Trace Id is missing

Une cyberhygiène de base permet d’éviter 99 % des attaques

Partager
Ordinateur et téléphone sur une surface bleue

À l’ère du numérique, les entreprises dépendent de plus en plus de la technologie et des systèmes en ligne pour mener leurs activités. Il est donc essentiel de respecter les normes minimales en matière de cyberhygiène pour se protéger contre les cybermenaces, minimiser les risques et assurer la viabilité de l’entreprise.

L’hygiène de sécurité de base protège toujours contre 98 % des attaques.1

Graphique de courbe en cloche de la cyberhygiène tirée du Rapport de défense numérique Microsoft (MDDR) de 2022

Normes minimales que chaque organisation devrait adopter :

  • Exiger une authentification multifactorielle (MFA) capable de déjouer les tentatives d’hameçonnage
  • Appliquer les principes de Confiance Zéro
  • Utiliser des logiciels anti-programme malveillant modernes
  • Maintenir les systèmes à jour
  • Protéger les données

Vous voulez réduire les attaques sur vos comptes ? Activez la MFA. L’authentification multifactorielle, comme son nom l’indique, nécessite au moins deux facteurs de vérification. La compromission de plus d’un facteur d’authentification représente un défi important pour les attaquants, car il ne suffit pas de connaître (ou de pirater) un mot de passe pour accéder à un système. En activant la MFA, vous pouvez empêcher 99,9 % des attaques sur vos comptes.2

Simplifiez l’utilisation de la MFA

Même si, de par son nom, l’authentification multifactorielle comporte des étapes supplémentaires, vous devez essayer de choisir une option de MFA la plus fluide possible (comme l’utilisation de la biométrie dans les appareils ou des facteurs conformes à FIDO2 tels que les clés de sécurité Feitian ou Yubico) pour vos employés.

Évitez que la MFA ne soit trop contraignante.

Choisissez la MFA lorsqu’une authentification supplémentaire peut contribuer à protéger les données sensibles et les systèmes critiques, plutôt que de l’appliquer à chaque interaction.

La MFA ne doit pas être un défi pour les utilisateurs finaux. Utilisez des politiques d’accès conditionnel, qui permettent de déclencher la vérification en deux étapes en fonction des détections de risque, ainsi que l’authentification directe et l’authentification unique (SSO). Ainsi, les utilisateurs finaux n’ont pas à subir de multiples séquences d’authentification pour accéder à des partages de fichiers ou à des calendriers non critiques sur le réseau de l’entreprise lorsque leurs appareils disposent des dernières mises à jour logicielles. Les utilisateurs n’auront pas non plus à réinitialiser leur mot de passe après 90 jours, ce qui améliorera considérablement leur expérience.

Attaques par hameçonnage courantes

Dans une attaque par hameçonnage, les criminels utilisent des tactiques de piratage psychologique pour inciter les utilisateurs à fournir des identifiants d’accès ou à révéler des informations sensibles. Voici les attaques par hameçonnage courantes :

Image décrivant les attaques par hameçonnage les plus courantes (e-mail, injection de contenu, manipulation de liens, harponnage et intercepteur)

Le modèle Confiance Zéro est la pierre angulaire de tout plan de résilience limitant l’impact sur une organisation. Un modèle de Confiance Zéro est une approche proactive et intégrée de la sécurité à travers toutes les couches de l’infrastructure numérique qui vérifie explicitement et continuellement chaque transaction, applique le droit d’accès minimal et s’appuie sur les renseignements, la détection anticipée et la réponse en temps réel aux menaces.

Lorsque vous adoptez une approche de Confiance Zéro,vous pouvez :
  • Faciliter le télétravail et le travail hybride
  • Aider à prévenir ou à réduire les dommages causés à l’entreprise par une violation
  • Identifier et aider à protéger les données et les identités sensibles des entreprises
  • Renforcer la confiance dans l’état et les programmes de sécurité au sein de votre équipe de direction, de vos employés, de vos partenaires, de vos parties prenantes et de vos clients
Voici les principes de Confiance Zéro :
  • Supposition d’une violation de la sécurité  Partez du principe que les attaquants peuvent et vont réussir à attaquer n’importe quoi (identité, réseau, appareil, application, infrastructure, etc.). Cela signifie qu’il faut analyser en permanence l’environnement pour détecter toute attaque éventuelle.
  • Vérification explicite Assurez-vous que les utilisateurs et les appareils sont en bon état avant d’autoriser l’accès aux ressources. Protégez les ressources contre le contrôle des attaquants en veillant explicitement à ce que toutes les décisions relatives à la confiance et à la sécurité s’appuient sur les informations et les données télémétriques pertinentes disponibles.
  • Utilisation du droit d’accès minimal Limitez l’accès à une ressource potentiellement compromise grâce à un accès juste-à-temps et juste suffisant (JIT/JEA) et à des politiques basées sur le risque, comme le contrôle d’accès adaptatif. Vous ne devez autoriser que le privilège nécessaire à l’accès à une ressource, rien de plus.

