Les 10 plus grandes menaces pour la sécurité des données des PME
Transcription
Les 10 plus grandes menaces pour la sécurité des données des PME
Les 10 plus grandes menaces pour la sécurité des données des PME Cet article est extrait du livre blanc « Les 10 plus grandes menaces pour la sécurité des données des PME (et ce qu’il faut faire) », rédigé par Scott Pinzon, CISSP, membre de l’équipe LiveSecurity® de WatchGuard®. Ce résumé présente les dix menaces principales et une contremesure pour chacune d’elles. Pour en savoir plus sur la façon dont nous avons sélectionné ces menaces, le type de réseau auquel nous nous adressons et les deux contre-mesures supplémentaires que nous vous proposons au minimum pour chacune d’elles, téléchargez gratuitement le livre blanc complet sur www.watchguard.com/whitepapers. Il est difficile de trouver des rapports précis, basés sur la réalité, sur ce que représente réellement la menace pour la sécurité des réseaux dans une entreprise moyenne. Depuis 1999, l’équipe WatchGuard LiveSecurity surveille tous les jours les menaces émergentes pour la sécurité des réseaux, en s’attachant plus particulièrement aux problèmes qui affectent les PME. Quand nous décelons une menace susceptible d’avoir des répercussions néfastes sur les PME, nous alertons nos abonnés par e-mail. Comme ceux-ci sont des professionnels de l’informatique qui sont débordés de travail et manquent de temps, nous les avertissons uniquement quand nous savons qu’une attaque n’est pas seulement possible, mais probable. Cet accent mis sur la situation des entreprises et la praticité fait la différence de notre service. De plus, cette approche est constamment affinée par l’apport de dizaines de milliers d’abonnés et de groupes de discussion, ainsi que par des déplacements sur le terrain sur les sites de clients et des sessions informelles sur la sécurité. Résultat : ce livre blanc répertorie les 10 principaux vecteurs de corruption des données d’après notre expérience en tant qu’analystes de la sécurité des PME. Nous proposons également des techniques pratiques et des défenses pour contrecarrer chacun de ces vecteurs. Menace n°10 : attaques d’initiés L’équipe de Réponse aux intrusions de Verizon, qui a étudié plus de 500 intrusions en 4 ans, attribue 18 % d’entre elles à des initiés malveillants. Sur ces 18 %, près de la moitié provient du personnel lui-même. 1 Mettez en place le principe du double contrôle. La mise en œuvre d’un double contrôle signifie que, pour chaque ressource principale, vous avez une solution de repli. Par exemple, vous pouvez choisir d’avoir un seul technicien, qui sera principalement responsable de la configuration de vos serveurs Web et SMTP, mais les identifiants de ces serveurs devront être connus ou mis à la disposition d’au moins une autre personne. Menace n°9 : manque de prévoyance Les entreprises qui se targuent d’être « flexibles » et « promptes à réagir » gagnent souvent du temps en abandonnant la standardisation, les processus matures et les plans d’urgence. 1 Résumé sur http://www.infosectoday.com/Articles/2008_Data_Breach_Investigations_Report.htm. Pour obtenir un rapport en format PDF, consultez le site http://www.verizonbusiness.com/resources/security/databreachreport.pdf. WatchGuard Technologies www.watchguard.com Nombre de PME se sont rendu compte qu’une défaillance ou une altération sérieuse des données peut avoir des conséquences désastreuses s’il n’y a pas de plan de continuité de l'activité, plan de récupération après un désastre, principes de réponse aux intrusions ou système de secours à jour à partir desquels restaurer les données, ou encore un stockage hors site. Remédier à l’absence de plan Si vous avez le budget pour cela, recrutez un expert pour vous aider à développer de solides méthodologies afin de protéger vos informations. Sinon, profitez du bon travail effectué par les autres et adaptez-le à votre entreprise. Le Projet de règles de sécurité SANS, par exemple, propose des modèles gratuits et d’autres ressources qui peuvent vous aider à rédiger vos propres règles. Pour en savoir plus, consultez le site http://www.sans.org/resources/policies/. Menace n°8 : mauvaise configuration aboutissant à une altération des données Les PME inexpérimentées ou manquant de fonds installent souvent des routeurs, des commutateurs et d’autres dispositifs de réseau, sans se faire aider par quelqu’un au fait des ramifications de chacun d’entre eux en termes de sécurité. Dans ce scénario, un amateur de la mise en réseau se contentera généralement de réussir à envoyer et recevoir les données. Il ne sait pas qu’il faut changer les noms d’utilisateur et mots de passe par défaut du fabricant. Remédier aux mauvais choix de configuration Exécutez un scan automatique pour contrôler la vulnérabilité. Si vous ne pouvez vous permettre de recruter les services d’un consultant, vous pouvez quand même effectuer un scan automatique de votre réseau. Il y a sur le marché de nombreux produits de « gestion de la vulnérabilité » à tous les prix. L’utilisation régulière de ces scans doit faire partie de la maintenance routinière de votre