Préconisation 2023 Pour La Sécurité Du SI

Télécharger au format pdf ou txt
Télécharger au format pdf ou txt
Vous êtes sur la page 1sur 34

💉

Mes préconisations
2023 pour la
sécurité de votre
système
d’information
Romain MARCOUX – Expert en cybersécurité – linkedin.com/in/romainmarcoux
🐱‍👤🚀
➢Le nombre de cyberattaques a fortement
augmenté en 2022, vous l’avez sûrement
constaté.
➢Ceci est notamment lié au contexte
géopolitique, mais je ne m’épancherai pas sur ce
sujet ici.
📈
• J’ai moi-même constaté, dans mon réseau, cette
augmentation, avec de nombreuses remontées
d’entreprises victimes.
• Ainsi, je vais vous partager les 6 préconisations
que je (re)donne à mes clients pour se prémunir
contre ces cyberattaques.

💡
Pourquoi ces 6 préconisations ?
• Certaines ne sont pas assez connues
• D’autres sont souvent connues mais rarement
appliquées alors qu’elles ne sont pas ou peu
contraignantes
• Elles ne sont pas ou peu coûteuses
• En anglais, on les appelle des :
C’est parti !
La nationalité des
adresses IP
Publiques
🌐
Beaucoup de cyberattaques ont pour origine
l’exposition sur Internet d’un service qui :
➢n’est pas mis à jour par la victime
➢voir qui a une vulnérabilité 0-day non encore
corrigée par l’éditeur.
• Zimbra
• Microsoft Exchange
• CVE-2022-41352
• CVE-2022-41040
• Citrix
• CVE-2022-41082
• CVE-2022-27518

Pourquoi exposer ces services sensibles sur
l’intégralité d’Internet, et donc aux
cyberattaquants du monde entier, alors que dans
la grande majorité des cas, ils n’ont besoin d’être
accédés que depuis les adresses IP françaises
des Box de vos utilisateurs ?
🛡
➢Le filtrage en source basé sur la nationalité des
adresses IP Publiques (objets « GeoIP » ou
« Geography » de votre pare-feu) permet de
réduire considérablement la surface
d’exposition de ces services.
➢Les cyberattaquants opérent quasiment
toujours depuis une adresses IP étrangère, ils ne
voient donc plus vos services.
😉
En plus, cette préconisation permet de ne plus
être listé sur les sites qui répertorient les services
exposés sur Internet comme shodan.io qui sont
très utilisés par les cyberattaquants.
Isolation logique de
votre sauvegarde
📼
Votre sauvegarde est votre dernier recours en cas
de cyberattaque.
Malheureusement, de plus en plus souvent, les
cyberattaquants cartographient le SI de leurs
victimes et suppriment les sauvegardes avant de
chiffrer les serveurs.

📼🔨😱
🛡🧱

Isoler logiquement votre sauvegarde afin que les


cyberattaquants ne puissent pas y accéder est
donc primordiale.
✔️
➢Sortir votre serveur de sauvegarde de votre
domaine Microsoft pour que le cyberattaquant
ne puisse l’atteindre après avoir compromis le
domaine.
➢Isoler votre serveur de sauvegarde dans un
VLAN dédié avec un filtrage pare-feu le plus
restrictif possible. Seules les machines
d’administration doivent pouvoir y accéder.
✔️
➢En dernier lieu, l’utilisation d’un stockage
immuable (nécessité d’achat de matériel) :
➢Lecteur de bandes magnétiques
➢Fonctionnalité spécifique de certaines baies de
stockage
Authentification
forte sur les accès
externes
🐱‍👤📧
De nombreuses cyberattaques ont pour origine
une simple compromission d’un identifiant/mot
de passe d’un utilisateur via un simple mail de
phishing/hameçonnage.
Ensuite, l’attaquant se connecte simplement à
l’accès distant (VPN, bureau à distance …) et
accède au SI.
L’authentification forte ou à multiples facteurs
est le meilleur rempart contre ce type d’attaque.
Il faut 2 facteurs parmi ces 3 :
➢quelque chose que je sais (mot de passe, schéma de
déverrouillage, signature …)
➢quelque chose que je possède (certificat électronique
sur ordinateur ou carte à puce, code à usage unique via
SMS, mail, token physique ou application mobile)
➢quelque chose que je suis (une empreinte
biométrique).

