Blog IPgarde

TPE/PME : 14 solutions techniques pour faire face à une cyberattaque

Rédigé par Nathan Pauriol | May 30, 2024 1:40:07 PM

Représentant 90% des attaques de logiciels malveillants, les TPE / PME sont les cibles préférentielles des cybercriminels. Ces attaques s’expliquent par une sécurité souvent plus faible que des grosses entreprises (par manque de moyens alloués), malgré des informations tout aussi capitales (les cabinets comptables de taille moyenne hébergent par exemple potentiellement les comptes de grandes entreprises locales), et celles qui arrivent à leurs fins ont de grosses conséquences sur la santé de ces petites entreprises, les condamnant parfois à mettre la clef sous la porte.

Ce constat pousse les DSI et dirigeants d’entreprise des TPE / PME à s’armer de protections supplémentaires. Il leur est possible d’internaliser ces services, ou bien de les externaliser en s’appuyant sur des structures spécialisées qui permettent le même niveau de service via des coûts bien inférieurs (le coût étant partagé entre les clients d’une plateforme).

Zoom dans cet article sur les outils que nous recommandons et qui sont à disposition de ces services spécialisés (comme le CTN / SOC de Cyberenity, la branche cybersécurité d’IPgarde), qu’ils aient vocation de prévenir des cyberattaques (en amont), de détecter les tentatives d’entrée de malwares ou bien de réagir / y remédier si l’attaquant réussit à rentrer sur les systèmes d’informations en question.

 

Outil de prévention

Avant de parler des outils, il faut rappeler que l’ultra majorité des cyber-attaques ont pour origine une erreur humaine, du basique mot de passe reproduit sur chaque service jusqu’au clic sur un email frauduleux permettant le téléchargement d’un malware sur la machine du collaborateur concerné, qui peut ensuite potentiellement s’étendre sur un réseau entier.

Le premier niveau de sécurité est donc la prévention et la formation des collaborateurs, afin de les sensibiliser sur les enjeux de la cybersécurité et pour déjouer les attaques les plus simples / les plus courantes. Avoir des collaborateurs éveillés vous permettra de réduire les risques d’infection de plus de 90%.

La première prévention est à faire au sujet de la sécurisation des mots de passe, premier verrou potentiellement affaibli pour entrer sur vos SI. Rentrons ensuite dans le vif du sujet en parlant des outils permettant de se prévenir sur les sujets du phishing (responsable de 74% des actes de cyber malveillance en 2023 = CyberCoach), de la vulnérabilité des versions (Scan de vulnérabilité Ikare), et de l’Open Source Intelligence (Diagnostic OSTINT Anozr Way)

 

1 - Prévention phishing - Cyber coach (ex-Phishing coach)

CyberCoach est une plateforme de simulation d’attaques (et notamment de phishing) imaginée et gérée par Mail in Black, un des acteurs les plus connus de la lutte anti-phishing par mail.

Ce programme, basé à la fois sur les sciences cognitives et sur l’expérience empirique liée à leur domaine, simule des attaques de phishing provenant d’acteurs et d’entités personnalisables (pour s’approcher au plus de la réalité du métier des formés) sur un temps donné (par exemple 12 attaques réparties sur 1 an), afin de lier la sensibilisation et la formation avec un entraînement concret.

Le responsable de la formation en interne reçoit les résultats de tous ses collaborateurs et peut voir le nombre d’actions à risque effectuées par ses équipes. On note sur CHAQUE formation une grande amélioration des résultats au fil du processus, et donc un risque de phishing fortement amoindri.

 

2 - Scan de vulnérabilités - Ikare

Ikare permet un scan de vulnérabilité de vos systèmes afin de vérifier de manière automatisée et continue s’ils sont à jour ou, s’ils ne le sont pas, s’ils sont sous une version présentant une faille de sécurité connue. Très simple d’accès pour les DSI / RSSI, il présente une cartographie complète des appareils (ou de votre cloud), personnalisable selon la répartition de vos équipes ou en Business Unit (par exemple Messagerie, markéting, compta…).

 

💡 Bon à savoir 💡

Le gros + d’Ikare ? L’audit de vulnérabilité automatisé et en continu

La console d’Ikare permet de programme la récurrence des scans afin de permettre une remontée en quasi-temps réel et un classement des alertes par ordre de criticité selon les standards CVSS.