Couches de sécurité de Confiance Zéro

Capture d’écran d’un écran d’ordinateur

Trop de sécurité, c’est possible !

Trop de sécurité, c’est-à-dire une sécurité qui semble trop restrictive pour les utilisateurs quotidiens, peut conduire au même résultat que l’absence de sécurité : plus de risques.

Des processus de sécurité stricts peuvent empêcher les personnes de faire leur travail. Pire encore, ils peuvent inciter les employés à trouver des solutions créatives de type informatique fantôme. Ils sont alors encouragés à contourner entièrement la sécurité à l’aide, parfois, de leurs propres appareils, adresses e-mail et espaces de stockage, et à utiliser des systèmes qui (ironiquement) sont moins sûrs et présentent un risque plus élevé pour l’entreprise.

Utilisez la détection et la réponse étendues (XDR) et des logiciels anti-programme malveillant. Implémentez des logiciels pour détecter et bloquer automatiquement les attaques, et fournir des informations aux opérations de sécurité.

Il est essentiel de surveiller les informations fournies par les systèmes de détection des menaces pour pouvoir réagir à temps aux menaces.

Meilleures pratiques en matière d’automatisation et d’orchestration de la sécurité

Déplacer autant que possible le travail vers vos détecteurs

Sélectionnez et déployez des capteurs qui automatisent, mettent en corrélation et relient leurs résultats avant de les envoyer à un analyste.

Automatiser la collecte d’alertes

L’analyste des opérations de sécurité doit disposer de tout ce dont il a besoin pour trier les alertes et y répondre sans avoir à collecter d’autres informations, par exemple en interrogeant des systèmes qui peuvent ou non être hors ligne ou en collectant des informations à partir de sources supplémentaires telles que des systèmes de gestion des ressources ou des appareils réseau.

Automatiser la hiérarchisation des alertes

L’analyse en temps réel doit être exploitée pour classer les événements par ordre de priorité en fonction des flux de veille des menaces, des informations sur les ressources et des indicateurs d’attaque. Les analystes et les personnes chargées de répondre aux incidents doivent se concentrer sur les alertes les plus graves.

Automatiser les tâches et les processus

Ciblez d’abord les processus administratifs courants, répétitifs et chronophages et normalisez les procédures de réponse. Une fois la réponse normalisée, automatisez le flux de travail de l’analyste des opérations de sécurité afin de supprimer toute intervention humaine, dans la mesure du possible, pour qu’il puisse se concentrer sur des tâches plus critiques.

Amélioration continue

Surveillez les mesures clés et réglez vos capteurs et vos flux de travail pour apporter des changements incrémentiels.

Aidez à protéger, détecter et à réagir aux menaces

Défendez-vous contre les menaces dans toutes les charges de travail en tirant parti de capacités complètes de prévention, de détection et de réponse grâce à des fonctionnalités intégrées de détection et de réponse étendues (XDR), et de gestion des informations et des événements de sécurité (SIEM).

Accès à distance

Les attaquants ciblent fréquemment les solutions d’accès à distance (RDP, VDI, VPN, etc.) pour pénétrer dans un environnement et mener des opérations continues afin d’endommager les ressources internes.
Pour empêcher l’intrusion des attaquants, vous devez :
  • Effectuer les mises à jour des logiciels et des appareils
  • Appliquer la validation Confiance Zéro des utilisateurs et des appareils
  • Configurer la sécurité pour les solutions VPN tierces
  • Publier des applications web localement

E-mail et logiciel de collaboration

Une autre tactique courante pour pénétrer dans les environnements consiste à transférer du contenu malveillant par e-mail ou via des outils de partage de fichiers, puis à convaincre les utilisateurs de l’exécuter.
Pour empêcher l’intrusion des attaquants, vous devez :
  • Implémenter une sécurité avancée des e-mails
  • Appliquer des règles de réduction de la surface d’attaque pour bloquer les techniques d’attaque courantes
  • Rechercher des menaces de type macro dans les pièces jointes

