grunge number 10 on teal wall top ten

Les 10 erreurs de sécurité informatique les plus courantes

Lucas Morel

Dans la pratique, les équipes de réponse aux incidents rencontrent à plusieurs reprises les mêmes faiblesses. Que sont-ils et comment peuvent-ils être résolus?

Les fichiers cryptés et un fichier texte contenant une note de rançon indiquent clairement qu’une entreprise a été victime d’une cyberattaque. Mais ce n’est que la fin d’une longue chaîne d’attaques. Les auteurs se déplacent souvent dans le réseau sans entrave et inaperçu pendant plusieurs semaines ou mois. Les analyses médico-légales montrent également que de nombreuses attaques pourraient être interrompues bien avant le cryptage en utilisant des mesures de sécurité de base et simples. Ces dix problèmes facilitent ces attaques pour les acteurs de menace.

1. Vulnérabilités de sécurité non corrigées

Le problème: Ces dernières années, il y a eu des vulnérabilités de sécurité répétées dans les applications ou les systèmes d’exploitation que les cybercriminels ont exploité directement. Les entreprises qui utilisent des systèmes de Fortinet, Citrix ou Microsoft, en particulier, peuvent vous dire une chose ou deux à ce sujet. De nombreuses entreprises ne corrigent pas même rapidement les vulnérabilités critiques. Les exploits dits zéro-jours sont particulièrement risqués. Ces vulnérabilités sont généralement inconnues du fabricant, donc aucun patch n’est disponible au début. Cependant, la simple vulnérabilité d’un système ne conduit pas directement à un compromis.

La solution: Une surveillance étroite de la détection précoce des anomalies est une bonne approche pour contenir rapidement des activités malveillantes plus graves. De plus, les responsables devraient établir des processus de correctifs et mettre en place une bonne gestion des actifs. Cela vous donne un aperçu de votre paysage système et de l’état du patch respectif. Les systèmes non correspondables ou obsolètes doivent être exploités isolément. Par exemple, les hôpitaux utilisent de nombreux dispositifs médicaux basés sur des systèmes d’exploitation obsolètes pour des raisons techniques. Ceux-ci ne doivent pas être autorisés à communiquer avec le reste du réseau et certainement ne pas être accessibles depuis Internet.

2. Gateway: Mots de passe faibles

Le problème: Les mots de passe faibles facilitent les cybercriminels pour accéder plus facilement à un réseau d’entreprise. Un mot de passe administrateur de domaine avec six caractères ou un mot de passe administrateur local avec seulement deux caractères n’est pas un obstacle pour les auteurs. Il est plus que clair que ce problème est souvent négligé dans la pratique, même si les exigences pour les mots de passe sécurisés auraient dû être largement connus depuis longtemps.

La solution: Des politiques de mot de passe strictes sont nécessaires pour rendre plus difficile pour les acteurs de menace de se rendre à l’accès. Le BSI fournit des conseils pour les mots de passe sécurisés. Tous les points d’accès qui sont également accessibles via Internet doivent également être sécurisés avec l’authentification multi-facteurs. Cela inclut l’accès VPN en particulier. À mesure que le nombre d’utilisateurs augmente, la probabilité qu’une ou plusieurs personnes utilisent des mots de passe faibles ou réutilisés. Un bon exemple de groupes d’utilisateurs difficiles à contrôler est les universités et les collèges.

3. Hygiène du mauvais compte

Le problème: Les groupes d’attaquants réussissent souvent à obtenir des droits d’accès supérieur dans un réseau avec peu d’efforts. Une approche populaire consiste à utiliser un compte administrateur local compromis pour lire les hachages de mot de passe en cache à partir de la mémoire de travail, car les hachages de mot de passe sont mis en cache chaque fois qu’un utilisateur se connecte. Cela s’applique aux connexions avec les comptes utilisateur ou administrateur ainsi que les comptes de service. Souvent, le hachage du mot de passe peut être utilisé directement sans connaître le mot de passe réel pour se connecter en tant qu’une autre personne. Les experts appellent cela une attaque «passer le hachage».

Lorsque les administrateurs ayant des droits administratifs spécifiques au domaine se connectent à un simple PC pour plus de commodité, comme c’est souvent le cas, cette connexion très privilégiée est mise en cache localement et peut facilement tomber entre les mains des cyber gangs.

La solution: Pour minimiser ces risques, une séparation des comptes est requise. Microsoft décrit un bon exemple de cela dans son modèle de trace. L’idée derrière cela est de diviser les systèmes en différents niveaux (niveaux) et d’utiliser un compte administrateur distinct pour chaque niveau. Cette approche empêche les attaquants d’accéder à des systèmes de niveau supérieur lorsqu’ils compromettent un niveau inférieur. En conséquence, ils ne peuvent pas simplement étendre leurs autorisations pour accéder à des parties sensibles de l’infrastructure.