 

3 - Diagnostic OSINT – Anozr Way

L’OSINT, ou Open Source Intelligence, regroupe l’ensemble des données retrouvables :

  • Sur une source accessible librement
  • De manière légale
  • Gratuitement

Si à première vue le rapport entre OSINT et cybersécurité peut paraître flou, il est important de notifier que ces données peuvent contenir :

  • Des infos et habitudes de vos collaborateurs
  • Certains de leurs anciens et actuels mots de passe personnels (potentiellement réutilisés pour le pro, ce qui est souvent le cas)
  • Des infos sur les logiciels utilisés par votre entreprise (info facilement mise en relation avec les infos de failles connus sur ces logiciels)
  • Mais aussi de mettre à la surface certains infos du dark web, repère préféré des cyber criminels

Faire un diagnostic OSINT de son entreprise et de ses collaborateurs (avec leur consentement) permet ainsi d’avoir une vue sur toutes les infos en circulations qui pourraient potentiellement aider des cybercriminels à monter une attaque. A vous de choisir si vous préférez être au courant de ces infos AVANT ou APRES eux.

 

Malheureusement, malgré toute la prévention possible, il est fort probable que des cybercriminels tentent de pénétrer vos réseaux. C’est ici que vos outils de fortification (pour augmenter la difficulté d’accès) et de détection (pour être prévenu d’un accès / mouvement inhabituel et malveillant sur vos réseaux et plus facilement retrouver le malware) entrent en jeu.

 

 

Outils de fortification et de détection

4 - Firewall – Clavister / Sophos

Les firewalls (pare-feux) de nouvelle génération (NGFWs pour Next-Generation Firewalls) sont la porte blindée qui empêche les intrus de pénétrer votre réseau. Ils permettent de sécuriser un environnement hybride (sur site/centre de données, cloud, SaaS) et de fournir une protection avancée contre les malwares et les intrusions. Les NGFW sont conçus pour inclure le contrôle des applications, les systèmes de prévention des intrusions, l'anti-malware, l'inspection approfondie des paquets et de nombreuses autres fonctions de sécurité réseau nécessaires pour lutter contre les cyber-menaces actuelles.

 

5 - MFA – Clavister (ex-PhenixID)

Les collaborateurs, même ceux suffisamment éduqués, se montrent très souvent négligeants en termes de sécurité de leurs mots de passe, avec :

  • Des mots de passe trop courts et trop faciles à déchiffrer
  • Des mots de passe à base d’infos personnelles facilement trouvables en Open Source (OSINT)
  • Des mots de passe réutilisés sur différents services, notamment entre le perso et le pro

Dans ce cadre, les MFA sont primordiaux pour protéger vos infrastructures en rajoutant une seconde couche de sécurité pour identifier et autoriser l’accès.

Le MFA Phoenix ID, racheté par Clavister, offre à l’utilisateur un moyen sûr et simple de se connecter via l’authentification multifactorielle (ou l’authentification à deux facteurs). Cette deuxième authentification peut prendre la forme :

  • D’un mot de passe unique via SMS
  • D’une application d’authentification mobile
  • D’un jeton (token)
  • D’un certificat HW

 

6 - Cloisonnement des réseaux – Réseaux Virtuels VLAN

L’absence de cloisonnement (=un réseau « à plat ») permet à chaque machine d’accéder à n’importe quelle autre machine présente sur ce dit réseau. En cas de compromission de l’une d’elle, toutes les autres présentes sur ce réseau seraient en péril : l’attaquant n’aurait ainsi qu’à rebondir de machine en machine (=> mouvement latéral)

En raisonnant par segmentation des zones du système selon leurs besoins en sécurité, on pourra par exemple regrouper sur des réseaux virtuels (VLAN) les serveurs, les postes, le wifi, la téléphonie, etc. L’attaquant pourra ainsi se déplacer latéralement entre chaque entité d’un VLAN, mais pas entre les réseaux, ce qui limite déjà fortement son mouvement dans votre système. Au mieux, chaque déplacement entre 2 réseaux demanderait une authentification (MFA) et un passage par le Firewall pour renforcer le système global et rendre encore plus difficile la circulation entre différents réseaux.

💡 Bon à savoir 💡

S’il y a 1 entité à absolument segmenter sur 1 réseau différent, c’est votre back-up. En cas d’attaque, si l’attaquant injecte un ransomware qui chiffre votre réseau par exemple, alors vous pourrez utiliser le back-up présent sur un autre réseau. Si ce dernier était sur le même réseau, il y aurait de fortes chances qu’il soit lui aussi chiffré, car l’attaquant aurait facilement pu se déplacer de l’un à l’autre.

