Cybersecurity
Governance, Resilience, IAM, PAM, DLP, SIEM, SOC
Les hackers sont entrés… et maintenant ?
Aujourd’hui, quand les hackers sont là, ils sont bien là. Leurs techniques ont sensiblement évolué. Autant les précéder, conseille Jean-Pierre Boushira, Veritas Technologies.
Les bons hackers sont ceux qui font profil bas et restent cachés, explique Jean-Pierre Boushira, VP South Europe, Benelux & Nordics, Veritas Technologies. Leur priorité absolue est d’observer et d’apprendre, dans le but de déceler les potentielles faiblesses et d’exploiter les vulnérabilités en attendant le moment idéal pour frapper. Bien entendu, les hackers continueront de se perfectionner et de développer des technologies pour devenir plus difficiles à détecter ou ne plus être détectables.
« Autrefois, les ransomwares étaient introduits dans un système, procédaient à son chiffrement et téléchargeaient tout ce qu’ils pouvaient avant de disparaître sans déclencher la moindre alerte. Depuis, les méthodes ont évolué. Les hackers s’inspirent désormais du crime organisé pour sévir. »
Ne laisser d’autre choix que payer
Grâce à des techniques comme la cyber-reconnaissance, un repérage des lieux, les hackers vont et viennent à leur guise de sorte d’infliger le maximum de dégâts. Appelée « sleeping malware », cette technique est désormais un phénomène courant dans le monde numérique.
« De manière générale, les hackers souhaitent causer le plus de dégâts possibles afin de maximiser leurs efforts et améliorer le retour sur investissement, poursuit Jean-Pierre Boushira. D’après de récentes sources, certains ransomwares resteraient parfois en sommeil pendant près de 18 mois. Pour les acteurs malveillants, il s’agit de ne laisser d’autre choix aux entreprises que de payer la rançon. L’époque où violations et attaques allaient de pair est révolue depuis longtemps. Cette complexification des processus d’attaque souligne le fait que les hackers connaissent souvent les systèmes et ont conscience que l’utilisation d’une série d’évènements destinée à perturber -ou à stopper les activités, leur donnera plus de chances de toucher le pactole. »
Apporter une nouvelle visibilité sur l’infrastructure et les données
Dans ce cas, que faire pour combattre cette nouvelle stratégie de ransomware dormant ? La bonne nouvelle, selon le VP de Veritas Technologies, est que certaines pratiques et technologies aident à détecter les menaces avant que les hackers ne puissent passer à l’action. De plus, des stratégies destinées à réduire la surface d’attaque et à empêcher les perturbations/arrêts à grande échelle s’avèrent être des approches plutôt efficaces.
Les attaquants recherchent les failles, autrement dit les zones où la sécurité et la surveillance restent limitées. Pour cette raison, il est donc essentiel de mettre en place des outils qui permettent d’avoir de la visibilité sur l’ensemble de l’infrastructure et de faire la lumière sur les potentielles zones grises -les dark data- de l’environnement. D’après de récentes recherches, 35 % des données seraient encore des dark data. Identifier leurs données et déterminer leur lieu de stockage au plus vite pour lutter contre ce phénomène est donc largement recommandé.
Protéger toutes les données, quelles que soient leurs sources
« En plus d’assurer une très bonne visibilité sur l’ensemble de l’infrastructure, il est également vital de disposer d’une documentation claire -sur papier- décrivant l’environnement, avec la description des procédures et des configurations. L’absence de détails peut empêcher les entreprises de mener la récupération à bien et de relancer leurs activités rapidement après une attaque. L’entreprise devrait conserver ces documents dans un coffre et les mettre à jour régulièrement », conseille vivement Jean-Pierre Boushira.
Une fois que l’entreprise a identifié ses données provenant de l’ensemble des sources à disposition, il lui est possible de les protéger grâce à plusieurs couches de protection destinées à non seulement réduire la surface d’attaque, mais aussi à limiter l’accès. Après s’être introduits dans un environnement, les cybercriminels recherchent souvent des informations confidentielles ou des identifiants de connexion qui leur permettront de se déplacer latéralement, ou encore à accéder aux systèmes de sauvegarde pour empêcher toute tentative de récupération.