4. Segmentation du réseau? Ne pas se passer!

Le problème: De nombreuses entreprises utilisent toujours de grands réseaux plats ou oublient que la segmentation du réseau n’offre des avantages de la sécurité que si les transitions sont réglementées. Sinon, les responsables ne devraient pas être surpris si les cybercriminels peuvent se propager rapidement dans tout le réseau.

La solution: Avec une segmentation de réseau bien conçue, des barrières importantes peuvent être érigées pour les acteurs de menace qui sont difficiles à surmonter. Les entreprises doivent strictement séparer les réseaux de serveurs et clients et ne permettent que des connexions explicitement nécessaires. La séparation des technologies opérationnelles (OT) est tout aussi importante. Les systèmes de production et de contrôle, par exemple, n’ont pas leur place dans un réseau de bureaux pur. Les entreprises ayant des infrastructures critiques, telles que les services publics municipaux, doivent s’assurer qu’aucun accès n’est possible. De plus, des victoires rapides telles qu’un réseau de gestion peuvent également être implémentées. Ici, seuls les comptes administratifs sont accordés, chacun est sécurisé via un VPN avec un deuxième facteur. Cela offre un niveau élevé de sécurité sans interférer avec le travail quotidien des utilisateurs normaux.

5. Sauvegardes inadéquates

Le problème: Avoir une sauvegarde ne suffit pas en ce qui concerne la perte de données. Il doit également être récupérable. De plus, les cybercriminels recherchent spécifiquement des sauvegardes pour les supprimer ou les crypter également. Cela augmente la pression sur les entreprises pour payer la rançon.

La solution: Les sauvegardes doivent toujours être déconnectées du réseau et d’Internet. Cela signifie aucune connexion à Active Directory et au stockage dans un segment de réseau séparé et isolé afin qu’ils soient utilisables après une attaque de ransomware. À maintes reprises, les groupes criminels abandonnent leurs attaques lorsqu’ils ne peuvent pas trouver ou accéder aux serveurs de sauvegarde. Cela signifie qu’ils perdent l’effet de levier dont ils ont besoin pour faire respecter leurs demandes. Dans le même temps, plus ils recherchent la sauvegarde, plus les entreprises doivent détecter l’attaque.

Une bonne stratégie de sauvegarde comprend donc également une copie hors ligne en toute sécurité de toutes les informations. Le «principe 3-2-1» s’est avéré être la meilleure pratique pour les sauvegardes de données. Selon ce principe, trois copies de sauvegarde distinctes sont créées, dont deux sont stockées sur différents supports (par exemple, dure Disk & LTO) et l’un est stocké hors site. De plus, les responsables devraient tester régulièrement la fonctionnalité et la restauration des sauvegardes.

Soit dit en passant, les choses deviennent difficiles si les sauvegardes sont protégées par mot de passe, mais le mot de passe est stocké dans un gestionnaire de mots de passe qui a été chiffré par les auteurs.

6. Personnel informatique surchargé

Le problème: Dans de nombreuses entreprises, il est courant que «celui-ci» ait à s’occuper de toutes les tâches, de la prise en charge des utilisateurs et de l’installation de pilotes d’imprimantes vers l’administration de réseau. Mais aussi la maintenance et les soins du paysage du serveur et de la sécurité informatique. Cela fonctionne souvent à côté d’autres tâches et, dans le pire des cas, est également une exigence réglementaire. Cela laisse un manque d’expertise technique et de ressources temporelles pour des tâches fondamentales et stratégiques, telles que la mise en place d’une infrastructure réseau bien conçue.

La solution: L’expérience montre qu’environ cinq pour cent des employés des entreprises de taille moyenne devraient y être employés. De plus, les entreprises ont besoin de leur propre personnel de sécurité informatique; Sinon, la sécurité informatique sera négligée dans les activités quotidiennes, avec des conséquences mortelles. Il est important de noter que la rémunération compétitive est un facteur clé de la bataille pour les travailleurs qualifiés.

7. Provideurs de services informatiques pauvres

Le problème: De nombreuses entreprises externalisent tout ou partie de leur information pour compenser un manque de travailleurs qualifiés. Cependant, le diable est dans les détails en ce qui concerne les compétences et l’expertise du fournisseur de services.

La solution: Un bon fournisseur de services informatiques peut soutenir votre propre service informatique avec une expertise spécialisée qui fait défaut dans votre entreprise. Cependant, il y a quelques éléments à considérer lors du choix d’un fournisseur de services pour la sécurité informatique. Les critères importants lors de la création de votre choix incluent les accords de niveau de service, y compris les temps de réponse des fournisseurs de services. En cas d’urgence, le temps est un facteur crucial. Si vous êtes d’accord avec votre fournisseur de services sur une surveillance 24 heures sur 24 sept jours par semaine tout au long de l’année, par exemple, dans le cadre d’un service de détection et de réponse prolongé (MXDR) géré, vous devez également désigner des personnes de contact de votre propre entreprise disponibles 24h / 24. Cela n’aide personne si le fournisseur de services signale un incident de sécurité à 22 heures mais que personne n’est disponible pour répondre.

