Nous avons vu dans un précédent article comment et à quel point les vulnérabilités 0-day peuvent rendre une entreprise vulnérable. Toutefois, il faut savoir qu’il est tout à fait possible de se défendre contre ces menaces. Nous allons voir ici que les mesures de sécurité structurelles, passives, sont les plus fortes. Ce sont elles qui vont également permettre de se protéger contre une gamme d’attaques encore plus large.

Rester discret

Pour commencer, pour vivre heureux, vivons cachés. Il s’agit tout simplement de ne pas attirer l’attention, et de ne pas exposer sur le réseau des services qui n’ont pas besoin de l’être. Si une vulnérabilité 0-day apparaît sur un service accessible de tout l’internet, il faut réagir très rapidement, car il y a possibilité de compromission immédiate. Si ce même service n’est accessible que depuis un réseau interne, alors son exploitation peut s’inscrire dans un scénario d’attaque, mais uniquement en complément d’autres étapes permettant de prendre pied à l’intérieur. On a déjà gagné pas mal de temps, et donc de tranquillité de réaction.

Le rapport ‘Cybercrime Report 2017 : A Year in Review’ publié par ThreatMetrix montre que les cyberattaques avec prise de contrôle ont connu une hausse de 170 % entre 2015 et 2017.

Agir à la source

Ensuite, il s’agit de toujours anticiper la défaillance d’une ligne de défense, lors de la conception du système. Si ce composant vient à céder, que se passe-t-il ? C’est le concept militaire de défense en profondeur, qui s’adapte parfaitement à nos systèmes d’informations. Une bonne défense est réalisée en dressant plusieurs mécanismes de défense concentriques et/ou successifs autour de l’information à protéger. Ces mécanismes sont autant que possibles indépendants, chacun capables d’affaiblir ou bloquer l’attaque même si les autres barrières ont cédé. Une industrie qui illustre de façon très tangible ce principe est l’industrie nucléaire civile, où les lignes de défense sont les contenants physiques et concentriques qui isolent la matière nucléaire de l’environnement. Dans la cyber, c’est certes un peu plus « virtuel », mais si le principe est appliqué suffisamment tôt, il devient très concret sur les schémas de conception de service. Car une sécurité bien intégrée est plus forte qu’une pièce rapportée. C’est la force du « by design ».

Une topologie réseau cloisonnée, une séparation des serveurs de publication de ceux portant les bases de données, des outils de contrôle des applications bloquant les comportements imprévus, sont autant de moyens passifs disponibles pour l’architecte qui prépare la défense. On pourra bien sûr compléter par des mesures de défense plus « actives », comme un Web Application Firewall, un antivirus bien sûr, un service de protection DDOS, un bon suivi des versions…

Un formulaire est à votre disposition pour être recontacté.

Rester à jour

La gestion des patchs est évidemment la mesure directement opposée à l’exploitation malveillante des vulnérabilités. Il est indispensable de maintenir à jour ses logiciels et matériels, régulièrement, de façon à simplifier et préparer une action exceptionnelle qui serait exigée par un vulnérabilité critique. Ceci implique de disposer des correctifs de la part de l’éditeur ou du fabricant. Donc une bonne gestion des patchs implique le suivi des versions, et la gestion de l’obsolescence. On peut certes regretter que le renouveau perpétuel de l’offre logicielle s’apparente à de l’obsolescence programmée. Mais c’est ainsi, à tel point qu’un système d’information utilisant des logiciels obsolètes relève parfois du danger public.

Superviser

Enfin, un autre concept emprunté à l’art de la guerre : le renseignement. Il faut surveiller son système d’information. Car une attaque ne se fait pas en une seule étape. Elle va forcément laisser des signes : des tentatives de connexion en échec, des plantages de services, des volumes de trafic réseau inhabituels… Autant d’évènement qui doivent attirer l’attention de l’exploitant du système, et mieux, qui devraient être traités et interpréter automatiquement. La supervision du système d’information ne doit plus contenter uniquement les utilisateurs en assurant la continuité de service. Elle doit maintenant en plus participer à la protection de l’information, en apportant aux exploitants toute la visibilité nécessaire pour défendre le système. Car les outils de « Security Information and Event Management » (SIEM) sont les yeux des soldats du « Security Operating Center » (SOC).

La sécurité informatique n’est pas un sujet de tout repos. L’efficacité d’une politique de sécurité repose, nous venons de le voir, sur une analyse complexe et un suivi continu qu’il est préférable de confier à des experts. C’est d’autant plus vrai que de nouvelles vulnérabilités sont découvertes chaque jour, qu’aucun éditeur n’est à l’abri, et que le cybercrime a de nombreuses motivations.

Seule solution pour rester protégé face à ces nouveaux risques : une stratégie globale combinant sécurité informatique (filtrage des flux IP, antimalware, sécurisation des connexions aux sites distants et en mobilité, détection et prévention des intrusions, …), sauvegarde des données et information des utilisateurs. Votre Système d’Information est-il bien protégé ? Pour le savoir, les experts Adista sont disponibles pour échanger avec vous et vous conseiller. Un formulaire est à votre disposition pour être recontacté www.adista.fr/securite-contact/