Approche Zero Trust
« Pour limiter ce type de risques, l’entreprise peut, dans un premier temps, limiter les accès prodigués par un jeu d’identifiant/mot de passe mais aussi s’assurer qu’un administrateur unique n’ait pas accès à l’ensemble de l’infrastructure. En outre, il est important de verrouiller ou de limiter l’accès des cadres, qui sont souvent des cibles faciles, mais aussi les privilèges des administrateurs, en particulier pour les sauvegardes, conseille Jean-Pierre Boushira. La pratique courante consiste à adopter une approche Zero Trust pour l’ensemble de l’environnement et de mettre en œuvre un système MFA et RBAC. »
Il est également important de segmenter ou de micro-segmenter le réseau en plusieurs sous-réseaux afin de veiller à ce que l’accès – notamment aux données critiques, soit géré et limité. Jean-Pierre Boushira : « L’important est de limiter les possibilités de déplacement des hackers une fois dans le système. Il convient de faire preuve de créativité, de mettre en place un système adapté aux besoins et aux exigences en matière de sécurité. » Il est conseillé aux entreprises de créer un réseau cloisonné qui ressemble au réseau de production, mais tout en ayant des paramètres d’identification différents. De plus, elles ne devraient rien partager avec leur réseau de production en dehors de l’accès au stockage immuable. Dans le même ordre d’idées, il est important d’utiliser des solutions Air Gap, conseille Veritas Technologies. De garder aussi les fonctions vitales de l’infrastructure en dehors du Web. Et de stocker les configurations des services clés comme la sauvegarde, le réseau et les services d’authentification, hors d’atteinte.
Un stockage immuable et indélébile disposant de fonctionnalités Air Gap
Une méthode efficace pour protéger les données consiste à mettre en œuvre un stockage immuable et indélébile, qui garantit que les données ne peuvent pas être modifiées, cryptées ou supprimées pendant une durée déterminée ou de façon permanente.
De plus, il est recommandé d’initier une stratégie de sauvegarde dite 3-2-1+1 qui consiste à effectuer au moins trois copies des données, d’avoir au moins deux types de supports distincts (disque dur/cloud), au moins une copie hors site ou séparée des données, et au moins une sur un stockage immuable. Un autre protocole de sécurité d’intérêt consiste à créer un Air Gap, c’est-à-dire à établir une séparation physique ou une isolation des dispositifs, systèmes, réseaux, etc. Il peut s’agir de matériel, de logiciels et de solutions d’Air Gap établis dans le cloud.
Détecter les activités anormales et analyser les logiciels malveillants
Ensuite, les entreprises devraient mettre en œuvre des outils qui permettent de détecter les comportements ou activités anormaux, tant au niveau des données que des utilisateurs. « En clair, il s’agit d’instaurer des mesures concrètes et automatisées afin d’alerter les équipes si quelque chose se produit au sein de l’environnement, explique Jean-Pierre Boushira. Il peut s’agir d’une activité inhabituelle d’écriture de fichiers qui pourrait indiquer une infiltration, mais aussi la détection d’extensions de fichiers de ransomware connues, etc. Il est essentiel d’être informé immédiatement de tout ce qui sort de l’ordinaire. Il convient alors d’effectuer une chasse aux cybermenaces régulière pour laquelle mettre en place des outils de détection avec des protocoles d’investigation des comportements anormaux et des logiciels malveillants sera nécessaire. »
Assurer une récupération flexible, rapide et hybride
En partant du principe que les hackers se sont déjà introduits dans l’infrastructure, la résilience et la récupération rapide deviennent l’objectif ultime. En fait, estime Jean-Pierre Boushira, il s’agit d’aller plus loin qu’un simple point de restauration, qu’une seule copie de sauvegarde ou des copies multiples.
« L’entreprise doit concevoir une expérience de restauration optimisée et simplifiée qui l’aidera à reprendre ses activités rapidement, même à grande échelle. Il est bien connu que les solutions de sauvegarde multiples et disparates créent une expérience de restauration compliquée, en particulier lorsque plusieurs systèmes sont compromis. Les entreprises doivent alors simplifier et rationaliser ces solutions en réduisant le nombre et la variété de produits et de fournisseurs utilisés. »
Effectuer des tests et des simulations réguliers
Les cybercriminels espèrent généralement que les entreprises soient peu familières à la récupération. Leur objectif étant d’obtenir à tout prix une rançon, l’entreprise qui se prépare à une reprise a une longueur d’avance. Pour que la récupération soit rapide et efficace, l’entreprise doit disposer d’un plan d’intervention de cybersécurité pour l’ensemble de l’environnement, incluant des tests précoces et fréquents. En effet, des simulations régulières de crise -et donc de reprise- permettent de limiter les temps d’arrêt et les perturbations et de réduire l’impact d’une attaque. Il est également conseillé aux entreprises d’effectuer des tests de récupération sur l’ensemble des applications car il est fort probable qu’elles aient à récupérer l’ensemble des éléments constitutifs de leur environnement de production. « Finalement, des simulations et des tests réguliers sont essentiels pour réussir, car lorsque l’entreprise est en pleine crise, le principal est que le dispositif fonctionne ! »
Les entreprises peuvent prendre des mesures drastiques pour lutter contre les ransomwares et prendre l’ascendant sur les hackers. En mettant en œuvre une stratégie de résilience multicouches qui suit les bonnes pratiques et assure une hygiène de cybersécurité irréprochable, les entreprises auront la possibilité de prendre les devants et de faire face aux hackers. « Rappelez-vous : lorsqu’il s’agit d’un événement de cybersécurité ou d’une attaque par ransomware, la question n’est plus de savoir si cela arrivera, mais plutôt quand. »