réseau. Menace n°7 : utilisation imprudente des réseaux et bornes dans les hôtels Tout le monde sait que les réseaux des hôtels sont infestés de virus, vers, spywares et malware, et sont souvent gérés avec de mauvaises pratiques générales de sécurité. Les bornes publiques sont un endroit rêvé pour le pirate qui veut installer un enregistreur de frappe (keylogger) et voir ce qui tombe dans son filet. Les portables non équipés d’un pare-feu, d’un antivirus et d’un antispyware individuels peuvent faire l’objet d’attaques pendant des déplacements. Les défenses traditionnelles peuvent s’avérer inutiles si l’utilisateur contourne littéralement le pare-feu de la passerelle avec son portable et se connecte depuis la zone de confiance. Réduire l’utilisation imprudente des réseaux d’hôtels Élaborez et faites appliquer une règle interdisant à votre personnel de désactiver les protections. Selon une étude demandée par Fiberlink, 1 professionnel « nomade » sur 4 avoue avoir modifié ou désactivé les paramètres de sécurité de son ordinateur portable. La règle à imposer est que les membres du personnel ne doivent jamais désactiver les protections, sauf s’ils vous appellent et obtiennent votre autorisation. La plupart des solutions antivirus courantes peuvent être configurées de façon à ce qu’il soit impossible de les désactiver, même par un utilisateur ayant les privilèges d’un administrateur local ; assurez-vous d’avoir ce type de fonctions dans votre solution actuelle. Menace n°6 : utilisation imprudente de bornes Wi-Fi Les bornes d’accès public sans fil présentent les mêmes risques que les réseaux d’hôtels et d’autres réseaux. Les pirates installent généralement un point d’accès sans fil non sécurisé qui se présente comme une « Borne Wi-Fi d’accès public ». Ensuite ils attendent que des professionnels « nomades » en quête d’une connexion l’utilisent. Avec un analyseur de trames, www.watchguard.com page 2 le pirate peut voir tout ce que tape la personne, y compris les identifiants. Cette attaque est particulièrement fourbe parce que le pirate extrait les données de façon inaperçue, en ne laissant absolument aucune trace sur l’ordinateur qui en est victime. Réduire l’utilisation imprudente du Wi-Fi Recommandez à vos utilisateurs de choisir systématiquement des connexions encryptées. Demandez-leur de se connecter via un réseau privé virtuel (VPN). Ceci encrypte le flux de données. Par conséquent, si des oreilles indiscrètes écoutent via un réseau sans fil, elles ne recevront que du charabia. Menace n°5 : données sur un système portable perdu De nombreuses données sensibles sont compromises chaque année parce que des collaborateurs oublient accidentellement leur téléphone portable dans un taxi, leur clé USB dans une chambre d’hôtel ou leur ordinateur portable dans le métro. Quand les données sont stockées sur de petits appareils, les administrateurs ont intérêt à réfléchir non pas à ce qu’ils feront « si l’appareil est perdu… », mais plutôt à ce qu’ils feront « quand l’appareil sera perdu… ». Contrecarrer la perte de données sur les appareils portables Gérez les appareils portables de façon centrale. Pensez à investir dans des serveurs et des logiciels qui gèrent les appareils portables de façon centrale. Le Blackberry Enterprise Server de RIM, par exemple, vous permet de vous assurer que les transmissions sont encryptées ; et si un employé vous signale qu’il a perdu son téléphone, vous pouvez immédiatement effacer toutes les données sur le Blackberry perdu. Par conséquent, il existe des mesures qui permettent de minimiser les effets négatifs de la perte d'appareils. Menace n°4 : piratage de serveurs Web Le botnet le plus courant aujourd’hui s’attaque aux sites internet ; et la faille fatale à la plupart de ces sites est un code d’application personnalisé mal écrit. Des pirates ont attaqué des centaines de milliers de serveurs d’un seul coup avec des injections SQL automatisées. Ces sites légitimes envoient ensuite des logiciels malveillants, étendant ainsi involontairement l’empire du maître du bot. Réduire le piratage des serveurs Web Contrôlez votre code d’application web. Si (par exemple) un formulaire sur Internet contient un champ permettant à un visiteur d'indiquer un numéro de téléphone, votre application web doit rejeter les caractères en trop. Si elle ne sait pas quoi faire avec une donnée ou une commande, elle doit la rejeter et non la traiter. Recherchez la meilleure solution de contrôle de code que vous pouvez vous offrir (que ce soit une équipe d’experts ou une solution automatisée) et assurez-vous que votre code procède à une validation correcte des entrées. Menace n°3 : surf imprudent sur Internet par le personnel Une étude réalisée en 2006 par l’Université de Washington montre que les sites qui envoient le plus de spywares sont (dans l’ordre) : 1. Les sites de fans de célébrités (comme ceux qui vous tiennent informé des frasques de Paris Hilton et de Britney Spears) 2. Les sites de casual gaming (sur lesquels vous pouvez jouer aux dames contre un inconnu) 3. Les sites pornographiques (qui, curieusement, arrivent à la troisième place) Les sites de