Les fournisseurs de services gérés et leurs clients sont devenus des cibles de plus en plus populaires pour les cyberattaques.
Les hackers à l’origine de ransomwares, en particulier, ont identifié les MSP et leurs clients comme des candidats de choix pour l’extorsion et ont adapté leurs tactiques en conséquence pour créer des scénarios dignes de leurs pires cauchemars.
Plutôt que de simplement chiffrer les systèmes d’un MSP, les hackers utilisent les identifiants compromis de ses employés pour détourner les outils logiciels de ce dernier et les utiliser pour déployer un ransomware sur tous les clients du MSP en même temps.
À partir de 2019, les hackers ont commencé à accéder à toute une variété de MSP et à abuser de divers logiciels populaires axés sur les MSP, notamment Kaseya VSA, Webroot, Connectwise ScreenConnect et Continuum. C’est aussi en 2019 qu’ils ont accédé à un petit nombre de clients MSP de NinjaOne par des méthodes sans lien aucun avec NinjaOne. Dans aucun des cas nous n’avons vu d’indication du faille de sécurité du côté de NinjaOne. Les preuves suggèrent plutôt que les MSP ont été compromis par d’autres moyens et que les attaquants ont ensuite utilisé les informations d’identification des MSP pour mener des actions non autorisées avec leurs outils.
Tout à l’honneur de la communauté des MSP, ces incidents ont incité l’ensemble du secteur à adopter des protocoles de sécurité plus stricts. Plus précisément, l’adoption de l’authentification à deux facteursa eu un impact considérable sur la réduction des attaques réussies (lors de notre récent 2020 MSP Security Summit, le PDG de Coveware, Bill Siegel, a déclaré que son entreprise n’avait eu à répondre à aucun incident là où l’authentification à deux facteurs avait été activée).
Mais si des progrès ont été faits, le sentiment d’urgence reste bien réel. Le succès initial du détournement de comptes de MSP a encouragé les attaquants à continuer à se concentrer sur la compromission de ces réseaux en particulier. Si vous êtes un MSP, vous devez malheureusement partir du principe que ce n’est qu’une question de temps avant que des tentatives d’attaques similaires ne vous visent. Il est donc préférable d’acquérir une connaissance pratique des cybermenaces et des bonnes pratiques en matière de cybersécurité énumérées ci-dessous.
Que faire maintenant (si vous n’avez pas déjà pris des mesures) ?
Il est essentiel que les MSP activent l’authentification forte (2FA) à la première occasion sur tous les logiciels qu’ils utilisent, ainsi que pour les e-mails. Mais ce n’est pas tout, loin de là. Nous avons créé la check-list suivante pour fournir aux MSP une liste de choses spécifiques à faire pour réduire leur surface d’attaque et améliorer leur capacité à prévenir, détecter et répondre aux attaques.
L’idée n’est pas de s’atteler à appliquer toutes ces recommandations en même temps, c’est impossible. Nous souhaitons simplement vous fournir une liste à laquelle vous pourrez vous référer et que vous pourrez compléter progressivement en fonction de vos priorités et du temps dont vous disposez. Après tout, l’amélioration de la sécurité n’est pas une activité ponctuelle, c’est un processus continu. N’oubliez pas que toutes les améliorations que vous pouvez apporter maintenant seront beaucoup moins coûteuses en temps et en argent que de remédier à une attaque active, alors n’attendez pas pour commencer.
Vous souhaitez obtenir une copie PDF de la check-list à laquelle vous pourrez vous référer ultérieurement ? Téléchargez-la ici.
Remarque : Ces recommandations ne sont évidemment pas exhaustives. En fonction de vos spécificités (taille, infrastructure, etc.), certaines peuvent ne pas convenir à votre entreprise. La sécurité n’est pas un concept unique, et ce qui est essentiel pour certains peut être excessif pour d’autres. Soyez pragmatique, adoptez une approche multidimensionnelle et n’oubliez pas que lorsque vous implémentez de nouveaux contrôles, il est toujours bon de d’abord les tester afin d’éviter des perturbations involontaires.
