abstract gray triangle illustration

Le périmètre cybernétique n’a jamais été mort. Nous venons de l’abandonner.

Lucas Morel

En traitant les cycles de vie des appareils de pointe comme une préférence informatique plutôt que comme une exigence stratégique, les organisations ont cédé un terrain de préparation précieux aux cyber-adversaires.

L’industrie s’est rassurée avec l’idée que le périmètre est mort. Ce n’est pas. Ce qui s’est passé est bien pire. Nous avons ignoré l’avantage, laissé le matériel non pris en charge se dégrader et avons effectivement fait don de notre périmètre à des adversaires qui étaient plus que disposés à l’accepter.

L’effort Winter SHIELD du FBI est le côté opérationnel de la médaille visant à inverser la tendance et à améliorer la cyber-résilience, en montrant comment les attaquants exploitent une authentification faible, des privilèges excessifs et des appareils de pointe non corrigés pour prendre pied.

Le BOD 26-02 de CISA concerne l’aspect structurel, obligeant à la suppression du matériel de bord obsolète qui rend ces points d’ancrage possibles.

Ensemble, cet avis et cette directive constituent la reconnaissance par le gouvernement fédéral américain du fait que les dirigeants de la sécurité étaient à la traîne sur les principes fondamentaux de la cyber-résilience et que nous devons désormais tous rattraper notre retard.

Parce que, pour être franc, le tableau n’est pas seulement mauvais ; c’est intenable. Le BOD 26-02 révèle un échec massif de gouvernance dans tous les secteurs : les organisations de tous les secteurs ont traité les cycles de vie des actifs comme une préférence informatique plutôt que comme une exigence stratégique.

Comme nous le savons tous, le gouvernement fédéral est rarement en avance sur la courbe de la modernisation. Et elle n’est toujours pas en avance aujourd’hui – mais elle prend des mesures pour rattraper son retard. Ce faisant, il a constaté que beaucoup trop d’entités du secteur privé sont également à la traîne dans la sécurisation de leurs périmètres, et que ces organisations – ainsi que leurs responsables de la sécurité – doivent désormais rattraper leur retard également.

Échec institutionnel : le problème de la place à tenir

L’erreur du périmètre effacé s’est installée en partie à cause d’un changement de stratégie de sécurité dû à l’essor du cloud. Ici, l’industrie de la cybersécurité se partage entre théorie architecturale et réalité tactique. Les uns insistent sur le fait que dans un monde cloud-natif, l’identité est le seul périmètre qui compte. Ils soutiennent que si vous vérifiez l’utilisateur, le fil n’a plus d’importance.

Mais cela ignore une vérité brutale. Pour qu’un adversaire puisse se connecter, il lui faut d’abord un endroit où se tenir. Nous avons confondu la mobilité de l’utilisateur et la stabilité de l’infrastructure. Alors qu’un utilisateur distant a besoin d’une session temporaire pour travailler, un adversaire a besoin d’un point d’ancrage persistant pour rester. En négligeant la périphérie, les organisations ont, par inadvertance, fourni ce terrain de préparation.

Notre dette technologique croissante est la première preuve de cet échec. Nous avons recherché les logiciels Zero Trust tout en laissant le matériel en fin de vie sans correctif rouiller à la porte. Ces appareils ne sont pas seulement du vieux matériel. Il s’agit d’actifs donnés qui permettent aux acteurs alignés sur l’État de contourner entièrement les contrôles d’identité et de s’asseoir, sans surveillance, sur la structure même du réseau.

L’audit tactique : Winter SHIELD et BOD 26‑02

L’opération Winter SHIELD du FBI est une campagne éclair nationale de deux mois visant à renforcer les bases que les attaquants continuent d’exploiter. Il ne s’agit pas d’une campagne de sensibilisation de routine. Il s’agit d’une initiative concentrée visant à dénoncer la faiblesse de l’authentification, les droits d’administrateur excessifs, les appareils périphériques non corrigés et le manque de préparation aux crises au sein des organisations. Le Bureau profite de cette courte période pour attirer l’attention sur les principes fondamentaux qui ont été ignorés pendant trop longtemps.

