{"id":54720,"date":"2020-05-26T08:53:30","date_gmt":"2020-05-26T08:53:30","guid":{"rendered":"https:\/\/www.agglotv.com\/?p=54720"},"modified":"2020-05-26T08:53:32","modified_gmt":"2020-05-26T08:53:32","slug":"covid-19-akerva-rappelle-les-bonnes-pratiques-de-securite-et-delivre-ses-conseils-pour-controler-la-surface-dattaque","status":"publish","type":"post","link":"https:\/\/www.agglotv.com\/?p=54720","title":{"rendered":"Covid-19 : Akerva rappelle les bonnes pratiques de s\u00e9curit\u00e9 et d\u00e9livre ses conseils pour contr\u00f4ler la surface d\u2019attaque"},"content":{"rendered":"<p><strong><em><a href=\"https:\/\/www.agglotv.com\/wp-content\/up\/akerva.png\"><img loading=\"lazy\" class=\"alignleft size-full wp-image-51712\" src=\"https:\/\/www.agglotv.com\/wp-content\/up\/akerva.png\" alt=\"\" width=\"235\" height=\"55\" srcset=\"https:\/\/www.agglotv.com\/wp-content\/up\/akerva.png 235w, https:\/\/www.agglotv.com\/wp-content\/up\/akerva-230x55.png 230w\" sizes=\"(max-width: 235px) 100vw, 235px\" \/><\/a>La m\u00e9thode Revue des bonnes pratiques, Inventaire puis Cartographie permet un regard critique et incisif. Elle donne un objectif aux entreprises qui ne sont pas encore assez matures sur le sujet, tout en profitant des ressources d\u00e9j\u00e0 disponibles sur Internet.<\/em><\/strong><\/p>\n\n\n<p><strong>La menace Cyber \u00e9tait d\u00e9j\u00e0 pr\u00e9sente avant la crise Covid-19, elle l\u2019est encore aujourd\u2019hui et elle continuera de se d\u00e9velopper par la suite. De nombreuses entreprises ont d\u00e9j\u00e0 pu s\u2019armer et s\u2019organiser en cons\u00e9quence. Cependant, les \u00e9quipes d\u2019<\/strong><strong>Akerva,<\/strong><strong>&nbsp;<\/strong><strong>Cabinet de Conseil en Cybers\u00e9curit\u00e9 et Management des Risques,&nbsp;<\/strong><strong>constatent au quotidien que ce n\u2019est pas encore suffisamment g\u00e9n\u00e9ralis\u00e9, ind\u00e9pendamment de la taille ou du budget des structures audit\u00e9es.<\/strong><\/p>\n\n\n\n<p>Afin de continuer \u00e0 faire circuler l\u2019information sans trop paraphraser ou s\u2019approprier le travail de la communaut\u00e9 s\u00e9curit\u00e9, Akerva d\u00e9livre quelques bonnes pratiques et conseils pour contr\u00f4ler la surface d\u2019attaque.<\/p>\n\n\n\n<p>Akerva revient sur ces conseils sur son blog, dans une version compl\u00e8te et document\u00e9e, avec de nombreux liens vers les ressources utiles :&nbsp;<a href=\"https:\/\/akerva.com\/blog\/covid-19-rappel-des-bonnes-pratiques-et-controle-de-la-surface-dattaque\/\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/akerva.com\/blog\/covid-19-rappel-des-bonnes-pratiques-et-controle-de-la-surface-dattaque\/<\/a>. Quelques points cl\u00e9s sont repris ci-dessous.<\/p>\n\n\n\n<p><strong>Tout d\u2019abord accompagner les utilisateurs<\/strong><strong><\/strong><\/p>\n\n\n\n<p>Si ce n\u2019est pas encore fait, il convient de sensibiliser les utilisateurs via un simple mail ou encore via son extranet d\u2019entreprise s\u2019il est d\u00e9j\u00e0 \u00e0 disposition et qu\u2019il a d\u00e9j\u00e0 fait l\u2019objet d\u2019une revue de s\u00e9curit\u00e9. Cette sensibilisation servira encore apr\u00e8s la crise.<\/p>\n\n\n\n<p>Parmi les conseils prodigu\u00e9s aux utilisateurs par Akerva&nbsp;:<\/p>\n\n\n\n<ul><li>Se m\u00e9fier du phishing en \u00e9tant vigilants sur les demandes t\u00e9l\u00e9phoniques inhabituelles et en ne cliquant pas sur les liens des mails re\u00e7us si on n\u2019est pas s\u00fbr de l\u2019\u00e9metteur et de la l\u00e9gitimit\u00e9 de l\u2019\u00e9change. M\u00eame quand les liens fournis semblent fiables ou que l\u2019interlocuteur est connu, il faut rester vigilant sur la coh\u00e9rence de la demande ou du type d\u2019information.