Les points abordés dans cette check-list
- Limitez l’accès à votre réseau
- Protégez vos utilisateurs et vos terminaux
- Soyez prêt à détecter les incidents de sécurité et à y répondre rapidement
Limitez l’accès à votre réseau
« La terre n’est pas plate et votre réseau ne devrait pas l’être non plus. »
– Catherine Pitt, vice-présidente chargée de la sécurité de l’information chez Pearson
De nombreuses attaques actuelles, telles que les APT (menace persistante avancée), sont conçues pour se loger et se développer dans les réseaux des victimes. Pour éviter cela, vous devez établir des barrières entre vos utilisateurs et vos actifs.
- Inventoriez activement tous les actifs du réseau et classez-les en fonction des risques
Vous trouverez ici un guide rapide (en anglais) pour vous lancer. - Utilisez des mots de passe forts et uniques
Ils devraient comporter des majuscules et des minuscules et être composés de lettres, de chiffres et de symboles. Ils ne doivent pas être partagés ou réutilisés. D’un point de vue pratique, cela signifie qu’un véritable outil de gestion des mots de passe est indispensable (non, un tableur ne compte pas). Il existe de nombreuses options qui vous permettent de stocker les mots de passe en toute sécurité, de gérer les autorisations, d’auditer l’utilisation et de surveiller les sessions. Elles résolvent également le problème de savoir ce qu’il faut faire lorsqu’un technicien doit être licencié ou qu’il quitte soudainement l’entreprise. - Cela inclut l’utilisation de mots de passe uniques pour l’administration locale
La solution de mot de passe de l’administrateur local (LAPS) de Microsoft peut aider à gérer cette situation. - N’enregistrez pas les identifiants dans les navigateurs
Il est extrêmement courant que les hackers et les logiciels malveillants récupèrent les caches des navigateurs. - ACTIVEZ L’AUTHENTIFICATION FORTE AUTANT QUE POSSIBLE
Cela est particulièrement important pour prévenir la vague actuelle d’attaques par ransomware qui détournent les outils logiciels des prestataires de services de gestion. Il existe une grande variété d’outils d’authentification forte (2FA/MFA). - Évitez d’utiliser des noms d’utilisateur génériques
Pas de « admin », « administrateur », « défaut », « root », « utilisateur », etc. - Éliminez l’utilisation inutile de privilèges élevés
Adoptez le le principe du moindre privilège. Par exemple : Les techniciens doivent utiliser un compte standard, non administrateur par défaut, et un compte administrateur séparé uniquement si nécessaire, idéalement depuis un poste de travail à accès privilégié. - Créez des tampons entre les différents niveaux d’accès privilégié
Microsoft conseille d’adopter un modèle à plusieurs paliers composé de trois niveaux de comptes d’administration qui contrôlent chacun une catégorie différente d’actifs (domaines, serveurs et postes de travail). - Appliquez le principe du « moindre privilège » aux comptes de service
La création de comptes de service pour des applications spécifiques peut vous aider à isoler les dégâts en cas de compromission d’un seul compte, mais seulement si vous évitez les erreurs courantes. Désactivez les services dont vous n’avez pas besoin et envisagez d’utiliser des comptes de services administrés de groupe (gMSA) pour faciliter la gestion des comptes de services et la rendre plus sûre. - Supprimez les utilisateurs finaux du groupe d’administrateurs locaux
Il s’agit d’un autre des contrôles de sécurité les plus élémentaires qui est régulièrement négligé ou mis à mal en situation réelle. Voici un guide vous montrant comment supprimer les administrateurs locaux à l’aide d’une GPO, avec des conseils sur la manière d’aborder les idées reçues ou les réactions négatives que vous pourriez rencontrer de la part des cadres et d’autres personnes. - Auditez les systèmes pour détecter les comptes d’utilisateurs inactifs
On estime qu’un tiers des comptes d’utilisateurs sont inactifs mais toujours activés. Tous ces terminaux non surveillés représentent un risque important pour la sécurité. Procédez à des audits réguliers et mettez en place une politique claire de désactivation et de suppression des comptes lorsque les utilisateurs quittent l’entreprise. - Bloquez les mouvements latéraux entre les postes de travail
Aujourd’hui, un nombre croissant d’attaques ne se limitent pas à des postes de travail isolés. Ils sont conçus pour se loger quelque part et de s’étendre depuis ce point de départ. En utilisant Active Directory, les stratégies de groupe et le pare-feu Windows, vous pouvez empêcher la communication de poste de travail à poste de travail tout en autorisant l’accès à partir de votre poste de travail à accès privilégié.