Points de terminaison

Les points de terminaison exposés à Internet sont un vecteur d’entrée de choix, car ils permettent aux attaquants d’accéder aux ressources d’une organisation.
Pour empêcher l’intrusion des attaquants, vous devez :
  • Bloquer les menaces connues grâce à des règles de réduction de la surface d’attaque qui ciblent certains comportements logiciels, tels que le lancement de fichiers exécutables et de scripts qui tentent de télécharger ou d’exécuter des fichiers, l’exécution de scripts obfusqués ou autrement suspects, ou des comportements que les applications ne déclenchent pas habituellement dans le cadre de leur travail quotidien normal.
  • Effectuer les mises à jour et la prise en charge de votre logiciel
  • Isoler, désactiver ou mettre hors service les systèmes et protocoles non sécurisés
  • Bloquer le trafic inattendu à l’aide de pare-feu et de défenses réseau basés sur l’hôte

Maintenir une vigilance constante

Utilisez les approches XDR et SIEM intégrées pour fournir des alertes de haute qualité et minimiser les frictions et les étapes manuelles lors de la réponse.

Mettre un terme aux systèmes existants

Les anciens systèmes dépourvus de contrôles de sécurité tels que les antivirus et les solutions PEPT peuvent permettre aux attaquants d’exécuter toute la chaîne d’attaque de ransomware et d’exfiltration à partir d’un seul système.

S’il n’est pas possible de configurer vos outils de sécurité sur l’ancien système, vous devez isoler le système physiquement (par un pare-feu) ou logiquement (en supprimant le chevauchement des informations d’identification avec d’autres systèmes).

Contrôler les logiciels malveillants génériques

Les ransomwares automatisés classiques ne sont peut-être pas aussi sophistiqués que les attaques de type « hands-on-keyboard », mais ils n’en sont pas moins dangereux pour autant.

Surveiller la désactivation de la sécurité par l’adversaire

Surveillez votre environnement pour détecter toute désactivation de la sécurité par l’adversaire (qui fait souvent partie d’une chaîne d’attaque), comme l’effacement des journaux des événements, en particulier le journal des événements de sécurité et les journaux opérationnels PowerShell, et la désactivation d’outils et de contrôles de sécurité (associés à certains groupes).

Les systèmes non corrigés et obsolètes sont l’une des principales raisons pour lesquelles de nombreuses organisations sont victimes d’une attaque. Veillez à ce que tous les systèmes soient maintenus à jour, y compris les microprogrammes, le système d’exploitation et les applications.

Meilleures pratiques
  • Veillez à la robustesse des appareils en appliquant des correctifs, en modifiant les mots de passe par défaut et en utilisant par défaut les ports SSH.
  • Réduisez la surface d’attaque en éliminant les connexions Internet et les ports ouverts inutiles, en restreignant l’accès à distance de ports bloquants, en interdisant l’accès à distance et en utilisant des services VPN.
  • Utilisez une solution NDR (détection et réponse du réseau) et une solution SIEM (gestion des informations et des événements de sécurité) et une solution SOAR (Security Orchestration, Automation and Response) compatibles avec l’Internet des objets et la technologie opérationnelle (IoT/OT) pour identifier les comportements anormaux ou non autorisés sur les appareils (par exemple, communication avec des hôtes inconnus).
  • Segmentez les réseaux afin de limiter la possibilité pour les attaquants de progresser latéralement et de compromettre des ressources suite à une intrusion initiale. Les appareils IoT et les réseaux OT doivent être isolés des réseaux informatiques d’entreprise à l’aide de pare-feu.
  • Veillez à ce que les protocoles ICS ne soient pas exposés directement sur Internet.
  • Visualisez mieux les appareils IoT/OT présents sur votre réseau et classez-les selon leur niveau de risque pour l’entreprise s’ils venaient à être compromis.
  • Utilisez des outils d’analyse des microprogrammes pour cerner les faiblesses de sécurité potentielles et collaborez avec les fournisseurs pour identifier des mesures d’atténuation des risques pour les appareils à haut risque.
  • Influencez positivement la sécurité des appareils IoT/OT en exigeant de vos fournisseurs qu’ils adoptent les meilleures pratiques du cycle de vie du développement sécurisé.
  • Évitez de transférer des fichiers qui contiennent des définitions de système via des canaux non sécurisés, ou auprès de collaborateurs non essentiels.
  • Si vous ne pouvez pas l’éviter, veillez à surveiller l’activité sur le réseau et vous assurer de la sécurité des ressources.
  • Protégez vos stations d’ingénierie en les surveillant à l’aide de solutions EDR.
  • Organisez une réponse proactive aux incidents pour les réseaux OT.
  • Déployez une surveillance continue avec des solutions telles que Microsoft Defender pour IoT.

Pour mettre en œuvre la protection appropriée, il est essentiel de connaître ses données importantes, de savoir où elles se trouvent et de savoir si les bons systèmes sont mis en œuvre.

