L’année 2021 fut marquée par de nombreuses attaques Cyber, alors à quoi doit-on s’attendre pour 2022 ?
Les attaques à base de ransomware (ou rançongiciel) devraient malheureusement continuer à faire partie des menace majeures. Touchant l’ensemble des organisations (publiques et privées) et sur toutes les régions du globe, elles touchent plus particulièrement en France les secteurs industriels et des administrations publiques, qui sont surreprésentés parmi les victimes. Ces chiffres devraient continuer à croitre, comme l’illustre l’augmentation de 600 % des e-mails malveillants en raison du COVID-19 (ABC News, 2021). Le recours au télétravail constitue une aubaine pour les cybercriminels, qui ciblent les travailleurs à distance (Security Magazine, 2020) ainsi que les appareils personnels (« shadow IT »).
Ces attaques coûtent en moyenne en France 420 000 euros, en raison notamment des temps d’arrêt, de la perte de chiffre d’affaires, mais aussi des coûts opérationnels.
Votre organisation est-elle prête face à cette menace ?
Les tactiques les plus courantes utilisées par les pirates pour mener des attaques de ransomware sont les campagnes de phishing (hameçonnage) par e-mail, les vulnérabilités RDP (Remote Desktop Protocol) et les vulnérabilités logicielles (Cybersecurity & Infrastructure Security Agency, 2021). Une fois le logiciel malveillant téléchargé, les attaquants analyseront le système d’information cible pour se frayer un chemin et augmenter leur surface d’attaque.
Quelles stratégies mettre en œuvre pour atténuer le risque ?
Identification : mettre en œuvre une politique de gestion des identités et des habilitations (IAM – Identity and Access Management)
L’évolution de l’entreprise et de son paysage applicatif génère une multiplication des comptes utilisateurs. Ces données sont traitées, stockées et maintenues dans différentes solutions, ce qui a pour conséquence de multiplier les points d’entrée. Afin de sécuriser l’accès aux ressources du SI, il est important d’adopter une politique de gestion des identités et des accès robuste.
Cette politique visera à définir le rôle et le champ d’action de chaque entité (personne/ressource) au sein d’une organisation, afin de leur mettre à disposition les ressources (applications, données, accès) nécessaires à leurs missions. De cette politique découlera un ensemble d’outils techniques permettant le provisionnement des utilisateurs, l’authentification unique, multifacteur ou encore basée sur les risques, et enfin le « Identity Analytics » permettant d’analyser le respect des principes de séparation des tâches, de moindre privilège, et de pertinence des droits d’accès.
Une politique de gestion des identités bien menée contribuera à la maîtrise des risques opérationnels, la sécurisation du SI, la traçabilité des activités et une réponse facilitée face aux contraintes réglementaires et aux obligations de conformité.
ArtimIS propose un accompagnement dans la gestion de vos identités et dans les différentes étapes de leur cycle de vie en implémentant les solutions adéquates. Au sein de l’environnement SAP, nos experts SAP IDM pourront vous accompagner sur des projets de synchronisation d’annuaires et de mise en place de mécanismes d’authentification unique (SSO).
Authentification : systématiser l’authentification multifacteur (MFA – Multi-Factor Authentication)
L’ANSSI recommande notamment de privilégier l’utilisation de l’authentification multi-facteur reposant impliquant un facteur de possession (téléphone, clé), tout en appliquant les bonnes pratiques de gestion des mots de passe (adapter la robustesse d’un mot de passe à son contexte d’utilisation, utiliser un coffre-fort de mots de passe).
Depuis 15 ans ArtimIS met à disposition ses experts GRC et en sécurité du SI pour accompagner ses clients dans l’implémentation de processus de gestion des identités et des droits d’accès.
Autorisations : « Zero trust » & Gestion des accès à privilèges (PAM – Privileged Access Management)
Le principe du moindre privilège implique qu’une tâche ne doit bénéficier que des privilèges strictement nécessaires à l’exécution des actions menant à bien ses fonctionnalités. C’est un concept clé du modèle de sécurité « Zero Trust », qui repose sur l’hypothèse que chaque personne, chaque appareil, chaque application, etc., constitue une menace potentielle pour l’organisation. Ce modèle s’inscrit dans une logique de « défense en profondeur » par la mise en place de contrôles réguliers, dynamiques et granulaires. Le principe de moindre privilège va de pair avec l’idée de séparation des privilèges (n’accorder que les autorisations d’accès dont une ressource a besoin pour accomplir une fonction particulière).
Lorsque ces privilèges ont été définis, il est nécessaire de gérer ces accès privilégiés. Cette gestion s’effectue en associant une gouvernance, des processus et des outils/logiciels. L’ensemble permet de surveiller (avec piste d’audit) et de limiter l’accès aux données et ressources critiques aux seules personnes et applications disposant d’un accès privilégié.
Dans le monde SAP, cette séparation des privilèges s’applique via la réalisation d’une matrice de séparation des tâches dans le cadre d’une mise en conformité.
Gestion des utilisateurs : automatiser les processus de sécurité et de provisionnement
La gestion des identités et des habilitations devrait être automatisée dans la mesure du possible afin d’éviter les erreurs manuelles, les oublis de désactivation de droits, etc. Un compte VPN exploité, des autorisations laissées actives dans un système SAP, sont autant de failles de sécurité que des attaquants peuvent exploiter.
En vous aidant à identifier le bon outil de GRC, ArtimIS peut vous accompagner à la mise sous contrôle de votre gestion d’utilisateur, notamment via des workflows intégrés de gestion des utilisateurs et de leurs droits d’accès.
La sensibilisation, un élément clé de défense
Au-delà des solutions technologiques, la formation et la sensibilisation des acteurs est une étape indispensable. Signaler des e-mails suspects, respecter les bonnes pratiques, être conscient des vecteurs d’attaque potentiels sont autant d’actions permettant de limiter ces attaques, mais qui requièrent formation, sensibilisation et accompagnement. Toutes les strates de l’organisation sont concernées : des arnaques au président jusqu’à la vigilance sur le terrain de l’ensemble des équipes.
N’hésitez pas à faire appel à l’expérience éprouvée d’ArtimIS en gestion des risques et en conduite du changement (communication, vidéo, game challenge, training) pour votre sensibilisation.
Anticiper les aspects de conformité
Il ne faut pas oublier qu’une notification de la violation à la CNIL est nécessaire dès qu’il y a un risque pour la vie privée des personnes, que l’incident soit d’origine accidentelle ou illicite, ce qui peut être le cas pour les attaques par rançongiciel (voir les lignes directrices sur la notification de violation de données personnelles). Cette notification doit intervenir dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, même lorsqu’il s’agit d’une indisponibilité temporaire (articles 33-1 et 55 du RGPD). Cette notification est une obligation légale passible de sanctions en cas de manquement.
ArtimIS peut vous accompagner sur les principaux enjeux du RGPD dans votre SI.