Verrouillez vos outils de gestion à distance
Non seulement les capacités d’accès à distance sont essentielles pour votre entreprise, mais il y a également peu de choses qu’un hacker aimerait plus que tout détourner.
- Limitez l’accès aux outils de gestion à distance
Limitez leur disponibilité strictement aux personnes qui ne peuvent pas travailler sans. - Utilisez des mots de passe forts et uniques ET une authentification forte
- Limitez l’accès des comptes distants
Pensez toujours en termes de principe de moindre privilège, surtout lorsque vous travaillez avec des clients dans des secteurs verticaux réglementés ou qui traitent des informations confidentielles ou d’autres informations sensibles. Vous devrez peut-être prouver que vos techniciens n’ont jamais eu la possibilité d’accéder à ces informations. - Ne vous connectez pas aux postes de travail avec des comptes d’administrateur de domaine
Si vous le faites, les hackers risquent de de récolter les identifiants de l’administrateur du domaine si jamais le poste de travail utilisé est compromis. Les comptes d’administrateur de domaine doivent être peu nombreux et utilisés exclusivement pour se connecter aux contrôleurs de domaine (et non aux postes de travail). - Maintenez le logiciel de gestion à distance à jour
Appliquez régulièrement les mises à jour et surveillez tout particulièrement les correctifs apportés aux vulnérabilités qui pourraient permettre à des hackers d’exécuter un code à distance ou d’obtenir un accès non autorisé. - Permettez la journalisation/la surveillance et les alertes centralisées pour les sessions d’accès à distance
La collecte d’informations sur les sessions et les activités d’accès à distance vous permettra de réaliser des audits, de repérer les anomalies, d’étudier toute activité suspecte et d’y répondre.
Bureau à distance sécurisé (RDP)
La sécurisation du RDP est peut-être un principe de base de la sécurité, elle n’en reste pas moins négligée et continue d’être l’une des principales causes de compromission. Une rapide analyse de Shodan montre que des millions de systèmes exposent actuellement leur RDP. Ils font sans aucun doute l’objet d’attaques par force brute. Une fois piraté, l’accès aux comptes compromis peut être acheté pour quelques euros seulement sur les places de marché du dark web.
La compromission via RDP a été le vecteur d’attaque privilégié pour de nombreuses variantes de ransomware, notamment CrySiS/Dharma, Shade et SamSam, le ransomware utilisé pour infecter Allscripts, de nombreux hôpitaux et la ville d’Atlanta.
