{"id":61826,"date":"2022-05-04T08:53:18","date_gmt":"2022-05-04T08:53:18","guid":{"rendered":"https:\/\/www.agglotv.com\/?p=61826"},"modified":"2022-05-04T08:53:21","modified_gmt":"2022-05-04T08:53:21","slug":"les-hackers-sont-entres-et-maintenant","status":"publish","type":"post","link":"https:\/\/www.agglotv.com\/?p=61826","title":{"rendered":"Les hackers sont entr\u00e9s, et maintenant ?"},"content":{"rendered":"

\"\"<\/a>Par Jean-Pierre Boushira, VP South, Benelux, and Nordics chez Veritas Technologies<\/em><\/p>\n

\u00c0 l’heure actuelle, toute entreprise devrait partir du principe que les hackers ont d\u00e9j\u00e0 infiltr\u00e9 leurs syst\u00e8mes ou pourraient facilement y acc\u00e9der dans un avenir proche. Il est \u00e9vident que les cybercriminels avertis parviennent depuis un certain temps d\u00e9j\u00e0 \u00e0 d\u00e9jouer les meilleurs syst\u00e8mes \u00e9tablis comme premi\u00e8re ligne de d\u00e9fense. Leur strat\u00e9gie est intelligente : faire profil bas et rester cach\u00e9s. Pourquoi ? Leur priorit\u00e9 absolue est d’observer et d’apprendre, dans le but de d\u00e9celer les potentielles faiblesses et d’exploiter les vuln\u00e9rabilit\u00e9s en attendant le moment id\u00e9al pour frapper. Bien entendu, les hackers continueront de se perfectionner et de d\u00e9velopper des technologies pour devenir plus difficiles \u00e0 d\u00e9tecter ou ne plus \u00eatre d\u00e9tectables. Quelle est alors la prochaine \u00e9tape pour les entreprises ?<\/p>\n

Autrefois, les ran\u00e7ongiciels \u00e9taient introduits dans un syst\u00e8me, proc\u00e9daient \u00e0 son chiffrement et t\u00e9l\u00e9chargeaient tout ce qu’ils pouvaient avant de dispara\u00eetre sans d\u00e9clencher la moindre alerte. Mais depuis, leurs m\u00e9thodes ont \u00e9volu\u00e9, et les hackers s\u2019inspirent d\u00e9sormais du crime organis\u00e9 pour s\u00e9vir. Gr\u00e2ce \u00e0 des techniques comme la cyber-reconnaissance \u2013 un rep\u00e9rage des lieux, les hackers vont et viennent \u00e0 leur guise de sorte d\u2019infliger le maximum de d\u00e9g\u00e2ts. Appel\u00e9e \u00ab ransomware dormant \u00bb, cette technique est d\u00e9sormais un ph\u00e9nom\u00e8ne courant dans le monde num\u00e9rique.<\/p>\n

De mani\u00e8re g\u00e9n\u00e9rale, les hackers souhaitent causer le plus de d\u00e9g\u00e2ts possibles afin de maximiser leurs efforts et am\u00e9liorer le retour sur investissement. D\u2019apr\u00e8s de r\u00e9centes sources, certains ransomwares resteraient parfois en sommeil pendant pr\u00e8s de 18 mois. Pour les acteurs malveillants, il s\u2019agit de ne pas laisser d\u2019autre choix aux entreprises que de payer la ran\u00e7on. L’\u00e9poque o\u00f9 violations et attaques allaient de pair est r\u00e9volue depuis longtemps. Cette complexification des processus d\u2019attaque souligne le fait que les hackers connaissent souvent les syst\u00e8mes et ont conscience que l\u2019utilisation d\u2019une s\u00e9rie d\u2019\u00e9v\u00e8nements destin\u00e9e \u00e0 perturber \u2013 ou \u00e0 stopper les activit\u00e9s, leur donnera plus de chances de toucher le pactole.<\/p>\n

