BLOGUE INVITÉ. La cybersécurité est en effervescence depuis quelques mois au Québec. Sans surprise, il y a encore des adeptes de la pensée magique qui prétendent qu’ils sont à l’abri d’une cyberattaque pour des raisons loufoques. Toutefois, la plupart des organisations investissent temps et argent pour sécuriser leurs actifs bien que l’offre de services actuelle ne leur rende pas la vie facile. Et comme je le dis souvent, dans ce domaine, il y a des centaines de spécialités et des milliers d’outils.
Il devient donc difficile de faire le tri dans cet océan de technologies où les acronymes et les promesses de remédiation complète des incidents par la technologie et l’intelligence artificielle sont aussi fréquents que les anglicismes dans une téléréalité québécoise.
Pour vous aider, je vous propose cinq éléments fondamentaux que vous devriez prioriser pour sécuriser votre entreprise.
1. Mettre en place l’authentification à plusieurs facteurs.
Il est assez simple de deviner votre identifiant ou code d’utilisateur. Dans bien des cas, c’est votre courriel. L’attaquant n’a donc qu’à deviner votre mot de passe pour accéder vos données.
Sans entrer dans les détails, il existe une panoplie de techniques pour capturer votre mot de passe. L’hameçonnage est l’une des plus populaires, mais il existe aussi des banques de mot de passe conçues à partir des cyberattaques réussies sur Facebook, LinkedIn et Spotify. Avec ces outils, la probabilité de tomber rapidement sur le bon mot de passe est élevée.
Sans authentification multiple, l’attaquant, qui aura capturé votre mot de passe, sera authentifié et pourra agir en votre nom et à votre insu. L’authentification multiple vous protège en demandant une action concrète pendant le processus d’authentification soit une autre preuve qu’il s’agit bien de vous pendant que vous faites l’action de vous authentifier.
Si vous n’êtes pas en train de vous authentifier et que le processus d’authentification vous sollicite pour un second facteur, vous saurez que quelqu’un a découvert votre mot de passe et qu’il est grand temps de le changer.
2. Sauvegarder et chiffrer les données.
Malgré les meilleurs mécanismes de cybersécurité, il est possible qu’un attaquant se faufile. Si l’objectif du criminel est financier, il va probablement exfiltrer vos données et les chiffrer. Il va ensuite vous proposer une transaction financière. En échange d’une somme substantielle, vous pourrez retrouver vos données et, en bonus, vous aurez la parole du criminel qu’il détruira les données qu’il a en sa possession.
Pour faire face à ces situations, il faut avoir des copies de sauvegarde qui fonctionnent. Ces sauvegardes ne devraient pas être accessibles par votre réseau. De plus, les données sensibles devraient toujours être chiffrées. Le malfaiteur va les exfiltrer quand même, mais ne pourra pas les utiliser tant que la technologie ne permettra pas de briser l’encryption.
Un autre élément important est de s’assurer que les disques des ordinateurs sont aussi cryptés. Cela se fait très facilement et évite des soucis quand des ordinateurs sont perdus ou volés.
3. Activer les logiciels de protection des postes et serveurs
On se doit d’aller plus loin que le simple antivirus installé localement sur les postes et serveurs qui devrait bloquer les fichiers malveillants. Des solutions plus avancées permettent la détection de comportements anormaux et peuvent agir rapidement.
Dans certains cas, ces solutions vont automatiquement agir pour isoler le logiciel malveillant et même le détruire. Il faut rechercher des solutions qui se déploient facilement avec des consoles centralisées et qui fonctionnent sur l’ensemble de vos postes et serveurs. Microsoft Defender ATP est un bon exemple de ce type de solution.
4. Associez-vous à un partenaire en cybersécurité
S’associer à un partenaire peut vous aider à affronter la tempête en cas d’incident de cybersécurité. La réponse à une faille de sécurité est illustrée ici en six grandes étapes. Pour chaque étape, j’identifie ce que j’estime être nécessaire.
A- La préparation
Selon moi, la préparation est un travail sans fin. Les menaces évoluent et votre organisation aussi. Un partenaire doit veiller à ce que les mesures de surveillance et de détection, autant technologiques que procédurales, soient et demeurent adéquates.
Il doit raffiner les procédures de réponse et impliquer les membres de votre organisation plusieurs fois par année. Il doit aussi établir avec vous un protocole de réponse aux incidents majeurs qui devra prévoir l’implication de tiers comme les assureurs, les conseillers juridiques, les spécialistes en relations publiques et médiatiques et les forces de l’ordre.
Finalement, il est important de s’assurer à l’avance que votre partenaire dispose des moyens nécessaires pour vous communiquer clairement et efficacement toute l’information dont vous avez besoin lors d’un incident.
B- L’identification
L’identification consiste à identifier la menace. Quelle est-elle? Où est-elle? Est-ce qu’il y a de l’activité? Quelle est la zone touchée? Quel est l’impact potentiel? Est-ce que le niveau d’alerte doit être augmenté?
Plusieurs fournisseurs n’offrent que l’étape d’identification. Leur service se limite donc à identifier les événements anormaux. Ce faisant, vous recevrez un message identifiant la menace avec des pistes de solution pour vous aider à intervenir. Le problème derrière ce type de service est que vous allez rapidement vous habituer à recevoir une grande quantité d’alertes. Et donc vous allez en venir à considérer ces alertes comme étant normales et cesserez de faire le travail requis. Ce phénomène est tellement commun qu’il porte un nom: la fatigue des alertes.
C — L’isolation
Une fois que l’on comprend bien la situation, il faut rapidement limiter les dégâts. L’isolation consiste à couper les communications entre le(s) logiciel(s) malveillant(s) et le reste du monde. Votre partenaire doit être en mesure de participer activement à l’isolation et doit être familier avec votre infrastructure. Plus cette action est effectuée rapidement, moins les dommages seront grands.
D — L’éradication
L’éradication consiste à retirer toutes traces du logiciel malveillant, mais ce n’est pas toujours simple. Votre partenaire doit bien comprendre l’attaque, et si possible sa provenance, pour s’assurer que l’ensemble des éléments compromis soient nettoyés et que les entrées utilisées par les malfaiteurs soient bien fermées.
E- Le recouvrement
À la suite d’un incident, la vie et les affaires doivent reprendre leur cours normal. Votre partenaire doit vous accompagner dans la remise en fonction des éléments compromis. Il peut vous conseiller dans la collecte de preuves et les communications à faire avec les différentes parties prenantes impliquées.
F- Les leçons apprises
À mon avis, tous les petits incidents sont des occasions d’améliorer notre défense et notre capacité de répondre plus efficacement à un incident majeur. Votre partenaire devrait revoir chaque incident avec vous et identifier des pistes d’amélioration.
Je pense qu’il est aussi impératif d’impliquer les utilisateurs lorsqu’ils sont la cause d’un incident de cybersécurité. Un employé qui comprend que sa distraction aurait pu mener à une interruption complète des opérations de sa compagnie va être beaucoup plus vigilant par la suite.
5. Identifier les vulnérabilités et appliquer les correctifs
Chaque jour, des chasseurs de vulnérabilités, bien intentionnés ou non, découvrent des failles dans les technologies utilisées dans vos entreprises. Ces failles peuvent être exploitées par des criminels pour accéder à vos données, les exfiltrer et même les crypter.
La fameuse faille Log4j ou celle affectant les serveurs de courriel Microsoft ont été parmi les plus médiatisées en raison du grand nombre de personnes touchées. Vous devriez donc surveiller vos actifs informationnels et vous assurer que les vulnérabilités qui induisent des risques pour votre organisation sont rapidement corrigées.