Comment se protéger en cette période de crise COVID-19 ?

Pour faire suite à mon article sur les cyberattaques qui surfent sur le thème du COVID-19, je vous propose ci-dessous une liste, non-exhaustive, des mesures de sécurité à prendre en compte afin de faire face à ces cyberattaques.

Ces mesures sont basées sur le principe de défense en profondeur qui consiste à multiplier les barrières de protection afin de réduire le niveau de risque global et de ralentir les pirates le temps nécessaire de  les détecter et les neutraliser.

Il est recommandé de décliner ces mesures en fonction de votre contexte et de les compléter avec d’autres mesures spécifiques à votre organisation en utilisant une approche orientée risque. 

1- Sensibilisation des salariés :

La première mesure à mettre en place, si ce n’est pas encore fait, consiste à envoyer une communication à l’ensemble des salariés afin de :

• Expliquer les risques sécurité ainsi que les techniques d’intrusion qui utilisent le thème du COVID-19 ;
• Présenter les moyens d’accès distant mis à disposition par l’organisation ;
• Rappeler les bonnes pratiques de sécurité, notamment ceux liées au télétravail. 

Ci-dessous des exemples de messages qui peuvent être utilisés : 

• Faire attention aux e-mails de phishing sur le thème du COVID-19.
• Utiliser les sources officielles pour suivre l’épidémie ainsi que pour télécharger l’attestation de déplacement dérogatoire ;
• Ne jamais ouvrir un document sur le thème COVID-19 (Fichier Zip, PDF, Word, Excel, etc.) et ne jamais activer les macros des documents qui proviennent d’internet ;
• Ne pas installer les applications mobiles sur le thème du COVID-19 ;
• Faire attention aux SMS qui vous incitent à cliquer sur un lien ou à ouvrir un document sur le thème du COVID-19 ;
• Eviter l’utilisation du ShadowIT : L’utilisation d’outil non mis à disposition par le service informatique expose les données de l’entreprise à des risques de compromission (Outil collaboratif, Outil de visio-conférence, Partage des fichiers volumineux, Scan de document, Modification des fichiers PDF en ligne, etc.).
• En cas de besoin d’un outil, les salariés doivent avoir le réflexe de contacter la DSI ;
• Dans le cas ou des outils de visio-conférence publiques sont utilisés, éviter de partager des documents sensibles sur l’écran. Ces outils peuvent potentiellement enregistrer les données partagées ce qui expose les informations sensibles de l’entreprise à des risques de compromission ;
• Appliquer une politique du bureau propre (Ne pas laisser trainer des documents sensibles sans protection à l’intérieur de la maison) ;
• Appliquer une politique d’écran vide, notamment en cas de présence de visiteur (Penser notamment à verrouiller la session) ;
• Eviter dans la mesure du possible, l’utilisation des équipements personnels pour les accès distants (BYOD) ;
• Eviter l’utilisation des clés USB personnelles ou à minima procéder à une analyse anti-virus avant utilisation ;
• Eviter l’utilisation des postes de travail professionnels pour des besoins personnels (Regarder des films en streaming, Consulter les réseaux sociaux, etc.)
• Installer les mises à jour de sécurité et surtout penser à redémarrer les postes de travail ;
• Notifier le service informatique en cas de perte ou de vol d’un poste de travail ;
• Profiter du confinement pour sensibiliser tous les membres de la famille aux risques et enjeux de la cybersécurité J (https://www.securitytuesday.com/wp-content/uploads/2018/10/ISSA.Cahier.SecNum777.pdf).

2- Auditer les accès distants et tout autre service exposé sur internet

Les services exposés sur internet doivent être protégés conformément à l’état de l’art et aux bonnes pratiques de sécurité.

