Dossier : comment mettre en œuvre une sécurité multicouche ?

Face à des cybercriminels toujours plus créatifs, une seule réponse : un dispositif de défense multicouche pour les bloquer à tous les niveaux. Simple à mettre en œuvre avec des outils tels que ceux proposés par Malwarebytes, l’approche multicouche est devenue incontournable pour se protéger efficacement.

Virus, vers, spywares, ransomwares, spear phishing, trojans, watering holes, rootkits, exploits, botnets… Les menaces véhiculées par Internet sont toujours plus nombreuses. Plus sophistiquées, elles combinent aussi différentes techniques pour former une véritable chaîne d’attaques afin d’infiltrer les systèmes protégés. Typiquement, un lien URL reçu par email redirige vers un site de phishing qui contient lui-même du code JavaScript malveillant qui, via un exploit, tente de pousser vers l’ordinateur un code infectieux ou d’ouvrir une porte dérobée.

Face à cette prolifération de menaces et à la multiplicité des vecteurs d’attaque, « les entreprises sont dans l’obligation de renforcer leurs solutions de sécurité traditionnelles afin d’être capables de répondre à une attaque, quel que soit le vecteur d’infection », constate Nicolas Sterckmans, Sales Engineer EMEA chez Malwarebytes.

Ce renforcement de la sécurité passe désormais par une approche dite multicouche. Objectif : faire collaborer plusieurs boucliers défensifs agissant à des niveaux différents pour entourer la machine et son utilisateur de rideaux protecteurs successifs. Si la menace franchit un premier rideau, elle devra encore en affronter plusieurs autres avant d’atteindre sa cible. En pratique, la mise en œuvre d’une protection multicouche suppose différentes étapes.

Étape 1 – Ne négligez pas les basiques

Certains rideaux défensifs sont déjà présents dans les systèmes qui animent les ordinateurs ou dans l’écosystème qui les entourent. Vérifier que ces premiers boucliers, même minimalistes, sont bel et bien actifs :

Activez l’antispam de votre messagerie

L’email reste un grand pourvoyeur de menaces. Il est même, en 2017, redevenu la première des sources d’attaques. Non seulement il aide à la diffusion de pièces attachées dangereuses, mais il joue un rôle capital dans la diffusion d’adresses web pointant vers des sites de phishing, autrement dit des sites factices conçus pour voler vos identifiants.

Même si la protection reste imparfaite, il est essentiel d’utiliser une boîte email dotée d’un filtrage antispam/antiphishing. La plupart des fournisseurs, à commencer par Outlook.com et Gmail, activent un filtrage par défaut. Mais, chez certains fournisseurs, il doit être manuellement activé sur la page de paramétrage de l’opérateur.

Activez les filtres URLs des navigateurs 

Pour davantage de sécurité, veillez également à ce que les protections de filtrage des navigateurs web soient actives. Si un tel filtrage manque d’intelligence, il évite néanmoins de tomber dans le piège des sites factices les plus actifs du moment.

  • Sur Microsoft Edge, cochez la case « Me protéger contre les sites et téléchargements malveillants avec Windows Defender Smartscreen » en allant dans « Paramètres Edge > Paramètres avancés ».
  • Sur Google Chrome, allez dans les « Paramètres » Chrome, cliquez sur « Afficher les paramètres avancés », et cochez la case « Assurer votre protection et celle de votre appareil contre les sites dangereux ».
  • Sur Mozilla Firefox, appelez les « Préférences », ouvrez l’onglet « Sécurité » et cochez la case « Bloquer les contenus dangereux ou trompeurs ».

Activez le pare-feu de la machine 

Autre protection clé, le pare-feu ou firewall. Les boxes Internet proposent en standard un pare-feu minimaliste qui constitue un premier écran. Mais il est également utile d’activer un pare-feu sur chaque ordinateur. Ce dernier est particulièrement essentiel lorsque, en situation de mobilité, vous vous connectez à des hot-spots WiFi publics, que ce soit dans une gare, un aéroport, un hôtel, un café, un train ou un avion.

macOS possède un pare-feu désactivé par défaut. Pour l’activer, il faut aller dans l’onglet coupe-feu des préférences de sécurité du système. À l’inverse, Windows intègre en standard un pare-feu très solide activé dès l’installation du système. Veillez cependant à ce qu’il soit toujours bien actif. Depuis l’arrivée de Windows 10 Creators Update, le système dispose d’un nouveau centre de sécurité qui facilite l’accès aux fonctions du pare-feu : appelez les « Paramètres Windows », icône « Mise à jour et sécurité », cliquez sur « Windows Defender » puis sur « Ouvrir le centre de sécurité Windows Defender » puis « Pare-feu et protection du réseau ».