Dans ce cas, que faire pour combattre cette nouvelle strat\u00e9gie de ransomware dormant ? La bonne nouvelle est que certaines pratiques et technologies aident \u00e0 d\u00e9tecter les menaces avant que les hackers ne puissent passer \u00e0 l’action. De plus, des strat\u00e9gies destin\u00e9es \u00e0 r\u00e9duire la surface d’attaque et \u00e0 emp\u00eacher les perturbations\/arr\u00eats \u00e0 grande \u00e9chelle s\u2019av\u00e8rent \u00eatre des approches plut\u00f4t efficaces.<\/p>\n

Apporter une nouvelle visibilit\u00e9 sur l\u2019infrastructure et les donn\u00e9es<\/strong><\/p>\n

Les attaquants recherchent les failles, autrement dit les zones o\u00f9 la s\u00e9curit\u00e9\/la surveillance restent limit\u00e9es. Pour cette raison, il est donc essentiel de mettre en place des outils<\/a> qui permettent d\u2019avoir de la visibilit\u00e9 sur l’ensemble de l’infrastructure et de faire la lumi\u00e8re sur les potentielles zones grises\/dark data de l\u2019environnement. D\u2019apr\u00e8s de r\u00e9centes recherches, 35 % des donn\u00e9es seraient encore des dark data. Identifier leurs donn\u00e9es et d\u00e9terminer leur lieu de stockage au plus vite pour lutter contre ce ph\u00e9nom\u00e8ne est donc largement recommand\u00e9 aux entreprises.<\/p>\n

En plus d\u2019assurer une tr\u00e8s bonne visibilit\u00e9 sur l\u2019ensemble de l\u2019infrastructure, il est \u00e9galement vital de disposer d’une documentation claire (papier) d\u00e9crivant l\u2019environnement \u2013 avec la description des proc\u00e9dures et des configurations. L’absence de d\u00e9tails peut emp\u00eacher les entreprises de mener la r\u00e9cup\u00e9ration \u00e0 bien et de relancer leurs activit\u00e9s rapidement apr\u00e8s une attaque. L\u2019entreprise devrait conserver ces documents dans un coffre et les v\u00e9rifier\/mettre \u00e0 jour r\u00e9guli\u00e8rement.<\/p>\n

Prot\u00e9ger toutes les donn\u00e9es, quelles que soient leurs sources<\/strong><\/p>\n

Une fois que l\u2019entreprise a identifi\u00e9 ses donn\u00e9es provenant de l\u2019ensemble des sources \u00e0 disposition, il lui est possible de les prot\u00e9ger gr\u00e2ce \u00e0 plusieurs couches de protection destin\u00e9es \u00e0 non seulement r\u00e9duire la surface d\u2019attaque mais aussi \u00e0 limiter l\u2019acc\u00e8s. Apr\u00e8s s’\u00eatre introduits dans un environnement, les cybercriminels recherchent souvent des informations confidentielles ou des identifiants de connexion qui leur permettront de se d\u00e9placer lat\u00e9ralement, ou encore \u00e0 acc\u00e9der aux syst\u00e8mes de sauvegarde pour emp\u00eacher toute tentative de r\u00e9cup\u00e9ration. Pour limiter ce type de risques, l\u2019entreprise peut dans un premier temps limiter les acc\u00e8s prodigu\u00e9s par un jeu d\u2019identifiant\/mot de passe mais aussi s\u2019assurer qu\u2019un administrateur unique n\u2019ait pas acc\u00e8s \u00e0 l\u2019ensemble de l\u2019infrastructure. En outre, il est important de verrouiller ou de limiter l’acc\u00e8s des cadres – qui sont souvent des cibles faciles, mais aussi les privil\u00e8ges des administrateurs, en particulier pour les sauvegardes. La pratique courante consiste \u00e0 adopter une approche Zero Trust pour l’ensemble de l’environnement et de mettre en \u0153uvre un syst\u00e8me MFA et RBAC.<\/p>\n

