Les 10 plus grandes menaces pour la sécurité des données des PME

Les 10 plus grandes menaces pour la sécurité des données des PME
Cet article est extrait du livre blanc « Les 10 plus grandes menaces pour la sécurité des
données des PME (et ce qu’il faut faire) », rédigé par Scott Pinzon, CISSP, membre de l’équipe
LiveSecurity® de WatchGuard®. Ce résumé présente les dix menaces principales et une contremesure pour chacune d’elles. Pour en savoir plus sur la façon dont nous avons sélectionné ces
menaces, le type de réseau auquel nous nous adressons et les deux contre-mesures
supplémentaires que nous vous proposons au minimum pour chacune d’elles, téléchargez
gratuitement le livre blanc complet sur www.watchguard.com/whitepapers.
Il est difficile de trouver des rapports précis, basés sur la réalité, sur ce que représente
réellement la menace pour la sécurité des réseaux dans une entreprise moyenne.
Depuis 1999, l’équipe WatchGuard LiveSecurity surveille tous les jours les menaces
émergentes pour la sécurité des réseaux, en s’attachant plus particulièrement aux problèmes
qui affectent les PME. Quand nous décelons une menace susceptible d’avoir des répercussions
néfastes sur les PME, nous alertons nos abonnés par e-mail. Comme ceux-ci sont des
professionnels de l’informatique qui sont débordés de travail et manquent de temps, nous les
avertissons uniquement quand nous savons qu’une attaque n’est pas seulement possible, mais
probable. Cet accent mis sur la situation des entreprises et la praticité fait la différence de
notre service. De plus, cette approche est constamment affinée par l’apport de dizaines de
milliers d’abonnés et de groupes de discussion, ainsi que par des déplacements sur le terrain
sur les sites de clients et des sessions informelles sur la sécurité.
Résultat : ce livre blanc répertorie les 10 principaux vecteurs de corruption des données
d’après notre expérience en tant qu’analystes de la sécurité des PME. Nous proposons
également des techniques pratiques et des défenses pour contrecarrer chacun de ces vecteurs.
Menace n°10 : attaques d’initiés
L’équipe de Réponse aux intrusions de Verizon, qui a étudié plus de 500 intrusions en 4 ans,
attribue 18 % d’entre elles à des initiés malveillants. Sur ces 18 %, près de la moitié provient
du personnel lui-même. 1
Mettez en place le principe du double contrôle. La mise en œuvre d’un double contrôle
signifie que, pour chaque ressource principale, vous avez une solution de repli. Par
exemple, vous pouvez choisir d’avoir un seul technicien, qui sera principalement
responsable de la configuration de vos serveurs Web et SMTP, mais les identifiants de ces
serveurs devront être connus ou mis à la disposition d’au moins une autre personne.
Menace n°9 : manque de prévoyance
Les entreprises qui se targuent d’être « flexibles » et « promptes à réagir » gagnent souvent
du temps en abandonnant la standardisation, les processus matures et les plans d’urgence.
1
Résumé sur http://www.infosectoday.com/Articles/2008_Data_Breach_Investigations_Report.htm. Pour obtenir un
rapport en format PDF, consultez le site http://www.verizonbusiness.com/resources/security/databreachreport.pdf.
WatchGuard Technologies
www.watchguard.com
Nombre de PME se sont rendu compte qu’une défaillance ou une altération sérieuse des
données peut avoir des conséquences désastreuses s’il n’y a pas de plan de continuité de
l'activité, plan de récupération après un désastre, principes de réponse aux intrusions ou
système de secours à jour à partir desquels restaurer les données, ou encore un stockage hors
site.
Remédier à l’absence de plan
Si vous avez le budget pour cela, recrutez un expert pour vous aider à développer de
solides méthodologies afin de protéger vos informations. Sinon, profitez du bon travail
effectué par les autres et adaptez-le à votre entreprise. Le Projet de règles de sécurité
SANS, par exemple, propose des modèles gratuits et d’autres ressources qui peuvent vous
aider à rédiger vos propres règles. Pour en savoir plus, consultez le site
http://www.sans.org/resources/policies/.