De plus, toute l’infrastructure informatique doit être vérifiée régulièrement, par exemple, avec un test de pénétration. Ces tests devraient également inclure l’infrastructure informatique fournie par le fournisseur de services informatiques. Un exercice d’urgence conjoint peut fournir des informations sur les compétences de sécurité informatique. Les chaînes de rapports et les processus d’urgence peuvent également être pratiqués et testés de cette manière.

8. Manque de surveillance de la sécurité

Le problème: La plupart des incidents pourraient être détectés beaucoup plus tôt et donc arrêtés. Cependant, les messages des solutions de sécurité utilisés sont négligés, se perdent dans un flot de messages non pertinents ou sont mal interprétés en raison d’un manque d’expertise. En conséquence, les analystes médico-légaux trouvent à plusieurs reprises des messages d’avertissement très clairs qui ont été ignorés (consciemment ou inconsciemment) ou mal interprétés.

La solution: Si vous souhaitez éviter un tel scénario, vous devez attribuer du personnel dédié à la sécurité informatique. Si vous ne pouvez pas ou ne souhaitez pas le faire vous-même, vous devriez considérer les services de sécurité gérés, comme un centre d’opération de sécurité. Cependant, un aspect est important ici: les chaînes de rapports. Un processus de déclaration en douceur est nécessaire pour que les solutions de sécurité gérées puissent être pleinement efficaces.

9. dette technique – Systèmes obsolètes comme passerelle

Le problème: La dette technique est souvent également une conséquence d’un manque de personnel. Malheureusement, les administrations publiques en fournissent un excellent exemple. Ici, nous trouvons à plusieurs reprises des infrastructures informatiques considérablement dépassées. Mais les priorités à tort contribuent également à de telles situations.

La solution: Les responsables ne devraient pas se concentrer exclusivement sur les nouveaux systèmes ou les produits de sécurité en tant que solutions, mais doivent également répondre régulièrement à la dette technique. C’est généralement la première chose à négliger lorsque le temps et les ressources sont rares, mais c’est aussi une invitation aux cybercriminels.

10. Mode panique en cas d’urgence

Le problème: Après avoir découvert une cyberattaque sérieuse, de nombreuses entreprises paniquent souvent. Les employés et la direction agissent frénétiquement, mais ne font pas grand-chose qui est efficace. Les décisions et les travaux importants sont retardés, ce qui augmente les dommages. Ce phénomène est affectueusement appelé «mode poulet sans tête».

La solution: Des experts expérimentés d’une équipe de réponse aux incidents fournissent un calme et une structure. Ce n’est qu’alors que tout le monde peut-il travailler ensemble pour résoudre le problème et remettre les systèmes opérationnels. Un plan d’urgence est essentiel. Cela devrait être disponible hors ligne à l’avance et non inaccessible sur un serveur crypté. Ce plan d’urgence régule spécifiquement les responsabilités et les procédures d’urgence. Qui prend les décisions, qui informe les employés, les clients ou les parties prenantes, et qui parle aux autorités d’enquête? Sinon, les entreprises perdent un temps précieux pour discuter des responsabilités.

Un autre point: la hiérarchisation du système. En d’autres termes, la question de savoir quel système doit être vérifié en premier et redémarré. Quels systèmes sont nécessaires pour que mon infrastructure se termine à nouveau? Quels systèmes sont critiques commerciaux afin que les salaires puissent être payés ou que la production puisse être en cours d’exécution?

Bien sûr, cela aide également à économiser un bon fournisseur de services de réponse interne sur votre cadran de vitesse. Si vous devez d’abord appeler via la liste des fournisseurs de services qualifiés de BSI, cela prend plus de temps et vous n’obtenez pas toujours le meilleur fournisseur de services qualifié. Idéalement, les responsables ont déjà établi des contacts avec des experts et ont même conclu un accord de retenue de réponse aux incidents. Cela donne aux entreprises la certitude que leur cas sera traité immédiatement.

Protéger contre les attaques de ransomwares

Aucune entreprise ne devrait compter sur le principe de l’espoir. Tôt ou tard, les cybercriminels trouveront leur chemin dans le réseau d’une entreprise. Cependant, si vous observez et mettez en œuvre les dix points mentionnés ci-dessus, vous aurez de nombreux outils à votre disposition pour détecter les tentatives d’attaque à un stade précoce et lancer des contre-mesures. Idéalement, les mesures seront si efficaces que les groupes d’auteur abandonneront tôt l’attaque ou seront détectés rapidement.

Cet article est publié dans le cadre du réseau de contributeurs d’experts Foundry.
Vous voulez rejoindre?

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Hacker in a dark hoody sitting in front of a notebook with digital north korean flag and binary streams background cybersecurity concept
Des pirates nord-coréens exploitent les outils de sécurité de Google pour effacer à distance
La Commission européenne DSGVO pour KI et Cookie-Tracking Lockern
La Commission européenne DSGVO pour KI et Cookie-Tracking Lockern
Qu’est-ce que Discord et est-ce dangereux ? | Chouette noire
Qu’est-ce que Discord et est-ce dangereux ? | Chouette noire