Comme tous les experts en sécurité informatique le savent, les cybercriminels adorent les vacances. Les utilisateurs confiants peuvent s’attendre à recevoir des soldes qui sont une arnaque ou des messages d’hameçonnage qui se présentent comme des cadeaux ou des félicitations, alors que les entreprises peuvent se préparer aux attaques par déni de service sur leurs serveurs (comme celles dont les services de Xbox et PlayStation ont été victimes) ou, pire encore, aux intrusions dans le réseau (nous faisons ici référence à la BBC). Pour les escrocs qui s’en prennent aux réseaux, Noël offre deux opportunités en or. Tout d’abord, les gens se détendent à l’approche des fêtes, ces qui fait qu’ils sont moins préparés à un incident grave. Ensuite, beaucoup d’informaticiens sont en congé. Ces deux facteurs ont un effet négatif sur la rapidité et l’efficacité de la réponse. Pour réduire les risques d’être victime d’une attaque réussie, vous pouvez adopter quelques mesures simples mais efficaces. Elles ne vous garantissent pas une sécurité totale mais vont réduire les chances des cybercriminels.
Se déconnecter
Comme 2022 l’a montré, le monde de la cybercriminalité est de plus en plus spécialisé et concentré sur des niches. Les cybercriminels vendent les accès initiaux aux réseaux des entreprises, en tant que service, et les identifiants authentiques d’employés actuels, volés par un programme malveillant ou un e-mail d’hameçonnage, sont un des articles les plus prisés. Vous pouvez rendre ces attaques plus difficiles en introduisant un système coûteux d’authentification à plusieurs facteurs et en adoptant une stratégie Zero Trust, même si la semaine avant Noël n’est définitivement pas le bon moment pour mettre en place des changements aussi radicaux dans votre système de sécurité.
Voici tout de même quelques mesures simples que vous pouvez adopter :
- Vérifiez que la liste des employés ayant accès à l’infrastructure de l’entreprise par un VPN ou un RDP n’inclut pas des personnes non autorisées, des comptes techniques inutiles ou d’anciens collègues. Retirez l’accès aux personnes qui n’en ont pas besoin.
- Modifiez les mots de passe des comptes administrateur et assurez-vous que tous les administrateurs actifs ont bien reçu les nouveaux mots de passe. Si l’authentification à plusieurs facteurs n’est pas active, il est temps d’y remédier.
- Une version plus radicale du conseil précédent consiste à créer des comptes administrateur « d’urgence » pour répondre à un éventuel incident pendant cette période. Les droits donnés aux comptes administrateur habituels peuvent être temporairement restreints pour que les escrocs ne puissent pas les exploiter.
- Fermez les sessions inutiles que les employés ont laissé ouvertes pendant trop longtemps sur les dispositifs. Cela s’applique également aux services de messagerie, aux applications Web et à bien d’autres services.
- Fermez les connexions VPN qui ne sont pas nécessaires.
Installer les correctifs
Une autre méthode souvent utilisée pour pénétrer dans le réseau d’une entreprise consiste à exploiter les vulnérabilités non corrigées. Pour les cybercriminels, les failles au sein de l’infrastructure du serveur d’une entreprise, comme ProxyShell (CVE-2021-34473), sont le leader incontesté. Ces vulnérabilités permettent d’avoir accès aux parties les plus juteuses du réseau et de prendre le contrôle d’autres serveurs, voire du contrôleur de domaine. Ainsi, avant les fêtes, il convient de vérifier et d’installer les derniers correctifs de toutes les applications importantes. Évidemment, ce processus est beaucoup plus simple si vous utilisez des solutions de sécurité équipées d’un système qui gère les correctifs.
Désigner des responsables
Choisissez (par écrit) les personnes responsables de répondre aux incidents. Toutes les personnes impliquées doivent connaître la distribution des rôles, et celles qui ont un rôle déterminant doivent être disponibles par téléphone et en ligne 24 heures sur 24 et 7 jours sur 7. Dans le cas d’une attaque importante, les services de messagerie électronique et de messagerie instantanée de l’entreprise pourraient ne pas fonctionner. Il est important d’avoir des canaux de communication de réserve auxquels tous les membres de « l’équipe d’alerte » ont accès.
Réaliser des exercices
Si vous avez accès à une plateforme de formation en sécurité, il est temps d’effectuer un exercice avec un e-mail d’hameçonnage lié à Noël. Toutes les personnes qui échouent devront probablement suivre une nouvelle formation (l’année prochaine) et modifier leur mot de passe avant de partir en vacances.
Si vous n’avez pas encore accès à un système similaire, prenez au moins le temps d’envoyer un message aux employés pour leur rappeler de faire attention et ajouter quelques exemples de messages d’hameçonnage de Noël.
Envisager d’utiliser une solution MDR
Si, lorsque vous vous préparez pour une éventuelle attaque pendant les vacances de Noël, vous vous rendez compte que votre équipe n’est pas prête à fournir une protection continue du réseau, vous allez peut-être envisager d’embaucher des experts en activités de détection et de réponse gérés (MDR).
Il s’agit principalement d’une équipe externe qui s’occupe de résoudre les problèmes de sécurité informatique. Les fournisseurs de services MDR peuvent déployer assez rapidement des solutions qui reposent sur des produits de sécurité informatique connus, mais cela reste tout de même une tâche difficile à effectuer quelques jours avant Noël. Le passage à une solution MDR pourrait être une de vos bonnes résolutions pour 2023 puisqu’il s’agit de la solution la plus efficace pour les entreprises qui ne peuvent pas avoir une surveillance 24 heures sur 24 et 7 jours sur 7 à Noël.