Menace n°8 : mauvaise configuration aboutissant à une altération des données
Les PME inexpérimentées ou manquant de fonds installent souvent des routeurs, des
commutateurs et d’autres dispositifs de réseau, sans se faire aider par quelqu’un au fait des
ramifications de chacun d’entre eux en termes de sécurité. Dans ce scénario, un amateur de la
mise en réseau se contentera généralement de réussir à envoyer et recevoir les données. Il ne
sait pas qu’il faut changer les noms d’utilisateur et mots de passe par défaut du fabricant.
Remédier aux mauvais choix de configuration
Exécutez un scan automatique pour contrôler la vulnérabilité. Si vous ne pouvez
vous permettre de recruter les services d’un consultant, vous pouvez quand même
effectuer un scan automatique de votre réseau. Il y a sur le marché de nombreux produits
de « gestion de la vulnérabilité » à tous les prix. L’utilisation régulière de ces scans doit
faire partie de la maintenance routinière de votre réseau.
Menace n°7 : utilisation imprudente des réseaux et bornes dans les hôtels
Tout le monde sait que les réseaux des hôtels sont infestés de virus, vers, spywares et
malware, et sont souvent gérés avec de mauvaises pratiques générales de sécurité. Les bornes
publiques sont un endroit rêvé pour le pirate qui veut installer un enregistreur de frappe
(keylogger) et voir ce qui tombe dans son filet. Les portables non équipés d’un pare-feu, d’un
antivirus et d’un antispyware individuels peuvent faire l’objet d’attaques pendant des
déplacements. Les défenses traditionnelles peuvent s’avérer inutiles si l’utilisateur contourne
littéralement le pare-feu de la passerelle avec son portable et se connecte depuis la zone de
confiance.
Réduire l’utilisation imprudente des réseaux d’hôtels
Élaborez et faites appliquer une règle interdisant à votre personnel de désactiver
les protections. Selon une étude demandée par Fiberlink, 1 professionnel « nomade » sur
4 avoue avoir modifié ou désactivé les paramètres de sécurité de son ordinateur portable.
La règle à imposer est que les membres du personnel ne doivent jamais désactiver les
protections, sauf s’ils vous appellent et obtiennent votre autorisation. La plupart des
solutions antivirus courantes peuvent être configurées de façon à ce qu’il soit impossible de
les désactiver, même par un utilisateur ayant les privilèges d’un administrateur local ;
assurez-vous d’avoir ce type de fonctions dans votre solution actuelle.
Menace n°6 : utilisation imprudente de bornes Wi-Fi
Les bornes d’accès public sans fil présentent les mêmes risques que les réseaux d’hôtels et
d’autres réseaux. Les pirates installent généralement un point d’accès sans fil non sécurisé qui
se présente comme une « Borne Wi-Fi d’accès public ». Ensuite ils attendent que des
professionnels « nomades » en quête d’une connexion l’utilisent. Avec un analyseur de trames,
www.watchguard.com
page 2
le pirate peut voir tout ce que tape la personne, y compris les identifiants. Cette attaque est
particulièrement fourbe parce que le pirate extrait les données de façon inaperçue, en ne
laissant absolument aucune trace sur l’ordinateur qui en est victime.
Réduire l’utilisation imprudente du Wi-Fi
Recommandez à vos utilisateurs de choisir systématiquement des connexions
encryptées. Demandez-leur de se connecter via un réseau privé virtuel (VPN). Ceci
encrypte le flux de données. Par conséquent, si des oreilles indiscrètes écoutent via un
réseau sans fil, elles ne recevront que du charabia.