réseaux sociaux comme MySpace et Facebook ont pris la tête en tant que cloaque virtuel de spams, chevaux de Troie et logiciels. Les employés qui surfent sur des sites non www.watchguard.com page 3 professionnels finissent par faire entrer dans le réseau de l’entreprise des clients bots, des chevaux de Troie, des spywares, des enregistreurs de frappe (keyloggers), des spambots… bref, toute la gamme des logiciels malveillants. Empêcher le surf imprudent sur Internet Mettez en place un filtrage du contenu Internet. Utilisez des logiciels de filtrage Internet comme WebBlocker de WatchGuard. Ces solutions conservent des bases de données (mises à jour quotidiennement) des URL bloquées dans un grand nombre de catégories. Plus il y a de catégories, plus vous avez de nuances. Ces outils vous permettent de faire respecter des principes d’utilisation acceptables à l’aide de la technologie. Menace n°2 : e-mails HTML malveillants L’attaque par e-mail la plus courante se produit désormais sous la forme d’un e-mail HTML contenant un lien vers un site malveillant piégé. Un clic malencontreux peut déclencher un téléchargement intempestif. Les risques sont les mêmes qu’avec la menace n°3, « Surf imprudent sur Internet », mais ici, le pirate utilise l’e-mail pour attirer la victime sur son site malveillant. Rejeter les e-mails HTML malveillants Mettez en place un proxy web sortant. Vous pouvez configurer votre LAN de façon à ce que toutes les requêtes et réponses HTTP soient redirigées vers un serveur proxy pour le web, fournissant un seul point d’étranglement où le caractère approprié de tout le trafic Internet peut être contrôlé. Ce proxy n’interceptera pas les e-mails malveillants entrants, mais si un utilisateur de votre réseau clique sur un lien dans un e-mail HTML de ce type, cela génèrera une requête HTTP que le proxy pourra intercepter. Et si l’utilisateur d’une requête HTTP ne va jamais sur le site malveillant piégé du pirate, il n’en sera pas victime. Menace n°1 : exploit automatique d’une vulnérabilité connue Le 2008 Data Breach Investigations Report de Verizon est une compilation des preuves factuelles sur plus de 500 violations de données survenues en l’espace de 4 ans. Son équipe RISK a découvert que 73 % de ces violations provenaient de sources externes. Les PME négligentes, qui n’installent pas les correctifs ou patches Windows dans le mois de leur publication, en sont les victimes. Mais votre réseau ne contient pas seulement des produits Microsoft. L’application routinière des correctifs doit être étendue systématiquement à toutes les applications et tous les composants du système d’exploitation de votre réseau. Réduire les exploits automatiques Investissez dans la gestion des correctifs. Les logiciels de gestion des correctifs vous permettent de scanner votre réseau, d’identifier les mises à jour logicielles et correctifs manquants et de distribuer ces correctifs à partir d’une console centrale, ce qui augmente sérieusement vos chances d’avoir tout votre réseau à jour. Développez un réseau test à bas prix. Même les sociétés les plus réputées peuvent faire un faux pas. C’est pourquoi nous vous recommandons d’installer les correctifs sur un système de test pour voir comment ils se comportent avant de les déployer sur tout votre réseau. Si vous n’avez pas de réseau test, la prochaine fois que vous remplacerez des ordinateurs de bureau et des serveurs dépassés, conservez-les pour les dédier à cela. Conclusion Les contre-mesures proposées ci-dessus peuvent sérieusement réduire les risques et protéger votre réseau. Mais elles ne sont qu’un exemple des mesures qu’un administrateur informatique diligent peut mettre en œuvre pour augmenter la sécurité d’un réseau. Pour d’autres conseils www.watchguard.com page 4 pratiques sur le renforcement de la protection de votre réseau contre les problèmes courants, téléchargez le livre blanc complet, « Les dix plus grandes menaces pour la sécurité des PME (et ce qu’il faut faire) », sur le site de WatchGuard. WatchGuard® fournit des appliances de sécurité avec une gestion extensible des menaces (XTM) qui contrecarre neuf des dix menaces énumérées ici. (Malheureusement, nos appliances ne peuvent pas encore empêcher vos employés de perdre leurs appareils portables !) Nous pouvons vous aider à sécuriser votre réseau sans fil, vérifier l’intégrité des clients qui sollicitent l’accès à votre réseau, filtrer le courrier indésirable, protéger par proxy vos services internet, minimiser les attaques d’initiés, créer des VPN et plus encore. Pour en savoir plus sur les solutions de sécurité WatchGuard et la protection qu’elles offrent contre les botnets et autres menaces pour les réseaux, rendez-vous sur www.watchguard.com ou contactez votre revendeur. ©2008 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard, le logo WatchGuard, Firebox et LiveSecurity sont des marques non déposées ou déposées de WatchGuard Technologies, Inc. aux Etats-Unis et/ou dans d’autres pays. Tous les autres noms de marques et marques appartiennent à leurs propriétaires respectifs. Numéro de référence : WGCE66599_112408 www.watchguard.com page 5