Le but étant de réagir rapidement afin de sécuriser les services exposés. Vous n’aurez donc pas le temps de faire appel à des auditeurs ou pentesteurs externes afin de réaliser ces audits. Il faut privilégier des actions Quick Win en utilisant au maximum vos ressources internes : 

• Prévoir un créneau dès que possible pour l’équipe Système & Réseau afin de réaliser un audit de configuration et une revue des règles du Pare-feu publique ;
• Ne pas exposé directement les services internes (RDP, SSH, HTTPs) sur internet. Une protection par VPN doit être privilégiée ;
• Utiliser un outil de scan de vulnérabilité sur les services exposés sur internet afin de détecter et corriger les vulnérabilités publiques.
• Pour cela, je vous recommande d’utiliser les versions d’essai, gratuites, des scanneurs de vulnérabilités. C’est largement suffisant en cette période de crise.

3- Protéger les accès VPN :

Les accès VPN vont être massivement utilisés pour faciliter le télétravail des salariés. Il est donc fortement recommandé de sécuriser ces accès en appliquant, à minima, les mesures suivantes : 

• Déployer un VPN avec authentification forte si possible. A minima, utiliser des mots de passe plus complexes que d’habitude ;
• Prévoir une période de maintenance (et donc une indisponibilité des services) pour le déploiement des patchs de sécurité ;
• Surveiller le service VPN et prévoir une stratégie de limitation de la bande passante pour privilégier les utilisateurs ayant des accès critiques, notamment les administrateurs informatique ;
• Vérifier que les certificats SSL/TLS sont valides pour la durée du confinement et prévoir une procédure de renouvellement en cas d’expiration.

4- Surveiller les logs pour détecter les tentatives d’intrusion :

Une stratégie de détection des tentatives d’intrusion doit être mise en place :  

• Contrôler les journaux d’accès aux services exposés (VPN, SSH, RDP, FTP, SFTP, HTTPs, etc.) ;
• Analyser les alertes de détection remontées par les équipements de sécurité (Pare-feu, Sonde, Antivirus, Protection anti-phishing, etc.).

5- Contrôler les sauvegardes :

S’assurer que les sauvegardes sont effectuées correctement et qu’une version hors ligne est disponible. A minima, pour les périmètres critiques.

Il est également recommandé de prévoir un test de restauration des données dans la mesure du possible.

6- Déployer les mises à jour de sécurité :

Mettre en place une stratégie de déploiement à distance des mises à jour de sécurité au niveau des postes de travail en télétravail. En cas de déploiement centralisé, il est recommandé de prendre en compte la bande passante et l’encapsulation VPN.

7- Ligne téléphonique DSI :

Mettre en place un canal de notification permettant aux salariés de déclarer tout incident de sécurité même en cas de perte du poste de travail ou de la connexion : 

• Mise en place d’une ligne téléphonique dédiée ;
• Prendre en compte les demandes des salariés relatives aux outillages ;
• Traiter les incidents de sécurité ;
• Prévoir plusieurs niveaux de support afin de ne pas saturer le service informatique.

8- Administration à distance des postes de travail :

Une solution d’administration à distance des postes de travail doit être déployée dans le cas où l’administrateur ainsi que le salarié sont en télétravail. Notamment  lorsque les postes ne sont pas accessibles depuis le VPN. Cette solution doit :

• Permettre au salarié de valider l’accès à son poste de travail ;
• Etre facile à mettre en place ;
• Utiliser des comptes nominatifs pour les administrateurs ;
• Utiliser un mécanisme d’authentification robuste ;
• Sécuriser l’élévation de privilège sur le poste de travail.

9- Limiter les accès des prestataires :

En cette période de crise, il est fortement recommandé de limiter l’accès des prestataires au stricte nécessaire. Ces accès peuvent être utilisés comme point d’entrée vers le SI de l’entreprise (Supply Chain Attaque).

10- Surveiller la bande passante :

Surveiller l’utilisation des services afin de détecter les montées en charge et la saturation des lignes réseaux. Une stratégie de priorisation des flux critiques doit être formalisée et partagée avec le métier et la direction.