Retour

Les quatre meilleurs conseils de notre SOC

Avec ce que nous voyons dans l’actualité, nous devons être inquiets quant à notre maturité en matière de cybersécurité; qu’il s’agisse des cadres supérieurs qui exigent des mises à jour constantes, de la réglementation externe qui demande d’offrir une meilleure protection des informations personnelles et de la propriété intellectuelle, ou des compagnies d’assurances qui demandent des preuves de vos démarches pour sécuriser vos actifs avant de vous offrir leur couverture.

Nous vivons tous aujourd’hui dans un environnement de menaces sans précédent. L’adoption de l’infonuagique, la gestion des tiers, la relation avec la chaîne d’approvisionnement et le développement d’applications rendent la sécurité de l’information plus importante chaque jour.

Le Centre opérationnel de sécurité (SOC) d’ESI fait face aux menaces quotidiennement. Avec la responsabilité de protéger nos clients et la communauté, nous partageons quelques conseils sur la protection contre les menaces les plus fréquentes.

Comme vous le savez probablement déjà, la diffusion de logiciels malveillants est en tête de liste de ces menaces. De quelle manière ceux-ci sont-ils diffusés le plus souvent? Et bien, c’est par le courrier électronique. En effet, il est très facile de créer un faux courriel qui semble légitime, d’utiliser de bons domaines expirés pour héberger un site de diffusion de logiciels malveillants, et surtout, parce qu’il est encore plus aisé de tromper les utilisateurs.

Voici donc nos principales recommandations.

Hameçonnage / ingénierie sociale : On ne le dira jamais assez, nous devons apprendre aux utilisateurs pourquoi il est si important qu’ils se renseignent sur l’hameçonnage. Ils doivent apprendre à identifier cette menace, et disposer d’outils pour signaler ces menaces. Mais nous devons également préparer l’équipe à répondre à ces menaces. Après tout, les attaquants n’ont besoin que d’une seule exploitation réussie. Le conseil est le suivant : sensibiliser les utilisateurs TI est une chose, mais les former en est une autre. En effet, vous pouvez avoir un seul programme SATE (sensibilisation et formation en sécurité pour les décideurs), tout en vous concentrant sur les deux objectifs précédents en parallèle.

Les rançongiciels : Il s’agit d’un bon moyen pour les attaquants de gagner de l’argent et de mettre votre organisation dans l’embarras. Votre réputation sera plus difficile à reconstruire. Le conseil est de créer votre procédure de réponse aux incidents spécifiquement pour les rançongiciels. Vous devez chercher à développer la capacité à identifier, détecter, arrêter, retarder la propagation, contenir cette propagation, l’éradiquer et récupérer vos données. Équipez-vous d’une technologie solide, telle que EDR/XDR, et assurez-vous que votre personnel est prêt à utiliser ces outils. Veillez à ce que votre personnel d’intervention vérifie régulièrement les sources de renseignement sur les menaces pour détecter les signes précurseurs d’attaque. Effectuez régulièrement des exercices/simulations pour améliorer la détection et la réponse. Bref, nous voulons que cette prévention et cette réponse deviennent une seconde nature dans toute l’organisation.

Capacité de récupération : Il y a toujours un risque résiduel dans tout ce que nous faisons et dans chaque contrôle que nous mettons en place. Il y a de nombreux nouveaux vecteurs d’attaque chaque jour, et la notion de fournisseurs qui prétendent arrêter les attaques de type « zero-day » est bonne, mais en réalité, les meilleures solutions et les fournisseurs de pointe sont déjoués chaque jour. Soyez prêt à vous rétablir si vos contrôles, vos processus et votre personnel en sont victimes. La capacité de récupération commence par un engagement fort, exigeant et attribuant des responsabilités aux différentes unités organisationnelles pour démontrer la capacité de récupération.

Et rappelez-vous : une responsabilité sans autorité est une recette pour l’échec.

Appliquer le concept du moindre privilège : une fois qu’un acteur d’une menace a obtenu un accès, il a le même niveau d’accès que les services, les utilisateurs et le système exploités. Une mauvaise pratique pour simplifier les opérations et l’installation de logiciels malveillants consiste à autoriser les utilisateurs à accéder à leur terminal de gestion en tant qu’administrateur. Cette façon de faire devrait être revue et pourrait faire place à la philosophie BYOD (permettre les appareils de tout type) à condition d’avoir des systèmes et un environnement qui ne fait pas confiance aux utilisateurs et systèmes branchés sur le réseau de l’entreprise. Notre conseil est d’abord de séparer et d’isoler votre réseau; vos appareils BYOD doivent avoir un traitement différent par rapport à vos appareils contrôlés. Et pour vos appareils contrôlés, supprimez l’accès aux privilèges élevés à moins qu’ils ne soient nécessaires et fournissez un accès aux privilèges élevés à la demande tout en le documentant le mieux possible.

Ditmar Tavares – Directeur du SOC