- N’exposez pas le RDP (ou toute autre ressource interne) à internet, sauf en cas d’absolue nécessité
Même dans ce cas, demandez-vous s’il n’existe pas une meilleure façon de faire ce dont vous avez besoin. - Utiliser des scanners de ports pour identifier tout RDP (et d’autres ports et services) exposés à internet
Utilisez des outils d’analyse tels que Nmap, masscan ou Shodan. Les hackers le font déjà, alors prenez quelques minutes pour voir votre réseau à travers leurs yeux. Un autre outil qui vous guide dans l’analyse des ports de base est ShieldsUP. - Identifiez les systèmes qui ont été compromis par des portes dérobées du RDP
L’un des moyens les plus courants de créer une porte dérobée consiste à utiliser de manière abusive la fonction de touche rémanente de Windows. Deux outils d’analyse différents permettant d’identifier les serveurs RDP piratés sont disponibles ici ou ici. - Désactivez le RDP sur les machines qui n’en ont pas besoin
Cela réduit le risque que des hackers utilisent une machine compromise pour accéder à d’autres machines de votre réseau. - Supprimez l’accès du compte administrateur local au RDP
Par défaut, tous les administrateurs peuvent se connecter au Bureau à distance. - Utilisez des mots de passe forts et uniques et une authentification forte
Le MFA est une bonne idée, mais si vous n’avez pas d’autre solution que d’avoir un RDP exposé, elle devient un passage obligé. - Implémentez une politique de verrouillage des comptes
Le nombre de tentatives infructueuses nécessaires pour déclencher un verrouillage est laissé à votre discrétion, mais de façon générale, Microsoft recommande un verrouillage de 15 minutes après 10 tentatives infructueuses. - Déconnectez-vous des sessions déconnectées et inactives
Ce n’est pas la solution la plus appréciée, mais il s’agit d’une mesure d’atténuation importante qui permet d’éviter que les sessions ne soient détournées. - Limitez l’accès au RDP grâce à des pare-feu, des passerelles RD et/ou des réseaux privés virtuels
En utilisant un pare-feu, vous pouvez limiter l’accès au RDP aux adresses IP figurant sur liste blanche. Les passerelles RD sont plus exhaustives. Elles vous permettent de restreindre non seulement l’accès des personnes, mais aussi ce à quoi elles ont accès, sans qu’il soit nécessaire de configurer des connexions VPN. Pour en savoir plus sur les passerelles RD, cliquez ici - Laissez l’authentification au niveau du réseau (NLA) activée
La NLA permet un dégré supplémentaire d’authentification avant d’établir une connexion à distance. Plus de détails sur comment vérifier les paramètres de votre stratégie de groupe pour confirmer que l’option NLA est activée ici (en anglais). - Modifiez le port d’écoute par défaut (TCP 3389)
Cela n’empêchera pas les hackers déterminés de trouver votre RDP, mais cela relèvera la barre et vous aidera à vous protéger contre les attaques automatisées et les attaques paresseuses. Microsoft explique ici comment effectuer ce changement.
Ressources complémentaires :
- Sécurisation du bureau à distance (RDP) pour les administrateurs de système (en anglais)
- Alerte du FBI et du DHS : Les cyberacteurs exploitent de plus en plus le protocole de bureau à distance pour mener des activités malveillantes (en anglais)
- Les entreprises laissent des portes dérobées ouvertes aux attaques par protocole de bureau à distance bon marché
Protégez vos utilisateurs et vos terminaux
« Montrez-moi un courriel malveillant et je vous montrerai quelqu’un qui cliquera sur le lien qu’il contient. »
– Ancien proverbe de la sécurité de l’information
La grande majorité des attaques visent la partie la plus vulnérable de votre réseau : vos utilisateurs. Voici les bonnes pratiques pour sécuriser leurs appareils et protéger les utilisateurs contre eux-mêmes.
- Utilisez un logiciel de sécurité des terminaux qui utilise l’apprentissage automatique et/ou l’analyse comportementale
De nos jours, peu d’antivirus reposent uniquement sur la correspondance des signatures. la majorité des antivirus reposent intègrent plutôt des algorithmes de détection via apprentissage automatique soit dans leur offre générale, soit en tant que ligne de produits supplémentaire (plus coûteuse) (voir notre guide sur les outils EDR et NGAV ici). Ces solutions sont nettement plus efficaces pour bloquer les malwares, aussi bien les nouveaux que les polymorphes, mais l’inconvénient est qu’elles peuvent générer un nombre considérable de fausses alertes. Sans compter qu’elles détectent rarement les attaques qui abusent d’outils système légitimes ou utilisent d’autres techniques « sans fichier » : raison de plus pour laquelle la sécurité est avant tout une question de couches de défenses. - Maintenez les systèmes et les logiciels des terminaux à jour
