dissociée, même dans un réseau déjà cloisonné. Le mouvement latéral est ainsi interdit, qu’il soit entre les réseaux, entre les machines ou entre les serveurs. Une configuration de système en micro-segmentation associée à du flux authentifié s’apparente déjà à un bouclier anti cyber-attaque très solide.
|
💡 Bon à savoir 💡 Si le cloisonnement de votre réseau est à posteriori difficile, nous vous recommandons de commencer par séparer votre back-up de votre réseau principal. Vous pourrez dès à présent intégrer la démarche de cloisonnement / de micro-segmentation pour chaque extension de votre système, ou à l’occasion d’un renouvellement d’équipements. |
L’isolation du web est un outil qui sépare les appareils utilisateurs physiques de la navigation sur Internet. Il héberge et exécute les données de navigation depuis une sandbox basée sur un cloud, isolant ainsi les données des appareils des réseaux du code potentiellement infesté sur le web, évitant donc :
L’EDR (Endpoint Detection and Response) est un outil qui permet d’aller plus loin que les antivirus dans votre système de protection. Celui-ci est capable d’analyses comportementales (IA et Machine Learning) en monitorant les actions d’une machine pour remplir 3 missions :
L’EDR managé (ou MDR) ajoute un service humain épaulant vos équipes informatiques ou de sécurité qui analysera chaque alerte pour trier les messages les plus sérieux et ainsi prioriser les alertes à la collectivité cliente selon leur degré de dangerosité.
Voir la fiche produit de l'EDR Threatdown proposé par IPgarde.
Voir la fiche produit de l'EDR Threatdown managé proposé par IPgarde.
Le Centre de Télésurveillance Numérique de Cyberenity est un SOC (Security Operations Center) disposant d’un service d’ingénieurs cybersécrutié surveillant en permanence votre SI. Il offre une capacité de détection et de protection accrue et une analyse humaine complémentaire pour vous aider à réagir afin de minimiser les conséquences en cas de cyberattaque, comme ce fut le cas par exemple lors de l'attaque d'Anydesk en février 2024. C’est actuellement le plus haut niveau de surveillance en matière de cybersécurité.
Son périmètre d’action se situe entre la détection et la remédiation. Le CTN permet ainsi d’avoir accès à des prestations de pointe telles que :
Mais également une expérience certaine de gestion de crise pour vous accompagner en cas d’attaque sur la marche à suivre pour minimiser les conséquences sur votre SI.
Voir la fiche produit du CTN proposé par la branche cybersécurité d'IPgarde, Cyberenity.
|
💡A retenir 💡 Les cyberattaquants doivent identifier des cibles présentant un bon rapport entre revenu potentiel et facilité d’attaque. De manière générale, il ne sera pas rentable pour eux de s’attaquer à des petites et moyennes entreprises avec un bon système de défense, car le temps alloué est trop important par rapport aux potentiels gains. Il sera plus opportun pour eux de changer de cible et d’aller vers une entreprise moins bien équipée et / ou comportant une faille déjà connue sur le dark web. Une bonne segmentation des réseaux ajoutée à un outillage cybersécurité de qualité (complémenté par l’expertise d’ingénieurs cybersécurité du CTN pour détecter tout mouvement suspect) devrait ainsi décourager l’extrême majorité des cyber-attaquants.
|
Voici enfin quelques outils de remédiation, utiles après avoir identifié (et isolé) le malware grâce à l’EDR managé ou un SOC.
Une fois la menace identifiée et/ou isolée, l’EDR est capable de bloquer, supprimer ou isoler un malware pour aider l’équipe informatique à retrouver une situation stable en cas de stress d’attaque. Il peut également faire des rollbacks sur certains systèmes pour revenir à une situation antérieure à l’attaque.
En cas d’attaque réussie sur vos systèmes, il est d’importance cruciale de disposer d’une sauvegarde back-up intelligente comme la sauvegarde anti-malwares de VEEAM. Celle-ci se repose sur 3 principes fondamentaux qui vous assurent la restauration grâce aux réplicas, snapshots et cibles de sauvegarde ultra-rapides pour respecter vos RTO, évitez la réinfection et rationalisez les tâches au moyen de documentation, de test et de la vérification automatisés :
De nouvelles fonctionnalités, comme la détection précoce des menaces, l’intégration des outils SIEM et la chasse aux menaces proactive, associées à l’inaltérabilité, la vérification des sauvegardes et les accès sécurisés de Veeam, contribuent à une approche efficace et sans faille de la sécurité.
Renforcez votre infrastructure grâce à l’analyseur de sécurité et de conformité et aux meilleures pratiques appliquées aux données, tout en supervisant les erreurs et anomalies. La fonction de visualisation des anomalies d'I/O réduit les pertes de données au maximum grâce à la CDP de Veeam.
Respectez vos RTO en vous assurant d'éviter toute réinfection grâce à l’analyse du contenu avec YARA. Laissez l’automatisation prendre en charge les tâches chronophages de documentation, test et vérification pour pouvoir restaurer vos données en production, de n’importe où, 5 fois plus rapidement.
La fonction Continuous Data Protection (CDP) est une technique de sauvegarde et de récupération qui réplique et horodate chaque modification incrémentielle d'un ensemble de données stratégiques. En cas de corruption de données due à une erreur de logique ou de l'utilisateur, ou encore à des logiciels malveillants, il est possible de revenir à un point précis précédant la mise à jour indésirable. Cela permet de reprendre les opérations comme si de rien n'était.
La solution de software-defined storage DataCore SANsymphony utilise une fonctionnalité CDP intégrée pour enregistrer chaque mise à jour d’un volume dans un emplacement distinct et l’horodater. Contrairement à des snapshots périodiques, le fonctionnement est entièrement automatique, en continu et en temps réel. Cette approche vous fait bénéficier des avantages d’une protection continue des données et vient compléter votre solution de sauvegarde, sans la remplacer.
Points forts de la fonction CDP :
Vous êtes désormais aptes à vous équiper des meilleurs outils du marché pour sensibiliser vos collaborateurs, fortifier vos systèmes et identifier / remédier à d’éventuelles attaques. Mais, comme nous avons pris l’habitude de dire : malgré toute la sécurisation que vous pourriez mettre en place, il ne s’agit plus de savoir si vous allez vous faire cyber-attaquer, mais quand.
Pour se protéger convenablement des cyberattaques, les petites et moyennes entreprises doivent mieux connaître les types de cyberattaques qui les...
Les petites entreprises doivent prendre la cybersécurité au sérieux pour éviter les conséquences désastreuses d'une cyberattaque.
Le CTN Cyberenity avertit ses clients d'une potentielle cyberattaque et identifie les éventuels postes touchés. Les équipes IPgarde agissent à...