<\/li><li>Limiter l\u2019acc\u00e8s aux sites Web qui ne semblent pas s\u00e9rieux ou ne correspondent pas aux habitudes professionnelles (m\u00eame si g\u00e9n\u00e9ralement un outil de filtrage Web est fourni par l\u2019entreprise).<\/li><li>Ne pas installer de logiciels sans l\u2019approbation (ou l\u2019intervention) de l\u2019\u00e9quipe support de l\u2019entreprise et utiliser uniquement les moyens de communication officiellement mis \u00e0 disposition.<\/li><li>M\u00eame si le mat\u00e9riel fourni est \u00ab&nbsp;chiffr\u00e9&nbsp;\u00bb, toujours s\u2019assurer de ne pas le laisser sans surveillance et ne pas tenter d\u2019enlever les m\u00e9canismes de protection en place m\u00eame si \u00ab c\u2019est plus pratique \u00bb.<\/li><li>Ne pas envoyer de donn\u00e9es confidentielles en clair dans les mails. Toujours utiliser les outils informatiques fournis par l\u2019entreprise. Si on ne dispose pas d\u2019outil d\u00e9di\u00e9 en ligne fourni par l\u2019\u00e9quipe informatique pour ce type d\u2019\u00e9changes \u00e0 risque, pr\u00e9f\u00e9rer l\u2019utilisation d\u2019outils comme 7-zip ou Zed avec l\u2019envoi d\u2019un mot de passe robuste par SMS.<\/li><li>Ne pas utiliser de cl\u00e9s USB ou m\u00e9dias amovibles sur la machine professionnelle et si possible s\u2019assurer qu\u2019au moins un antivirus \u00e0 jour est activ\u00e9 et qu\u2019un firewall est actif.<\/li><li>Ne jamais donner ses identifiants m\u00eame quand l\u2019interlocuteur pr\u00e9tend faire partie du service informatique.<\/li><li>Remonter les anomalies ou doutes aux \u00e9quipes informatiques de l\u2019entreprise via la bo\u00eete mail ou l\u2019outil d\u00e9di\u00e9 mis \u00e0 disposition.<\/li><\/ul>\n\n\n\n<p>Il est toujours bon de rappeler ces bonnes pratiques aux \u00e9quipes techniques pour&nbsp;gagner du temps et \u00e9viter les erreurs en p\u00e9riode de crise. Cela permet \u00e9galement de s\u2019approprier diff\u00e9rents r\u00e9flexes techniques qui, m\u00eame s\u2019ils ne sont pas impl\u00e9ment\u00e9s tout de suite, permettront d\u2019orienter les conceptions ou \u00e9volutions d\u2019architecture en cours et ainsi d\u2019anticiper la suite.<\/p>\n\n\n\n<p>Apr\u00e8s avoir \u00ab pr\u00e9venu \u00bb les utilisateurs et s\u2019\u00eatre impr\u00e9gn\u00e9 (ou r\u00e9impr\u00e9gn\u00e9) des bonnes pratiques, Akerva recommande aux entreprises de construire un plan d\u2019action.<\/p>\n\n\n\n<p><strong>Reprendre le contr\u00f4le sur la surface d\u2019attaque<\/strong><strong><\/strong><\/p>\n\n\n\n<p><strong>Inventaire<br><br><\/strong>Comme le rappellent les techniques de survie, il ne faut pas prendre le risque de cr\u00e9er un suraccident. En premier lieu, il ne faut pas laisser des tiers acc\u00e9der au SI dans \u00ab&nbsp;l\u2019urgence de la crise&nbsp;\u00bb sans s\u2019assurer que les bonnes pratiques de base sont appliqu\u00e9es.<\/p>\n\n\n\n<p>Comme on ne peut pas efficacement prot\u00e9ger ce que l\u2019on ne conna\u00eet pas, Akerva conseille de :<\/p>\n\n\n\n<ul><li>Dresser un inventaire rapide et simple des adresses IP publiques expos\u00e9es qui appartiennent \u00e0 l\u2019entrerise et\/ou h\u00e9bergent ses services.<\/li><li>Compl\u00e9ter cette liste avec les portails Web le cas \u00e9ch\u00e9ant et les applicatifs M\u00e9tier de tout type eux-aussi expos\u00e9s sur Internet, en faisant appara\u00eetre les interactions ou tunnels avec des tiers, notamment les acc\u00e8s de maintenance ou de support aux utilisateurs.