Dans les entreprises, la majorité des cadres redoutent une attaque de type viral ou autre. Face à leur désarroi, il convient de revenir aux bonnes pratiques et de se fier à de nouveaux outils et méthodes.
Une étude d’OBS (Orange Business Services) publiée en janvier 2017, menée auprès de 200 cadres dirigeants d’entreprises du CAC 40 a révélé que 56 % d’entre eux craignaient d’être victimes d’une infection par un logiciel malveillant, et que 54 % redoutaient la destruction ou l’altération d’informations. Lorsqu’on leur demande quelles attaques ils appréhendent, le virus arrive en tête avec 33 % de réponses, suivi par le ransomware avec 25 % de réponses. Bref, la cybersécurité est enfin prise au sérieux. Mais par quel bout prendre le problème ?
Mettez à jour vos logiciels
Jérôme Segura, chercheur en sécurité chez Malwarebytes, explique que « la plupart des attaques utilisent un exploit déjà patché. L’attaque réussit à se propager auprès de tous ceux qui n’ont pas encore installé le correctif. » Et il ajoute : « Lorsque les contraintes d’exploitation, les problèmes d’adhérence freinent le passage des correctifs, l’entreprise peut mettre en place un patch virtuel, qui protège les applications en amont, même si le passage du correctif n’a pas pu être réalisé sur les applications. Par exemple, avec WannaCry, la fermeture des ports 445, 139 et 3389 par un firewall suffisait à empêcher les dégâts. »
Entraînez vos utilisateurs
Au-delà d’une nécessaire sensibilisation des utilisateurs sur les bonnes pratiques, la mise en place d’exercices en situation réelle permet de garder dans le temps une attitude proactive. Il est très simple, et finalement peu coûteux, de faire des simulations en grandeur nature auprès des utilisateurs avec par exemple des tentatives de phishing, ou des simulations d’arnaque auprès de la direction.
Limitez les droits d’accès inutiles
Pour éviter la propagation d’un ransomware de serveur de fichiers en serveur de fichiers, Jérôme Ségura propose de « n’autoriser l’accès à des ressources que lorsque l’utilisateur en a réellement besoin, en fonction du poste qu’il ou elle occupe. De plus, les RSI doivent contrôler les autorisations d’ouverture de fichier. Les spams d’aujourd’hui se servent davantage de JavaScript, de fichiers .BAT ou .SCR que de banals .EXE. Un utilisateur lambda n’est pas supposé activer des fichiers .BAT ou .SCR. »
Utilisez des méthodes d’authentification à 2 facteurs
Avec une authentification renforcée, pour mémoire, l’utilisateur doit fournir deux éléments (par exemple un mot de passe, puis un code qui lui a été envoyé par SMS) avant d’accéder à la ressource souhaitée. Jérôme Segura reconnait préférer les jetons d’authentification physiques (ou ‘tokens’) plutôt que les SMS « qui ont montré leurs limites en matière de sécurité ».
Gérez votre flotte de terminaux mobiles
Qui dit terminal mobile dit risque de perte ou de vol, qu’il s’agisse d’un PC portable ou d’un smartphone. Dans un cas comme dans l’autre, l’ANSSI suggère de disposer d’un logiciel de type MDM (Mobile Device Management) qui permet, entre autres avantages, d’effacer à distance les données de l’équipement perdu ou volé, ou tout simplement lors de sa réaffectation, ou de sa mise au rebut.
Sauvegardez régulièrement vos données
Tout le monde sait qu’il faut sauvegarder ses données, mais on ne le fait pas systématiquement pour autant… Rien de tel qu’un processus automatisé qui lancera la sauvegarde sur un support externe au périphérique. Clé USB, serveur de sauvegarde ‘on premise’, sauvegarde dans le Cloud : chaque solution a ses avantages et ses inconvénients, et peut servir diverses classes de données à sauvegarder. L’ANSSI répète : « Le stockage amovible ainsi que le stockage interne du terminal doivent être chiffrés par l’utilisation d’une solution de chiffrement robuste. » Les plus précautionneux iront même jusqu’à doubler les sauvegardes.
Pour résumer, cette liste est loin d’être exhaustive, et chacun pourra y ajouter des propositions complémentaires. Mais, quoi qu’il en soit, l’important n’est pas tant de donner des conseils que de les appliquer, et de s’assurer fréquemment de leur bonne mise en œuvre !