 

 

7 - Micro-segmentation des réseaux

C’est l’étape supérieure du cloisonnement des réseaux. Dans un système micro-segmenté, chaque machine est dissociée, même dans un réseau déjà cloisonné. Le mouvement latéral est ainsi interdit, qu’il soit entre les réseaux, entre les machines ou entre les serveurs. Une configuration de système en micro-segmentation associée à du flux authentifié s’apparente déjà à un bouclier anti cyber-attaque très solide.

 

💡 Bon à savoir 💡

Si le cloisonnement de votre réseau est à posteriori difficile, nous vous recommandons de commencer par séparer votre back-up de votre réseau principal. Vous pourrez dès à présent intégrer la démarche de cloisonnement / de micro-segmentation pour chaque extension de votre système, ou à l’occasion d’un renouvellement d’équipements.

 

 

 

8 - Isolation de navigateur à distance - RBI (Remote Browser Isolation)

L’isolation du web est un outil qui sépare les appareils utilisateurs physiques de la navigation sur Internet. Il héberge et exécute les données de navigation depuis une sandbox basée sur un cloud, isolant ainsi les données des appareils des réseaux du code potentiellement infesté sur le web, évitant donc :

  • les malwares et ransomwares situés sur le Web
  • les exploits de type « zero-day »
  • les vulnérabilités des navigateurs, telles que les plug-ins
  • les téléchargements de fichiers infectés

9/10 - EDR et MDR (ou EDR managé) – Threatdown by Malwarebytes, managé par la branche cybersécurité d’IPgarde, Cyberenity

L’EDR (Endpoint Detection and Response) est un outil qui permet d’aller plus loin que les antivirus dans votre système de protection. Celui-ci est capable d’analyses comportementales (IA et Machine Learning) en monitorant les actions d’une machine pour remplir 3 missions :

  • La détection d’évènements inhabituels qui sont ensuite partagés à une console centrale, et ainsi, par apprentissage et distribution, permettent de découvrir des signaux similaires sur tout le parc.

  • L’investigation de ces signaux pour aider le SOC (ou l’équipe chargée du management de l’EDR) à rapidement déterminer le nombre et l’identité des machines compromises en cas d’attaque.

  • La remédiation (dont nous parlerons dans le prochain paragraphe).

L’EDR managé (ou MDR) ajoute un service humain épaulant vos équipes informatiques ou de sécurité qui analysera chaque alerte pour trier les messages les plus sérieux et ainsi prioriser les alertes à la collectivité cliente selon leur degré de dangerosité.

Voir la fiche produit de l'EDR Threatdown proposé par IPgarde.

Voir la fiche produit de l'EDR Threatdown managé proposé par IPgarde.

 

11 - CTN

Le Centre de Télésurveillance Numérique de Cyberenity est un SOC (Security Operations Center) disposant d’un service d’ingénieurs cybersécrutié surveillant en permanence votre SI. Il offre une capacité de détection et de protection accrue et une analyse humaine complémentaire pour vous aider à réagir afin de minimiser les conséquences en cas de cyberattaque, comme ce fut le cas par exemple lors de l'attaque d'Anydesk en février 2024. C’est actuellement le plus haut niveau de surveillance en matière de cybersécurité.

Son périmètre d’action se situe entre la détection et la remédiation. Le CTN permet ainsi d’avoir accès à des prestations de pointe telles que :

  • Un niveau de protection XDR (EXtended Detection and Response) permettant d’accélérer les investigations et de détecter les attaques sophistiquées en connectant de nombreuses sources de logs (0ffice 365, firewalls, Systèmes d’exploitation Windows, Linux, MFA…). Ces outils permettent à la solution XDR et au CTN de détecter des signaux extrêmement faibles permettant de réagir dès les premiers signes d’attaque


  • La disposition pour les opérateurs d’obtenir toutes les informations des terminaux afin de prendre la main à distance sur vos terminaux pour pousser les investigations et remédiations encore plus loin.


  • L’archivage réglementaire des logs en cas d’attaque pour faciliter les enquêtes des autorités compétentes en parallèle d’un éventuel PRA.

Mais également une expérience certaine de gestion de crise pour vous accompagner en cas d’attaque sur la marche à suivre pour minimiser les conséquences sur votre SI.

Voir la fiche produit du CTN proposé par la branche cybersécurité d'IPgarde, Cyberenity.