<\/li><li>Associer \u00e0 cet inventaire \u00ab&nbsp;th\u00e9orique&nbsp;\u00bb les composants du SI qui constituent ces cha\u00eenes de services et les mesures de protection qui vont avec afin de les comparer aux bonnes pratiques.<\/li><li>Lister les exigences cl\u00e9s permet d\u2019avoir une vue d\u2019ensemble de son niveau de maturit\u00e9 et ainsi prendre conscience des principaux risques d\u00e9crits dans les guides.<\/li><\/ul>\n\n\n\n<p>Il faut, en cible, avoir un inventaire plut\u00f4t technique associ\u00e9 \u00e0 au moins une cinquantaine de bonnes pratiques et un statut&nbsp;:&nbsp;<em>trait\u00e9<\/em>,&nbsp;<em>non trait\u00e9<\/em>,&nbsp;<em>non applicable<\/em>&nbsp;et&nbsp;<em>\u00e0 faire<\/em>.<\/p>\n\n\n\n<p>En compl\u00e9ment, pour pr\u00e9parer son inventaire, le guide d\u2019\u00e9laboration en 5 \u00e9tapes Cartographie du syst\u00e8me d\u2019information, est disponible sur le site de l\u2019Agence&nbsp;Nationale de la S\u00e9curit\u00e9 des Syst\u00e8mes d\u2019Information&nbsp;:&nbsp;<a href=\"https:\/\/www.ssi.gouv.fr\/uploads\/2018\/11\/guide-cartographie-systeme-information-anssi-pa-046.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/www.ssi.gouv.fr\/uploads\/2018\/11\/guide-cartographie-systeme-information-anssi-pa-046.pdf<\/a><\/p>\n\n\n\n<p>Une fois cet inventaire r\u00e9alis\u00e9, il est utile de s\u2019inscrire aux bulletins de s\u00e9curit\u00e9 et autres news sp\u00e9cialis\u00e9es (CERT-FR, CVE Details, Microsoft Technical Security Notifications\u2026) afin d\u2019\u00eatre inform\u00e9 rapidement lors de la publication d\u2019une faille majeure pour ces m\u00eames composants. Cela est valable pour les composants d\u2019infrastructure mais aussi pour les p\u00e9rim\u00e8tres Web ou les services g\u00e9n\u00e9raux h\u00e9berg\u00e9s par des tiers.<\/p>\n\n\n\n<p><strong>S\u2019assurer que les postes nomades et t\u00e9l\u00e9phones sont sous contr\u00f4le<\/strong><\/p>\n\n\n\n<p>Sans pouvoir \u00eatre exhaustif, Akerva rappelle quelques \u00e9tapes importantes :<\/p>\n\n\n\n<ul><li>S\u2019assurer que l\u2019on permet aux utilisateurs de bien s\u00e9parer leurs activit\u00e9s personnelles des activit\u00e9s professionnelles (aussi bien pour respecter les bonnes pratiques&nbsp;<a href=\"https:\/\/www.cnil.fr\/fr\/comprendre-le-rgpd\" target=\"_blank\" rel=\"noreferrer noopener\">RGPD<\/a>&nbsp;que pour garantir l\u2019\u00e9tanch\u00e9it\u00e9 entre les deux environnements techniques).<\/li><li>Utiliser si possible pour les postes de travail \u00ab&nbsp;nomades&nbsp;\u00bb, des solutions dites \u00ab&nbsp;<em>End Point&nbsp;<\/em>\u00bb, \u00ab&nbsp;<em>XDR<\/em>&nbsp;\u00bb, ou encore \u00ab&nbsp;<em>MDM<\/em>&nbsp;\u00bb pour les mobiles.<\/li><li>Ces solutions, selon les modules propos\u00e9s, contribuent \u00e0&nbsp;:<ul><li>Contr\u00f4ler les supports amovibles particuli\u00e8rement dangereux ;<\/li><li>Filtrer les sites Web accessibles ;<\/li><li>Isoler le PC portable du r\u00e9seau domestique ou d\u2019un WiFi ill\u00e9gitime avant et pendant sa connexion au r\u00e9seau de l\u2019entreprise ;<\/li><li>Challenger le niveau de mise \u00e0 jour et de s\u00e9curit\u00e9 du poste ;<\/li><li>Avoir potentiellement la main sur l\u2019\u00e9quipement en cas de vol ou incident majeur de s\u00e9curit\u00e9.<\/li><\/ul><\/li><li>Pr\u00e9voir un m\u00e9canisme d\u2019acc\u00e8s VPN \u00e0 l\u2019entreprise avec authentification forte (TOTP, SmartToken\u2026) et, id\u00e9alement, uniquement des flux autoris\u00e9s pour initialiser le tunnel avant d\u2019acc\u00e9der aux services de l\u2019entreprise (pas de connexion \u00e0 Internet en direct en parall\u00e8le de l\u2019acc\u00e8s au SI de l\u2019entreprise).