Étape 2 – Mise en œuvre de la défense multicouche

Après ces étapes préliminaires qui permettent de filtrer certaines attaques courantes, il convient de se focaliser sur le cœur des défenses visant à protéger directement l’ordinateur, son système d’exploitation et les données qu’il contient.

Certes, macOS (avec XProtect) et Windows (avec Windows Defender) possèdent des protections antivirales basiques s’appuyant sur des signatures pour supprimer les menaces connues. Mais, les ordinateurs se font le plus souvent infecter par des menaces « zero day » ou inconnues des bases de signatures, soit parce qu’elles sont trop récentes, soit parce qu’elles sont tellement ciblées qu’elles se répandent sans être détectées. En outre, « une solution antivirale traditionnelle ne peut généralement agir et effectuer son analyse qu’à partir du moment où le fichier malveillant est écrit sur le disque, explique Nicolas Sterckmans. Pour renforcer la sécurité des postes, Malwarebytes a développé une protection en temps réel qui détecte et bloque les chaines d’attaques en pré-exécution. Nos technologies Endpoint Security peuvent intervenir avant même que le moindre octet s’immisce dans l’entreprise ».

Malwarebytes Endpoint Security est un ensemble de boucliers composé de Malwarebytes Anti-Exploit, Malwarebytes Anti-Malware et Malwarebytes Anti-Ransomware. Pour Nicolas Sterckmans, « Malwarebytes est le seul éditeur à proposer une solution complète avec sept couches de protection en temps réel permettant de briser la chaine d’attaques ». La mise en œuvre de cette solution illustre bien le fonctionnement et la mise en place d’une défense multicouche :

Activez l’Anti-Exploit 

Bien des menaces pénètrent les défenses en exploitant les vulnérabilités du système, du navigateur web ou des logiciels installés, dont notamment Flash, Acrobat Reader, deux voies d’entrée très exploitées. Certaines pages web infectées (ou bandeaux publicitaires infectés) exécutent du code malveillant qui recherche la présence de ces vulnérabilités. Malwarebytes Anti-Exploit constitue une première ligne de défense proche du navigateur et des logiciels afin de repérer les comportements malveillants qui cherchent à tirer profit des failles connues. « La couche anti-exploit bloque les exploits de façon proactive avant que la charge utile du malware n’ait pu être livrée. Elle enveloppe les applications et navigateurs vulnérables de quatre couches de défense afin d’offrir une protection sans faille contre toutes les attaques exploitant des vulnérabilités Zero Day », explique Nicolas Sterckmans.

En utilisant une technologie proactive qui identifie les comportements typiques d’un exploit, l’anti-exploit peut aussi protéger contre les malwares et ransomwares. « Ce composant est primordial pour aider les entreprises à limiter leur exposition face à une attaque par exploit et bloquer la livraison d’une charge utile ou un malware », ajoute Nicolas Sterckmans.

Activez le bouclier proactif Anti-Malware 

Contrairement à un antivirus classique, dont l’efficacité dépend essentiellement de la pertinence des bases de signatures, la couche anti-malware de Malwarebytes Endpoint Security utilise des règles comportementales et heuristiques pour détecter et supprimer les malwares en temps réel afin de les empêcher d’exécuter leurs actions dangereuses et malveillantes. « Ce bouclier comporte également une couche bloquante pour protéger l’utilisateur contre les sites malveillants et stopper l’accès aux serveurs de contrôle et commande afin que les ransomwares ne puissent pas obtenir les clés de chiffrement par exemple », précise Nicolas Sterckmans.

Activez la défense contre les Ransomwares 

Les ransomwares, ou rançongiciels, sont devenus l’ennemi public n°1 de la cybersécurité. Ces programmes s’installent à l’insu des utilisateurs et chiffrent leurs fichiers. En quelques minutes, tous vos documents, photos, vidéos, etc. deviennent illisibles. Pour y avoir de nouveau accès, il faut verser la somme d’argent réclamée. Les dégâts causés par ces ransomwares au capital d’informations de l’entreprise peuvent être considérables. D’autant que les plus évolués ne s’attaquent pas uniquement aux fichiers présents sur l’ordinateur, mais également aux dossiers partagés du réseau, voire aux disques sur le Cloud.