Menace n°5 : données sur un système portable perdu
De nombreuses données sensibles sont compromises chaque année parce que des
collaborateurs oublient accidentellement leur téléphone portable dans un taxi, leur clé USB
dans une chambre d’hôtel ou leur ordinateur portable dans le métro. Quand les données sont
stockées sur de petits appareils, les administrateurs ont intérêt à réfléchir non pas à ce qu’ils
feront « si l’appareil est perdu… », mais plutôt à ce qu’ils feront « quand l’appareil sera
perdu… ».
Contrecarrer la perte de données sur les appareils portables
Gérez les appareils portables de façon centrale. Pensez à investir dans des serveurs et
des logiciels qui gèrent les appareils portables de façon centrale. Le Blackberry Enterprise
Server de RIM, par exemple, vous permet de vous assurer que les transmissions sont
encryptées ; et si un employé vous signale qu’il a perdu son téléphone, vous pouvez
immédiatement effacer toutes les données sur le Blackberry perdu. Par conséquent, il
existe des mesures qui permettent de minimiser les effets négatifs de la perte d'appareils.
Menace n°4 : piratage de serveurs Web
Le botnet le plus courant aujourd’hui s’attaque aux sites internet ; et la faille fatale à la plupart
de ces sites est un code d’application personnalisé mal écrit. Des pirates ont attaqué des
centaines de milliers de serveurs d’un seul coup avec des injections SQL automatisées. Ces
sites légitimes envoient ensuite des logiciels malveillants, étendant ainsi involontairement
l’empire du maître du bot.
Réduire le piratage des serveurs Web
Contrôlez votre code d’application web. Si (par exemple) un formulaire sur Internet
contient un champ permettant à un visiteur d'indiquer un numéro de téléphone, votre
application web doit rejeter les caractères en trop. Si elle ne sait pas quoi faire avec une
donnée ou une commande, elle doit la rejeter et non la traiter. Recherchez la meilleure
solution de contrôle de code que vous pouvez vous offrir (que ce soit une équipe d’experts
ou une solution automatisée) et assurez-vous que votre code procède à une validation
correcte des entrées.
Menace n°3 : surf imprudent sur Internet par le personnel
Une étude réalisée en 2006 par l’Université de Washington montre que les sites qui envoient le
plus de spywares sont (dans l’ordre) :
1. Les sites de fans de célébrités (comme ceux qui vous tiennent informé des frasques de
Paris Hilton et de Britney Spears)
2. Les sites de casual gaming (sur lesquels vous pouvez jouer aux dames contre un
inconnu)
3. Les sites pornographiques (qui, curieusement, arrivent à la troisième place)
Les sites de réseaux sociaux comme MySpace et Facebook ont pris la tête en tant que cloaque
virtuel de spams, chevaux de Troie et logiciels. Les employés qui surfent sur des sites non
www.watchguard.com
page 3
professionnels finissent par faire entrer dans le réseau de l’entreprise des clients bots, des
chevaux de Troie, des spywares, des enregistreurs de frappe (keyloggers), des spambots…
bref, toute la gamme des logiciels malveillants.
Empêcher le surf imprudent sur Internet
Mettez en place un filtrage du contenu Internet. Utilisez des logiciels de filtrage
Internet comme WebBlocker de WatchGuard. Ces solutions conservent des bases de
données (mises à jour quotidiennement) des URL bloquées dans un grand nombre de
catégories. Plus il y a de catégories, plus vous avez de nuances. Ces outils vous permettent
de faire respecter des principes d’utilisation acceptables à l’aide de la technologie.
Menace n°2 : e-mails HTML malveillants
L’attaque par e-mail la plus courante se produit désormais sous la forme d’un e-mail HTML
contenant un lien vers un site malveillant piégé. Un clic malencontreux peut déclencher un
téléchargement intempestif. Les risques sont les mêmes qu’avec la menace n°3, « Surf
imprudent sur Internet », mais ici, le pirate utilise l’e-mail pour attirer la victime sur son site
malveillant.