<\/li><li>Ne pas oublier \u00e9galement les m\u00e9canismes de chiffrement pour les PC portables (avec code PIN au d\u00e9marrage, puce TPM r\u00e9cente, BitLocker ou \u00e9quivalent) et les mobiles (chiffrement natif avec mot de passe Android\/iOS).<\/li><li>Proscrire les droits \u00ab administrateurs \u00bb pour les comptes utilis\u00e9s au quotidien sur les syst\u00e8mes, m\u00eame quand \u00ab c\u2019est plus pratique \u00bb (toute ex\u00e9cution de code malveillant aurait, de fait, des droits g\u00e9n\u00e9ralement critiques sur le syst\u00e8me).<\/li><\/ul>\n\n\n\n<p><strong>Cartographie<\/strong><\/p>\n\n\n\n<p>Une cartographie technique de la surface d\u2019attaque externe permet de s\u2019assurer qu\u2019il n\u2019y a pas de services ou m\u00e9canismes ill\u00e9gitimes expos\u00e9s sur Internet au regard de ce qui a d\u00e9j\u00e0 \u00e9t\u00e9 inventori\u00e9. Cela inclut notamment les services Web, services d\u2019infrastructure et autres \u00ab&nbsp;<em>pr\u00e9prod&nbsp;<\/em>\u00bb ou \u00ab&nbsp;<em>recettes<\/em>&nbsp;\u00bb \u00e0 risque, qu\u2019il faut garder sous contr\u00f4le et g\u00e9n\u00e9ralement ne pas exposer directement au public. A cela s\u2019ajoute \u00e9galement les services \u00ab&nbsp;<em>que l\u2019on va bient\u00f4t enlever&nbsp;<\/em>\u00bb ou qui \u00ab&nbsp;<em>n\u2019auraient pas d\u00fb \u00eatre l\u00e0&nbsp;<\/em>\u00bb ou encore \u00ab&nbsp;<em>je crois qu\u2019on s\u2019en sert encore<\/em>&nbsp;\u00bb ou \u00ab&nbsp;<em>c\u2019est quand m\u00eame plus pratique&nbsp;\u00bb<\/em>&nbsp;\u2013 alias&nbsp;<em>Shadow IT<\/em>&nbsp;mais pas que.<\/p>\n\n\n\n<p>Le faire dans cet ordre (<em>Revue des bonnes pratiques<\/em>,&nbsp;<em>Inventaire<\/em>&nbsp;puis&nbsp;<em>Cartographie<\/em>) permet d\u2019avoir un regard plus critique et incisif sur les services ill\u00e9gitimes qui sont remont\u00e9s par cette cartographie.<\/p>\n\n\n\n<p>Apr\u00e8s avoir fait une premi\u00e8re cartographie du Syst\u00e8me d\u2019Information expos\u00e9 sur Internet, il est possible de faire le \u00ab&nbsp;tri&nbsp;\u00bb en identifiant les diff\u00e9rents types de services remont\u00e9s par le scan&nbsp;<em>nmap<\/em>, notamment ceux qui h\u00e9bergent des applicatifs Web. M\u00eame si on arrive \u00e0 r\u00e9duire la surface d\u2019attaque g\u00e9n\u00e9rale via les \u00e9tapes pr\u00e9c\u00e9dentes, la protection des applicatifs (Web, mais pas que) reste un sujet dense qui n\u00e9cessite un travail de fond.<\/p>\n\n\n\n<p>Quelques objectifs cl\u00e9s qui permettent d\u2019avancer sur le sujet :<\/p>\n\n\n\n<ul><li>Le durcissement du socle technique h\u00e9bergeant les applicatifs.<\/li><li>Le respect des bonnes pratiques OWASP\/CWE dans le cycle de d\u00e9veloppement (notamment le fait d\u2019avoir des fonctions ou classes factoris\u00e9es d\u00e9di\u00e9es \u00e0 la s\u00e9curit\u00e9, des m\u00e9canismes d\u2019authentification avanc\u00e9e, une protection avanc\u00e9e des sessions, des entr\u00e9es\/sorties de fichiers ou d\u2019APIs sous contr\u00f4le, des frameworks bien configur\u00e9s, etc).<\/li><li>Un cloisonnement r\u00e9seau pertinent en fonction des r\u00f4les des composants et de la criticit\u00e9 des donn\u00e9es manipul\u00e9es (aka cloisonnement vertical et horizontal, voire m\u00eame de la micro-segmentation).<\/li><li>Une politique de gestion des comptes (services et utilisateurs) avec une granularit\u00e9 fine et une volont\u00e9 de contr\u00f4ler les escalades de privil\u00e8ges et m\u00e9canismes de \u00ab&nbsp;pivoting&nbsp;\u00bb apr\u00e8s compromission \u00e9ventuelle d\u2019un composant (aka \u00ab&nbsp;mouvement lat\u00e9ral&nbsp;\u00bb).