Parce que leur comportement est radicalement différent des malwares traditionnels (virus, vers, trojans, spywares, etc.), les ransomwares échappent souvent aux protections en place. D’où le rôle crucial joué par le bouclier Malwarebytes Anti-Ransomware, comme le souligne Nicolas Sterckmans : « notre module Anti-Ransomware, permet de détecter immédiatement les processus de chiffrement illégitimes et d’y mettre fin instantanément. Il contrôle constamment les points d’accès et éradique automatiquement les processus associés à l’activité de ransomwares. Il contient un moteur de détection en temps réel dédié qui n’utilise pas de signatures et n’a pas besoin de mises à jour. En outre, il se caractérise par son encombrement réduit et est compatible avec des solutions de sécurité tierces. »

Étape 3 – Analyser et remédier aux incidents

Bien évidemment, les différents boucliers qui composent Malwarebytes Endpoint Security peuvent être administrés à distance depuis une console centrale. « Elle offre un tableau de bord très clair qui permet de s’assurer du bon déploiement des boucliers à travers le réseau et fournit des rapports détaillés sur les menaces bloquées et éliminées », précise Nicolas Sterckmans.

Sachez détecter et répondre aux incidents 

Au-delà de cette vision centralisée, les entreprises doivent aussi se doter de solutions d’analyse des incidents. Elles constituent un élément à part entière d’une sécurité multicouche. « C’est pourquoi, pour les entreprises qui ne sont pas encore équipées de logiciels SIEM (NDLR Security information management system), nous lançons Malwarebytes Incident Response. C’est une solution centralisée de détection et d’assainissement des menaces pour les postes Windows et Mac qui s’administre très simplement à partir d’une console de gestion basée sur le Cloud. Directement développée depuis notre produit Malwarebytes Anti-Malware, elle offre une détection et une éradication des menaces d’un environnement sans avoir à installer d’agent supplémentaire sur le poste. »

En moyenne, il faut 240 jours à une entreprise pour détecter, investiguer et éradiquer une menace infiltrée. Les cybercriminels mettent ce délai à profit pour s’infiltrer plus profondément dans les arcanes du système d’information et dérober des gigaoctets de données. « Avec Malwarebytes Incident Response, un scan préventif ne dure que 2 minutes et supporte aussi bien Windows que macOS. » Un dispositif d’analyse forensic (Forensic Timeliner) collecte en quelques secondes les données des événements et journaux provenant de plus de 20 journaux référentiels Windows et les affiche sous forme de frise chronologique pour permettre aux équipes de sécurité de connaître les terminaux compromis, les modalités d’intrusion et la direction dans laquelle l’attaque a pu se propager.

Remédiez aux incidents 

Détecter et répondre aux incidents est une chose. Éradiquer les menaces installées en est une autre. En la matière, la réputation de Malwarebytes n’est plus à faire. Au fil du temps, le nom Malwarebytes s’est imposé comme un standard des outils de remédiation. « Notre technologie de Linking Engine permet une action curative inégalée sur le marché, rappelle Nicolas Sterckmans. Dès lors qu’un élément malveillant est détecté, notre technologie va s’assurer que celui-ci n’a plus aucune liaison avec les objets du système (DLL, Base de registre, etc.). L’élimination de ces artefacts associés à une menace installée est un point très important. Une attaque sophistiquée débute fréquemment par la détection d’éléments résiduels d’une attaque précédente à même d’offrir une porte d’entrée au système qui aurait été mal nettoyé. »

Bien entendu, quel que soit le niveau de sécurité mis en œuvre à l’aide de ces outils modernes, vous ne ferez pas l’économie de la sensibilisation des utilisateurs. Formations aux risques des courriers électroniques, des réseaux sociaux, des sites web, sans oublier les bonnes pratiques en matière de téléchargement, de gestion des pièces attachées et d’utilisation des mots de passe… La sécurité multicouche, c’est aussi une bonne dose d’utilisateurs conscients que les risques sont réels et qu’ils peuvent avoir des conséquences désastreuses.