Rejeter les e-mails HTML malveillants
Mettez en place un proxy web sortant. Vous pouvez configurer votre LAN de façon à ce
que toutes les requêtes et réponses HTTP soient redirigées vers un serveur proxy pour le
web, fournissant un seul point d’étranglement où le caractère approprié de tout le trafic
Internet peut être contrôlé. Ce proxy n’interceptera pas les e-mails malveillants entrants,
mais si un utilisateur de votre réseau clique sur un lien dans un e-mail HTML de ce type,
cela génèrera une requête HTTP que le proxy pourra intercepter. Et si l’utilisateur d’une
requête HTTP ne va jamais sur le site malveillant piégé du pirate, il n’en sera pas victime.
Menace n°1 : exploit automatique d’une vulnérabilité connue
Le 2008 Data Breach Investigations Report de Verizon est une compilation des preuves
factuelles sur plus de 500 violations de données survenues en l’espace de 4 ans. Son équipe
RISK a découvert que 73 % de ces violations provenaient de sources externes.
Les PME négligentes, qui n’installent pas les correctifs ou patches Windows dans le mois de
leur publication, en sont les victimes. Mais votre réseau ne contient pas seulement des
produits Microsoft. L’application routinière des correctifs doit être étendue systématiquement à
toutes les applications et tous les composants du système d’exploitation de votre réseau.
Réduire les exploits automatiques
Investissez dans la gestion des correctifs. Les logiciels de gestion des correctifs vous
permettent de scanner votre réseau, d’identifier les mises à jour logicielles et correctifs
manquants et de distribuer ces correctifs à partir d’une console centrale, ce qui augmente
sérieusement vos chances d’avoir tout votre réseau à jour.
Développez un réseau test à bas prix. Même les sociétés les plus réputées peuvent faire
un faux pas. C’est pourquoi nous vous recommandons d’installer les correctifs sur un
système de test pour voir comment ils se comportent avant de les déployer sur tout votre
réseau. Si vous n’avez pas de réseau test, la prochaine fois que vous remplacerez des
ordinateurs de bureau et des serveurs dépassés, conservez-les pour les dédier à cela.
Conclusion
Les contre-mesures proposées ci-dessus peuvent sérieusement réduire les risques et protéger
votre réseau. Mais elles ne sont qu’un exemple des mesures qu’un administrateur informatique
diligent peut mettre en œuvre pour augmenter la sécurité d’un réseau. Pour d’autres conseils
www.watchguard.com
page 4
pratiques sur le renforcement de la protection de votre réseau contre les problèmes courants,
téléchargez le livre blanc complet, « Les dix plus grandes menaces pour la sécurité des
PME (et ce qu’il faut faire) », sur le site de WatchGuard.
WatchGuard® fournit des appliances de sécurité avec une gestion extensible des menaces
(XTM) qui contrecarre neuf des dix menaces énumérées ici. (Malheureusement, nos appliances
ne peuvent pas encore empêcher vos employés de perdre leurs appareils portables !) Nous
pouvons vous aider à sécuriser votre réseau sans fil, vérifier l’intégrité des clients qui sollicitent
l’accès à votre réseau, filtrer le courrier indésirable, protéger par proxy vos services internet,
minimiser les attaques d’initiés, créer des VPN et plus encore.
Pour en savoir plus sur les solutions de sécurité WatchGuard et la protection qu’elles offrent
contre les botnets et autres menaces pour les réseaux, rendez-vous sur www.watchguard.com
ou contactez votre revendeur.
©2008 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard, le logo WatchGuard,
Firebox et LiveSecurity sont des marques non déposées ou déposées de WatchGuard
Technologies, Inc. aux Etats-Unis et/ou dans d’autres pays. Tous les autres noms de marques
et marques appartiennent à leurs propriétaires respectifs. Numéro de référence :
WGCE66599_112408
www.watchguard.com
page 5