 

💡A retenir 💡

Les cyberattaquants doivent identifier des cibles présentant un bon rapport entre revenu potentiel et facilité d’attaque. De manière générale, il ne sera pas rentable pour eux de s’attaquer à des petites et moyennes entreprises avec un bon système de défense, car le temps alloué est trop important par rapport aux potentiels gains. Il sera plus opportun pour eux de changer de cible et d’aller vers une entreprise moins bien équipée et / ou comportant une faille déjà connue sur le dark web. Une bonne segmentation des réseaux ajoutée à un outillage cybersécurité de qualité (complémenté par l’expertise d’ingénieurs cybersécurité du CTN pour détecter tout mouvement suspect) devrait ainsi décourager l’extrême majorité des cyber-attaquants.

 

 

Voici enfin quelques outils de remédiation, utiles après avoir identifié (et isolé) le malware grâce à l’EDR managé ou un SOC.

 

 

Outils de remédiation

12 - Outil remédiation de l’EDR – Threatdown by Malwerbytes

Une fois la menace identifiée et/ou isolée, l’EDR est capable de bloquer, supprimer ou isoler un malware pour aider l’équipe informatique à retrouver une situation stable en cas de stress d’attaque. Il peut également faire des rollbacks sur certains systèmes pour revenir à une situation antérieure à l’attaque.

 

13 - Sauvegarde back-up et PRA – VEEAM

En cas d’attaque réussie sur vos systèmes, il est d’importance cruciale de disposer d’une sauvegarde back-up intelligente comme la sauvegarde anti-malwares de VEEAM. Celle-ci se repose sur 3 principes fondamentaux qui vous assurent la restauration grâce aux réplicas, snapshots et cibles de sauvegarde ultra-rapides pour respecter vos RTO, évitez la réinfection et rationalisez les tâches au moyen de documentation, de test et de la vérification automatisés :

  • Sécurité sans faille

De nouvelles fonctionnalités, comme la détection précoce des menacesl’intégration des outils SIEM et la chasse aux menaces proactive, associées à l’inaltérabilité, la vérification des sauvegardes et les accès sécurisés de Veeam, contribuent à une approche efficace et sans faille de la sécurité.

  • Réduction de la surface d’attaque

Renforcez votre infrastructure grâce à l’analyseur de sécurité et de conformité et aux meilleures pratiques appliquées aux données, tout en supervisant les erreurs et anomalies. La fonction de visualisation des anomalies d'I/O réduit les pertes de données au maximum grâce à la CDP de Veeam.

  • Restauration depuis et vers n’importe où

Respectez vos RTO en vous assurant d'éviter toute réinfection grâce à l’analyse du contenu avec YARA. Laissez l’automatisation prendre en charge les tâches chronophages de documentation, test et vérification pour pouvoir restaurer vos données en production, de n’importe où, 5 fois plus rapidement.

 

14 - Outil de CDP (Continuous Data Protection) – Datacore SANsymphony

La fonction Continuous Data Protection (CDP) est une technique de sauvegarde et de récupération qui réplique et horodate chaque modification incrémentielle d'un ensemble de données stratégiques. En cas de corruption de données due à une erreur de logique ou de l'utilisateur, ou encore à des logiciels malveillants, il est possible de revenir à un point précis précédant la mise à jour indésirable. Cela permet de reprendre les opérations comme si de rien n'était.

La solution de software-defined storage DataCore SANsymphony utilise une fonctionnalité CDP intégrée pour enregistrer chaque mise à jour d’un volume dans un emplacement distinct et l’horodater. Contrairement à des snapshots périodiques, le fonctionnement est entièrement automatique, en continu et en temps réel. Cette approche vous fait bénéficier des avantages d’une protection continue des données et vient compléter votre solution de sauvegarde, sans la remplacer.

Points forts de la fonction CDP :

  • Protection contre les dommages causés par les ransomwares, les logiciels malveillants et autres sources de corruption de données
  • Restauration d'un volume dans un état à un point arbitraire dans une période de 14 jours
  • Génération de points de restauration bien connus
  • Consigne et horodate toutes les I/O des disques virtuels sélectionnés
  • Fonctionne indépendamment du système d’exploitation ou des applications
  • Pas besoin de mette en veille ou d’interrompre les applications
  • Aucun agent hôte requis
  • Facilité d'activation de la protection et de création de volumes de restauration

 

Vous êtes désormais aptes à vous équiper des meilleurs outils du marché pour sensibiliser vos collaborateurs, fortifier vos systèmes et identifier / remédier à d’éventuelles attaques. Mais, comme nous avons pris l’habitude de dire : malgré toute la sécurisation que vous pourriez mettre en place, il ne s’agit plus de savoir si vous allez vous faire cyber-attaquer, mais quand.

Et pour être prêt en cas de d'intrusion, nous vous avons préparé un article « marche à suivre » pour vous guider en cas de cyber-attaque.