Souvent plus facile à dire qu’à faire si l’on considère qu’il y a eu plus de 15 500 CVE publiés en 2018. Les mises à jour de Windows à elles seules peuvent être un véritable fléau, sans parler des applications tierces. Assurez-vous que vous automatisez la gestion des correctifs autant que possible par le biais de votre RMM et que vous pouvez vraiment vous y fier pour appliquer les correctifs avec succès. Effectuez régulièrement des audits de correctifs afin d’identifier les machines susceptibles d’être vulnérables. 57 % des violations de données sont attribuées à une mauvaise gestion des correctifs. - Élaborez une procédure d’exploitation standard pour l’audit de vos politiques de pare-feu
Veillez à protéger votre périmètre en optimisant les capacités d’inspection et de filtrage de votre pare-feu. - Utilisez le filtrage DNS pour vous protéger contre les sites web malveillants connus
Les solutions de filtrage DNS peuvent protéger les utilisateurs même lorsqu’ils ne sont pas sur le réseau. - Renforcez la sécurité de vos e-mails
Étant donné que 92 % des logiciels malveillants sont transmis par e-mail, il est évidemment indispensable de disposer d’un bon filtre anti-spam. Malheureusement, il n’y a pas que les logiciels malveillants qui vous inquiètent. Afin de prévenir les attaques de phishing et les attaques par compromission de messagerie d’entreprise (BEC), il est conseillé d’implémenter les normes DMARC, SPF et DKIM pour protéger votre domaine contre les usurpations d’identité. Voici un guide d’installation et un outil gratuit de surveillance et de reporting DMARC qui peut vous aider. - Sensibilisez vos employés à la sécurité via une formation leur apprenant à repérer les e-mails et les sites web malveillants
Les utilisateurs ne changent pas : il y aura toujours quelqu’un pour cliquer là où il ne faut pas, mais difficile de blâmer la personne si elle n’a jamais été formée. D’autant plus que les e-mails malveillants sont de plus en plus convaincants. Commencez par les former sur les signes suspicieux classiques en leur montrant des exemples concrets et partagez avec eux les bonnes pratiques de base, telles que le survol des liens. Envisagez ensuite de passer à des simulations de phishing et à une formation plus formelle - Utilisez une solution de sauvegarde fiable et testez la récupération des sauvegardes à grande échelle
Il est essentiel de disposer de plusieurs points de restauration et d’une réplication hors site, ainsi que d’effectuer des tests réguliers pour s’assurer que les sauvegardes sont configurées et fonctionnent correctement. Rappelez-vous la sauvegarde de Shrodinger : « L’état d’une sauvegarde est inconnu jusqu’à ce qu’une restauration soit tentée. »
Durcissement du système Windows
De nombreuses attaques actuelles tentent d’abuser des outils et des fonctionnalités intégrés. Cette tactique permet de contourner les défenses et d’échapper à la détection en se fondant dans l’activité légitime des administrateurs. Voici les mesures que vous pouvez prendre pour atténuer ce risque :
- Protégez-vous du vol des identifiants (credential dumping)
Pour les machines Windows 10 et Server 2016, pensez à activer Credential Guard. Vous pouvez également limiter ou désactiver le nombre d’identifiants de connexion antérieurs que Windows met en cache (la valeur par défaut est de 10). Voici des instructions pour désactiver la mise en cache des identifiants sur les systèmes plus anciens. - Désactivez ou restreignez PowerShell
Les hackers utilisent PowerShell pour une grande variété de tâches : le téléchargement et l’exécution de logiciels malveillants, leur persistance, les mouvements latéraux, et plus encore (tout en évitant la détection par les antivirus). Il est également activé par défaut. Si PowerShell n’est pas nécessaire sur la machine d’un utilisateur, débarrassez-vous-en. Si ce n’est pas possible, assurez-vous qu’il s’agit de la dernière version, désactivez le moteur PowerShell v2 et utilisez une combinaison d’AppLocker et de Constrained Language Mode pour réduire ses capacités (voici comment). - Restreignez le lancement des fichiers de script
PowerShell n’est pas le seul langage de script et le seul cadre dont les hackers aiment profiter. Avant Windows 10, Microsoft recommandait de modifier le registre afin qu’un avertissement soit émis avant d’autoriser l’exécution des fichiers .VBS, .JS, .WSF et d’autres fichiers de script. Les systèmes Windows 10 peuvent utiliser AppLocker pour bloquer les fichiers de script avec un contrôle plus précis. - Utilisez AppLocker pour restreindre les applications