Source : Guide d’hygiène de l’ANSSI – Mesure 13


Plusieurs moyens pas ou peu onéreux permettent
de mettre en place une authentification forte sur
vos accès externes.
🔐📜
➢Authentification via certificat utilisateur
➢Coût quasiment nul si vous avez un environnement
Microsoft via le service Microsoft Radius NPS et la
PKI Microsoft ADCS
➢Coût modéré avec une PKI propriétaire comme le
FortiAuthenticator de Fortinet
➢Open Source : avec un serveur FreeRadius et une
PKI open source
➢Authentification via code à usage unique (OTP : One
Time Password) ou notification push mobile :
➢Via application mobile ou token physique
• Exemple : sur les pare-feux FortiGate, les
FortiToken sont directement configurables
• 48 € le FortiToken mobile par lot de 100 (licence perpétuelle)
• Exemple : si Microsoft 365, authentification
SAML via Microsoft Authenticator sur mobile
➢Moins sécurisé : OTP via SMS
• avec un modem SMS
• via une gateway SMS en SaaS
➢Encore moins sécurisé : OTP via email
Filtrage Web
des utilisateurs
📧🌐
Lorsqu’un utilisateur clique sur le lien d’un mail
de phishing/hameçonnage, le filtrage Web est le
meilleur moyen pour bloquer l’accès à l’URL
malicieuse.
Vous avez sûrement déjà une solution de filtrage
d’URL, sinon le moyen le plus simple est
maintenant de l’intégrer à votre pare-feu.

Mais quelles catégories d’URL bloquez-vous ?

Habituellement, on bloque les catégories de sites


malveillants : Phishing, Malware, Spam, Botnet,
Domaines récemment enregistrés ou observés …
✔️
Ce que je préconise à présent est de bloquer la
catégorie « Non catégorisé » ou « Unrated ».

Cela génère peu de faux positifs et cela permet


de bloquer tous les liens des mails de phishing qui
n’ont jamais encore été utilisés.
Cloisonner les
postes de travail
💻
Le point d’entrée de beaucoup de cyberattaques
est un poste de travail compromis
(après ouverture d’un lien ou d’une pièce jointe
d’un email de phishing).

Le poste de travail utilisateur représente donc un


vecteur d’attaque important.
🖧
Malheureusement, je vois encore trop souvent
des réseaux « à plat » avec les postes de travail :
➢Pouvant accéder sans filtrage aux serveurs
➢Pire : situé dans le même réseau que les
serveurs
✔️
Il faut donc cloisonner les postes de travail dans
un VLAN dédié avec un filtrage pare-feu le plus
restrictif possible avec le(s) VLAN serveurs afin de
réduire les possibilités de déplacement latéral de
l’attaquant.

De plus, il est facile de cloisonner les postes de


travail sachant qu’ils sont en DHCP.
Sensibiliser les
utilisateurs
👨‍💼👩‍💼
La quasi-totalité des cyberattaques ont le facteur
humain dans au moins un des maillons de la
chaîne d’attaque.

On ne le répétera jamais assez, mais sensibiliser


ses utilisateurs restent une préconisation
essentielle.
✔️
Les méthodes permettant de sensibiliser ses
utilisateurs et de mesurer ce niveau de
sensibilisation restent classiques :
➢Emails de sensibilisation
➢Formation en e-learning ou en réunion
➢Campagne de tests de phishing
C’est terminé ! A vous de jouer !
💬
Et réagissez dans les
commentaires si vous avez des
questions ou remarques !
Romain MARCOUX – Expert en cybersécurité – linkedin.com/in/romainmarcoux

Vous aimerez peut-être aussi