Il est \u00e9galement important de segmenter ou de micro-segmenter le r\u00e9seau en plusieurs sous-r\u00e9seaux afin de veiller \u00e0 ce que l’acc\u00e8s – notamment aux donn\u00e9es critiques, soit g\u00e9r\u00e9 et limit\u00e9. L\u2019important est de limiter les possibilit\u00e9s de d\u00e9placement des hackers une fois dans le syst\u00e8me. Il convient de faire preuve de cr\u00e9ativit\u00e9, de mettre en place un syst\u00e8me adapt\u00e9 aux besoins et aux exigences en mati\u00e8re de s\u00e9curit\u00e9. Il est conseill\u00e9 aux entreprises de cr\u00e9er un r\u00e9seau cloisonn\u00e9 qui ressemble au r\u00e9seau de production mais tout en ayant des param\u00e8tres d\u2019identification diff\u00e9rents. De plus, elles ne devraient rien partager avec leur r\u00e9seau de production en dehors de l\u2019acc\u00e8s au stockage immuable. Dans le m\u00eame ordre d’id\u00e9es, il est important d’utiliser des solutions dites Air Gap, de garder fonctions vitales de l’infrastructure en dehors du Web et de stocker les configurations des services cl\u00e9s comme la sauvegarde, le r\u00e9seau et les services d’authentification, hors d\u2019atteinte.<\/p>\n

Mettez en place un stockage immuable et ind\u00e9l\u00e9bile disposant de fonctionnalit\u00e9s dites Air Gap<\/strong><\/p>\n

Une m\u00e9thode efficace pour prot\u00e9ger les donn\u00e9es consiste \u00e0 mettre en \u0153uvre un stockage immuable et ind\u00e9l\u00e9bile, qui garantit que les donn\u00e9es ne peuvent pas \u00eatre modifi\u00e9es, crypt\u00e9es ou supprim\u00e9es pendant une dur\u00e9e d\u00e9termin\u00e9e ou de fa\u00e7on permanente. De plus, il est recommand\u00e9 d\u2019initier une strat\u00e9gie de sauvegarde dite 3-2-1+1 qui consiste \u00e0 effectuer au moins trois copies des donn\u00e9es, d\u2019avoir au moins deux types de supports distincts (disque dur\/cloud), au moins une copie hors site ou s\u00e9par\u00e9e des donn\u00e9es, et au moins une sur un stockage immuable. Un autre protocole de s\u00e9curit\u00e9 d\u2019int\u00e9r\u00eat consiste \u00e0 cr\u00e9er un Air Gap, c’est-\u00e0-dire \u00e0 \u00e9tablir une s\u00e9paration physique ou une isolation des dispositifs, syst\u00e8mes, r\u00e9seaux, etc. Il peut s’agir de mat\u00e9riel, de logiciels et de solutions d’Air Gap \u00e9tablis dans le cloud<\/a>.<\/p>\n

D\u00e9tecter les activit\u00e9s anormales et analyser les logiciels malveillants<\/strong><\/p>\n

Ensuite, les entreprises devraient mettre en \u0153uvre des outils qui permettent de d\u00e9tecter les comportements ou activit\u00e9s anormaux, tant au niveau des donn\u00e9es que des utilisateurs. En clair, il s\u2019agit d\u2019instaurer des mesures concr\u00e8tes et automatis\u00e9es afin d\u2019alerter les \u00e9quipes si quelque chose se produit au sein de l\u2019environnement. Il peut s’agir d’une activit\u00e9 inhabituelle d’\u00e9criture de fichiers qui pourrait indiquer une infiltration, mais aussi la d\u00e9tection d’extensions de fichiers de ransomware connues, etc. Il est essentiel d’\u00eatre inform\u00e9 imm\u00e9diatement de tout ce qui sort de l’ordinaire. Il convient alors d\u2019effectuer une chasse aux cybermenaces r\u00e9guli\u00e8re pour laquelle mettre en place des outils de d\u00e9tection avec des protocoles d’investigation des comportements anormaux et des logiciels malveillants sera n\u00e9cessaire.<\/p>\n

Assurer une r\u00e9cup\u00e9ration flexible, rapide et hybride<\/strong><\/p>\n

En partant du principe que les hackers se sont d\u00e9j\u00e0 introduits dans l\u2019infrastructure, la r\u00e9silience et la r\u00e9cup\u00e9ration rapide deviennent l’objectif ultime. En fait, il s’agit d\u2019aller plus loin qu’un simple point de restauration, qu\u2019une seule copie de sauvegarde ou des copies multiples. L\u2019entreprise doit concevoir une exp\u00e9rience de restauration optimis\u00e9e et simplifi\u00e9e qui l\u2019aidera \u00e0 reprendre ses activit\u00e9s rapidement, m\u00eame \u00e0 grande \u00e9chelle. Il est bien connu que les solutions de sauvegarde multiples et disparates (de par leur conception), cr\u00e9ent une exp\u00e9rience de restauration compliqu\u00e9e, en particulier lorsque plusieurs syst\u00e8mes sont compromis. Les entreprises doivent alors simplifier et rationaliser ces solutions en r\u00e9duisant le nombre et la vari\u00e9t\u00e9 de produits et de fournisseurs utilis\u00e9s.<\/p>\n