La liste blanche ne convient pas à tout le monde, mais dans les environnements où elle est possible, elle peut constituer une couche de sécurité très efficace en limitant les applications qui peuvent être exécutées et les conditions dans lesquelles elles peuvent l’être. Vous trouverez ici des conseils pour commencer à l’utiliser. - Bloquez ou restreignez les « Living-off-the-Land binaries » (LOLbins)
Pour contourner les antivirus et les solutions de liste blanche comme AppLocker, les attaquants utilisent de plus en plus souvent des outils Windows natifs. Les programmes intégrés tels que certutil, mshta et regsvr32 doivent être bloqués ou ne pas pouvoir émettre des requêtes sortantes à l’aide des règles du pare-feu Windows. Il en va de même pour les outils légitimes de transfert de données bitsadmin et curl. Vous trouverez ici une liste plus complète des « LOLbins ». - Utilisez le pare-feu Windows pour isoler les terminaux
En plus d’empêcher les LOLbins énumérés ci-dessus d’effectuer des requêtes sortantes, vous pouvez utiliser le pare-feu Windows pour couper certains des chemins les plus couramment utilisés pour l’accès à distance malveillant et le mouvement latéral (comme l’accès aux partages de fichiers via SMB). Voici un excellent guide. - Restreignez ou surveillez Windows Management Instrumentation (WMI)
WMI se classant au même rang que PowerShell en matière de fonctionnalité, vous devriez donc surveiller les abus potentiels de ce côté-là aussi. Dans tous les cas où il n’est pas nécessaire d’utiliser WMI à distance, envisagez de lui attribuer un port fixe et de le bloquer. - Utilisez les niveaux d’application les plus élevés du contrôle des comptes d’utilisateurs (UAC) chaque fois que cela est possible
L’UAC peut constituer un obstacle important aux attaques visant à élever les privilèges. Envisagez d’ajuster les paramètres de stratégie de Windows 10 pour refuser automatiquement les tentatives d’élévation pour les utilisateurs standard et demander le consentement sur le bureau sécurisé pour les administrateurs (un guide sur les paramètres de stratégie de groupe UAC pour les versions précédentes de Windows disponible ici). Il est également fortement recommandé d’activer le mode d’approbation de l’administrateur pour le compte d’administrateur intégré. En plus d’atténuer les tentatives d’escalade des privilèges, cela aura également pour effet d’empêcher toute tentative d’abus de PsExec (un outil d’administration légitime de la suite Sysinternals de Microsoft). La documentation Comment configurer les paramètres UAC pour Windows (script PowerShell) pourrait également vous intéresser.
Ressources complémentaires :
- L’utilisation accrue de PowerShell dans les attaques
- Isolation des terminaux avec le pare-feu Windows
- Binaires, scripts et bibliothèques Living Off the Land
Sécuriser Microsoft Office
Les documents Office malveillants restent l’un des vecteurs les plus populaires et les plus efficaces des logiciels malveillants. La clé pour atténuer cette menace est de désactiver ou de restreindre les fonctionnalités suivantes :
- Désactivez ou restreignez les macros
La dissimulation de macros malveillantes dans des documents Office est l’une des astuces les plus anciennes des hackers modernes, et elle continue d’être populaire et fructueuse. Si les macros ne sont pas utilisées dans votre entreprise, envisagez d’utiliser les paramètres de stratégie de groupe pour les désactiver sans notification et de désactiver complètement VBA pour les applications Office. Si vous devez exécuter des macros dans certaines conditions, limitez-les en n’autorisant que les macros signées et en bloquant les macros dans les documents Office téléchargés sur Internet – guide (Office 2016) ; Fichiers de modèles administratifs de stratégie de groupe (ADMX/ADML) - Désactivez ou restreignez la liaison et l’intégration d’objets (OLE)
Guide pour bloquer l’activation des paquets OLE par des modifications du registre ; guide pour bloquer l’activation des composants OLE / COM dans Office 365 via une modification du registre ; guide pour désactiver les connexions de données et la mise à jour automatique des liens de classeurs via le Trust Center. - Désactivez l’échange dynamique de données (DDE)
Guide pour désactiver la recherche/lancement du serveur d’échange de données dynamique via des modifications du registre ; guide pour la désactivation via le Trust Center
Soyez toujours en mesure de détecter les incidents de sécurité et d’y répondre rapidement
« La période d’inactivité et les perturbations causées par un ransomware moyen durent 7,3 jours. »
– Coveware
Il ne suffit pas de s’efforcer de prévenir les attaques. Vous devez également disposer des capacités et des politiques adéquates pour identifier, contenir, analyser et remédier rapidement aux compromissions.