<\/li><li>Les scans de vuln\u00e9rabilit\u00e9s : ils sont n\u00e9cessaires et compl\u00e9mentaires des Tests d\u2019Intrusion et des op\u00e9rations Red Team, sans toutefois pouvoir les remplacer.<\/li><\/ul>\n\n\n\n<p>Une fois ces quelques conseils d\u00e9livr\u00e9s, Akerva rappelle qu\u2019il convient de travailler sur la dur\u00e9e pour pouvoir maintenir une d\u00e9marche d\u2019am\u00e9lioration continue et limiter les impacts en cas d\u2019intrusion. Les bonnes pratiques organisationnelles et les r\u00e9f\u00e9rentiels associ\u00e9s (analyses de risques, dossiers de s\u00e9curit\u00e9, politiques, proc\u00e9dures, processus, PCA\/PRA, SMSI, normes et&nbsp;<em>frameworks<\/em>&nbsp;de s\u00e9curit\u00e9\u2026) restent par cons\u00e9quent indispensables et font partie du dispositif complet.<\/p>\n\n\n\n<p><strong>\u00c0&nbsp;propos d\u2019Akerva<\/strong><\/p>\n\n\n\n<p>Acteur de r\u00e9f\u00e9rence, Akerva est un cabinet de conseil sp\u00e9cialis\u00e9 en cybers\u00e9curit\u00e9 et management des risques qui accompagne les grandes entreprises et les administrations dans leur strat\u00e9gie de protection num\u00e9rique.<\/p>\n\n\n\n<p>Akerva assiste les DSI et les RSSI dans leur volont\u00e9 d\u2019allier innovation, avance concurrentielle et cybers\u00e9curit\u00e9.<\/p>\n\n\n\n<p>De la protection du syst\u00e8me d\u2019information \u00e0 la protection des syst\u00e8mes industriels et des objets connect\u00e9s, Akerva se positionne comme le partenaire incontournable de l\u2019entreprise de demain.<\/p>\n\n\n\n<p>En int\u00e9grant les enjeux de la cybers\u00e9curit\u00e9 au centre de la strat\u00e9gie des organisations, Akerva&nbsp;s\u2019affirme comme l\u2019un des leaders du march\u00e9 de la cybers\u00e9curit\u00e9.<\/p>\n\n\n\n<p><a href=\"https:\/\/akerva.com\/\" target=\"_blank\" rel=\"noreferrer noopener\">En savoir plus sur Akerva<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>La m\u00e9thode Revue des bonnes pratiques, Inventaire puis Cartographie permet un regard critique et incisif. Elle donne un objectif aux entreprises qui ne sont pas encore assez matures sur le sujet, tout en profitant des ressources d\u00e9j\u00e0 disponibles sur Internet. La menace Cyber \u00e9tait d\u00e9j\u00e0 pr\u00e9sente avant la crise Covid-19, elle l\u2019est encore aujourd\u2019hui et [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[5],"tags":[],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.agglotv.com\/index.php?rest_route=\/wp\/v2\/posts\/54720"}],"collection":[{"href":"https:\/\/www.agglotv.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.agglotv.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.agglotv.com\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.agglotv.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=54720"}],"version-history":[{"count":1,"href":"https:\/\/www.agglotv.com\/index.php?rest_route=\/wp\/v2\/posts\/54720\/revisions"}],"predecessor-version":[{"id":54721,"href":"https:\/\/www.agglotv.com\/index.php?rest_route=\/wp\/v2\/posts\/54720\/revisions\/54721"}],"wp:attachment":[{"href":"https:\/\/www.agglotv.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=54720"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.agglotv.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=54720"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.agglotv.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=54720"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}