Les défis en matière de sécurité des données sont les suivants :
  • Réduction et gestion du risque d’erreurs des utilisateurs
  • Difficulté de classifier manuellement les utilisateurs à grande échelle
  • Protection des données en dehors du réseau
  • Stratégie complète nécessaire à la conformité et à la sécurité
  • Réponse à des exigences de conformité de plus en plus strictes
Les 5 piliers d’une approche de défense en profondeur de la sécurité des données
Les espaces de travail hybrides d’aujourd’hui exigent que les données soient accessibles depuis plusieurs appareils, applications et services dans le monde entier. Avec autant de plateformes et de points d’accès, vous devez disposer de protections solides contre le vol et la fuite de données. Dans l’environnement actuel, une approche de défense en profondeur offre la meilleure protection pour renforcer la sécurité de vos données. Cette stratégie comporte cinq éléments, qui peuvent tous être mis en œuvre dans l’ordre qui convient aux besoins particuliers de votre organisation et aux éventuelles exigences réglementaires.
  • Identifier le paysage de données
    Avant de pouvoir protéger vos données sensibles, vous devez savoir où elles se trouvent et comment y accéder. Cela nécessite une visibilité complète de l’ensemble de votre infrastructure de données locale, hybride ou multicloud.
  • Protéger les données sensibles Outre la création d’une carte holistique, vous devrez protéger vos données, tant au repos qu’en transit. C’est là que la classification et l’étiquetage précis de vos données entrent en jeu, afin que vous puissiez savoir comment elles sont consultées, stockées et partagées. Un suivi précis des données permet d’éviter qu’elles ne soient soumises à des fuites et des violations.
  • Gérer les risques Même si vos données sont cartographiées et étiquetées correctement, vous devrez tenir compte du contexte des utilisateurs autour des données et des activités susceptibles d’entraîner des incidents potentiels en matière de sécurité des données, ce qui inclut les menaces internes. La meilleure approche pour lutter contre le risque interne consiste à réunir les personnes, les processus, la formation et les outils adéquats.
  • Prévenir les pertes de données N’oubliez pas l’utilisation non autorisée des données : il s’agit également d’une perte. Une solution efficace de protection contre la perte de données doit trouver un équilibre entre protection et productivité. Il est essentiel de s’assurer que les contrôles d’accès pertinents sont en place et que des politiques sont définies pour empêcher des actions telles que l’enregistrement, le stockage ou l’impression inappropriés de données sensibles.
  • Contrôler le cycle de vie des données À mesure que la gouvernance des données évolue et que les équipes commerciales deviennent les gestionnaires de leurs propres données, il est important que les organisations créent une approche unifiée dans l’ensemble de l’entreprise. Ce type de gestion proactive du cycle de vie permet d’améliorer la sécurité des données et de garantir que les données sont démocratisées de manière responsable pour l’utilisateur, là où elles peuvent générer de la valeur commerciale.

Bien que les acteurs de la menace continuent d’évoluer et de devenir plus sophistiqués, un truisme de la cybersécurité mérite d’être répété : Une hygiène de base en matière de cybersécurité, à travers l’activation de la MFA, l’application des principes de Confiance Zéro, les mises à jour, l’utilisation de logiciels anti-programme malveillant modernes et la protection des données, permet d’éviter 98 % des attaques.

Il est essentiel de respecter les normes minimales d’hygiène en matière de cybersécurité pour pouvoir se protéger contre les cybermenaces, minimiser les risques et assurer la viabilité de votre organisation.

Articles connexes

Augmentation de 61 % des attaques par hameçonnage. Maîtriser la surface d’attaque moderne.

Face à une surface d’attaque de plus en plus complexe, les entreprises doivent mettre en place un état de sécurité complet. Avec six secteurs majeurs de la surface d’attaque, ce rapport vous montrera comment une bonne veille des menaces peut contribuer à faire pencher la balance en faveur des défenseurs.
En savoir plus

Le cybercrime en tant que service (CaaS) est à l’origine d’une augmentation de 38 % de la fraude en lien avec la messagerie professionnelle.

Les attaques par compromission de messagerie d’entreprise (BEC) sont de plus en plus fréquentes depuis que les cybercriminels ont la capacité de dissimuler la source de leurs attaques pour se montrer encore plus malveillants. Découvrez la CaaS et comment protéger votre organisation.
En savoir plus

Sécurité axée sur le cloud : comment les principaux RSSI comblent les lacunes en matière de couverture

Les RSSI font part de l’évolution des priorités en matière de sécurité à mesure que leurs organisations passent à des modèles axés sur le cloud et des défis liés à l’intégration de l’ensemble de leur patrimoine numérique.
En savoir plus

Suivez Microsoft