Remarque : Il y a des choses de base que vous pouvez faire ici, mais à un niveau plus avancé, cela implique souvent l’utilisation d’outils complexes, l’analyse des journaux et la mise en place de capacités de surveillance et de réponse 24h/24 et 7j/7. En fonction de votre expertise, de votre bande passante et de vos besoins, vous devrez peut-être envisager l’externalisation.
Surveillance
- Établissez une base de référence pour les performances du réseau afin d’identifier les anomalies
- Utilisez votre RMM et/ou un SIEM pour configurer une surveillance centralisée et en temps réel du réseau et des terminaux
- Tirez parti des configurations d’alerte prêtes à l’emploi et créez des modèles pour les cas d’utilisation standard (postes de travail, serveurs, etc.)
- Élaborez des procédures opérationnelles normalisées pour traiter les alertes les plus critiques et les plus courantes
- Réduisez les fausses alertes en éliminant les alertes dont la sévérité est minime et sur lesquelles vous ne pouvez rien faire.
- Envisagez de surveiller les principaux ID d’événements Windows – commencez par ces listes-ci et ces listes-ci
- Envisagez l’utilisation d’une solution de détection et de réponse sur les terminaux(EDR)
- Activez et configurez les bons journaux de système pour vous aider dans vos propres activités de criminalistique numérique et de réponse aux incidents (DFIR) ou dans celles que vous confiez à un tiers – voir ces mémos pour Windows
- Stockez les journaux dans un endroit central et isolé
- Déterminez si vous devez confier la gestion de tout ou d’une partie des éléments ci-dessus à un fournisseur de services de détection et de réponse gérés (MDR)
Créez un plan d’intervention en cas d’incident
Lorsqu’un incident de sécurité se produit, vous devez être en mesure d’agir rapidement sous la pression. Cela nécessite des lignes directrices claires et une planification efficace.
- Définissez ce qui constitue un incident de sécurité
- Établissez les rôles, les responsabilités et les procédures de réponse aux incidents, y compris la reprise après sinistre
- Identifiez les options d’escalade au cas où l’incident nécessiterait une réponse et un rétablissement plus étendus/approfondis que ce que vous pouvez fournir
- Disposez d’un plan de communication interne, avec les clients, les autorités et le public (si nécessaire) – mieux encore, ayez des modèles prêts à l’emploi
- Comprenez les exigences de conformité concernant la divulgation et la déclaration des incidents – Règle de notification des violations de l’HIPAA ; FAQ sur la notification des violations de données dans le cadre du GDPR
- Organisez des exercices d’évacuation en cas d’incendie
- Ressource supplémentaire :Incident Handling: First Steps, Preparation Plans, and Process Modelsd’ERNW (en anglais)
Conclusion : Rien ne sert de vouloir tout faire en un jour.
Selon l’importance des investissements que vous avez déjà réalisés en matière de sécurité, cette liste peut vous sembler écrasante. Si c’est le cas, rappelez-vous que la sécurité n’est pas une chose que l’on peut maîtriser à 100 %. Les choses changent constamment et l’objectif n’est pas de devenir du jour au lendemain une forteresse de sécurité, mais simplement de s’assurer que l’on fait constamment de petits pas en avant.
Concentrez-vous sur quelques éléments de cette liste à la fois. Ou même sur un seul. Puis, passez à un autre. Visez des avancées progressives. Tout ce que vous faites peut avoir un impact. Si vous réduisez votre risque ou placez la barre plus haut pour les attaquants, même légèrement, vous faites votre travail.
Vous souhaitez recevoir par e-mail une copie PDF de cette check-list ? Téléchargez-la ici.