Effectuer des tests et des simulations r\u00e9guliers<\/strong><\/p>\n

Les cybercriminels esp\u00e8rent g\u00e9n\u00e9ralement que les entreprises soient peu famili\u00e8res \u00e0 la r\u00e9cup\u00e9ration. Leur objectif \u00e9tant d\u2019obtenir \u00e0 tout prix une ran\u00e7on, l\u2019entreprise qui se pr\u00e9pare \u00e0 une reprise a une longueur d\u2019avance. Pour que la r\u00e9cup\u00e9ration soit rapide et efficace, l\u2019entreprise doit disposer d’un plan d’intervention de cybers\u00e9curit\u00e9 pour l’ensemble de l\u2019environnement, incluant des tests pr\u00e9coces et fr\u00e9quents. En effet, des simulations r\u00e9guli\u00e8res de crise \u2013 et donc de reprise, permettent de limiter les temps d’arr\u00eat et les perturbations et de r\u00e9duire l’impact d’une attaque. Il est \u00e9galement conseill\u00e9 aux entreprises d\u2019effectuer des tests de r\u00e9cup\u00e9ration sur l\u2019ensemble des applications car il est fort probable qu\u2019elles aient \u00e0 r\u00e9cup\u00e9rer l\u2019ensemble des \u00e9l\u00e9ments constitutifs de leur environnement de production. Finalement, des simulations et des tests r\u00e9guliers sont essentiels pour r\u00e9ussir, car lorsque l\u2019entreprise est en pleine crise, le principal est que le dispositif fonctionne.<\/p>\n

Les entreprises peuvent prendre des mesures drastiques pour lutter contre les ransomwares et prendre l\u2019ascendant sur les hackers. En mettant en \u0153uvre une strat\u00e9gie de r\u00e9silience multicouches qui suit les bonnes pratiques et assure une hygi\u00e8ne de cybers\u00e9curit\u00e9 irr\u00e9prochable, les entreprises auront la possibilit\u00e9 de prendre les devants et de faire face aux hackers. Et pour cause, lorsqu’il s’agit d’un \u00e9v\u00e9nement de cybers\u00e9curit\u00e9 ou d’une attaque par ransomware, la question n’est plus de savoir si cela arrivera, mais plut\u00f4t quand.<\/p>\n","protected":false},"excerpt":{"rendered":"

Par Jean-Pierre Boushira, VP South, Benelux, and Nordics chez Veritas Technologies \u00c0 l’heure actuelle, toute entreprise devrait partir du principe que les hackers ont d\u00e9j\u00e0 infiltr\u00e9 leurs syst\u00e8mes ou pourraient facilement y acc\u00e9der dans un avenir proche. Il est \u00e9vident que les cybercriminels avertis parviennent depuis un certain temps d\u00e9j\u00e0 \u00e0 d\u00e9jouer les meilleurs syst\u00e8mes […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[5],"tags":[],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.agglotv.com\/index.php?rest_route=\/wp\/v2\/posts\/61826"}],"collection":[{"href":"https:\/\/www.agglotv.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.agglotv.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.agglotv.com\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.agglotv.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=61826"}],"version-history":[{"count":1,"href":"https:\/\/www.agglotv.com\/index.php?rest_route=\/wp\/v2\/posts\/61826\/revisions"}],"predecessor-version":[{"id":61827,"href":"https:\/\/www.agglotv.com\/index.php?rest_route=\/wp\/v2\/posts\/61826\/revisions\/61827"}],"wp:attachment":[{"href":"https:\/\/www.agglotv.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=61826"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.agglotv.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=61826"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.agglotv.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=61826"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}