Le BOD 26-02 de la CISA complète la pince en exigeant la suppression des appareils mêmes que le FBI considère comme compromis. La CISA donne aux entités gouvernementales 18 mois pour se conformer.

Lorsque ces agences agissent en même temps pour remédier à la situation marginale, il ne s’agit pas d’une mise à jour de routine. C’est admettre que le décalage est devenu un handicap.

La réalité du RSSI : De la sensibilisation à l’exécution

Cet alignement nécessite une réorientation de la posture du RSSI. Si le gouvernement ne peut plus tolérer le risque d’un équipement de pointe non pris en charge, les entreprises n’ont aucune raison défendable de le laisser branché. Il s’agit d’une exigence de survie qui exige une visibilité totale de la périphérie et une élimination agressive des risques.

Pour répondre aux attentes fixées par Winter SHIELD, les RSSI doivent prendre les actions suivantes :

  • Utilisez une authentification forte basée sur le matériel pour tous les accès privilégiés et distants.
  • Limitez les droits d’administrateur à une utilisation temporaire uniquement et surveillez chaque élévation.
  • Corrigez tous les systèmes connectés à Internet dans les 72 heures lorsqu’une faille critique apparaît.
  • Supprimez l’accès permanent des fournisseurs et exigez des connexions surveillées et limitées dans le temps.
  • Stockez les journaux de l’appareil dans un emplacement protégé où ils ne peuvent pas être modifiés ou supprimés.
  • Conservez au moins une sauvegarde hors ligne qui ne peut pas être modifiée par un attaquant.
  • Arrêtez les services inutiles exposés à Internet, en particulier les postes de travail à distance et le partage de fichiers.
  • Bloquez l’usurpation d’e-mails en appliquant une authentification de domaine stricte.
  • Supprimez les droits d’administrateur local des utilisateurs et exigez une élévation temporaire.
  • Organisez régulièrement des exercices de crise avec la direction pour améliorer la prise de décision sous pression.

Le BOD 26-02 ajoute des exigences structurelles qui définissent les attentes fédérales en matière d’intendance du périmètre :

  • Maintenez un inventaire complet de tous les appareils périphériques, y compris les pare-feu, les routeurs et les appareils d’accès à distance.
  • Identifiez chaque appareil qui n’est pas pris en charge ou qui a dépassé sa durée de vie.
  • Supprimez ou remplacez les périphériques Edge non pris en charge selon un calendrier défini et complétez le document.
  • Établissez un processus de cycle de vie qui suit chaque appareil depuis son achat jusqu’à sa mise hors service.
  • Assurez-vous que tous les appareils de remplacement répondent aux normes de sécurité en vigueur avant le déploiement.
  • Fournissez une confirmation continue qu’aucun appareil non pris en charge ne reste sur le périmètre.

La simple réalité

Le périmètre n’a jamais disparu. Cela a été ignoré. Les pare-feu, les routeurs, les appareils d’accès à distance et les boîtiers périphériques non pris en charge ont toujours été des points d’entrée prévisibles. Les attaquants les utilisent pour prendre pied, se déplacer latéralement et persister. Un périmètre négligé mine tout autre investissement que vous auriez pu réaliser.

Le FBI mène peut-être un sprint de deux mois, mais pour un RSSI, ces attentes ne s’arrêtent pas à la fin du blitz. Une authentification forte, un contrôle strict des privilèges, des correctifs rapides et une journalisation disciplinée ne sont pas des activités à court terme. Ce sont des responsabilités à vie. Et CISA a retiré le pansement et exposé la réalité des risques liés à l’utilisation des équipements au-delà de leur fin de vie. Si votre périmètre utilise du matériel en fin de vie, vous ne défendez plus. Vous donnez l’accès.

Sécurité du réseauSécuritéGestion des identités et des accèsCyberattaques

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

universal endpoint management uem sdecoret shutterstock
La CISA exhorte le département informatique à renforcer les systèmes de gestion des terminaux après une cyberattaque perpétrée par un groupe pro-iranien
Qu'est-ce qu'une attaque DDoS ?
Qu’est-ce qu’une attaque DDoS ?
quantum computing digital communication network security
Pékin veut ses propres normes de cryptage quantiques plutôt que d’adopter celles du NIST