[LE SONDAGE EN DÉTAILS] Les cybermenaces qui touchent les PME + quelques recommandations

Dans le cadre de notre sondage sur le Portrait de la sécurité informatique dans les PME de 2022-2023 [maintenant disponible], nous avons demandé à des dirigeants et décideurs issus de PME à travers le monde de nous faire part de leurs points de vue concernant la sécurité des TI. Nos questions portaient sur leurs expériences au courant de la dernière année, ce qui les préoccupe le plus aujourd’hui, ainsi que les mesures de protection qu’ils ont adoptées.

Voici un résumé de ce que nous avons appris :

• 67 % des PME sont plus préoccupées par les cybermenaces que l’année dernière, 28 % le sont autant, et 5 % se disent moins inquiètes.
• Les trois cybermenaces qui inquiètent le plus les PME sont : les rançongiciels, l’hameçonnage et les logiciels malveillants.
• Au cours de l’année, 18 % des PME ont essuyé plus de 5 cyberattaques, 42 % ont subi entre 1 et 5 attaques, et 40 % ont été épargnées jusqu’à présent.
• Les trois mesures les plus fréquemment mises en place par les PME pour se protéger contre les menaces externes sont : l’adoption du principe de moindre privilège, l’audit fréquent des comptes privilégiés et l’implémentation de la séparation des tâches.
• Les trois mesures les plus fréquemment mises en place par les PME pour se protéger contre les menaces internes sont : l’adoption du principe de moindre privilège, la surveillance continue des comptes privilégiés et l’implémentation de la séparation des tâches

Pour le reste de cet article, nous détaillerons les mesures que peuvent mettre en place les PME pour se protéger contre les cybermenaces au lieu d’adopter une approche passive ou d’assumer qu’elles sont « trop petites pour être attaquées ». Cette idée peut sembler réconfortante, mais elle est fausse. En effet, les pirates s’en prennent de plus en plus aux PME (consultez cet article pour découvrir les principales causes de cette tendance).

Recommandations pour les PME

Il faut avant tout admettre que, bien que la prévention totale des cyberattaques soit un but louable, il n’en demeure pas moins irréalisable. Il existe tout simplement beaucoup trop de types de menaces (sans compter toutes leurs variantes). De plus, la superficie de la surface d’attaque est vaste et en expansion constante, et ce, tout particulièrement depuis l’adoption en masse du travail hybride/à distance.

D’un autre côté, les conséquences qu’entraînent les rançongiciels et autres cybermenaces peuvent être atténuées si l’on y est adéquatement préparé. Plus spécifiquement, nous conseillons aux PME de développer une stratégie défensive qui :

1. Limite la capacité d’un acteur malveillant à se déplacer librement dans l’environnement de l’entreprise.
2. Améliorer la visibilité et faciliter les interventions.
3. Évite les risques inutiles.
4. Implémente un système efficace de remise sur pied des opérations.

Limiter la capacité d’un acteur malveillant à se déplacer librement dans l’environnement de l’entreprise

Une fois l’accès initial obtenu, les pirates vont tenter de se procurer des identifiants privilégiés pour ensuite s’introduire dans l’environnement de l’entreprise en tant qu’administrateur. Ce stratagème nécessite normalement de passer de système en système. L’attention portée à la sécurité des comptes ainsi qu’un contrôle et une gouvernance d’accès privilégiés convenables contribuent à la détection rapide des pirates. Les principales mesures d’interventions que devraient adopter les PME se doivent d’inclure :

• Le déploiement complet d’une solution de gestion des accès privilégiés (PAM) exhaustive, facile à utiliser et à gérer.
• L’implémentation d’une double autorisation, communément appelée « principe des quatre yeux », selon laquelle chaque activité potentiellement risquée qu’entreprend un employé doit être révisée et approuvée par un autre (idéalement indépendant et compétent).
• La mise en place d’un processus d’approbation des informations, lequel force les individus à approuver les données et les tâches à des moments spécifiques d’un processus.
• L’implémentation de la solution LAPS (Local Administrator Password Solution), solution qui rend possible la gestion des mots de passe de comptes locaux pour les ordinateurs joints au même domaine. Ces mots de passe sont stockés dans Active Directory (AD) et protégés par une liste de contrôle d’accès (ACL), de sorte que seuls les utilisateurs légitimes puissent faire une demande de réinitialisation de mot de passe.

Améliorer la visibilité et faciliter les interventions

Les « solutions de détection et d’intervention sur les terminaux » (EDR) sont essentielles pour détecter et contrer les logiciels malveillants, qu’ils soient connus ou non. Voici d’autres mesures que devraient adopter les PME :

• Des méthodes d’analyse comportementale se basant sur l’apprentissage automatique, l’intelligence artificielle, les mégadonnées et l’analyse de données statistiques pour identifier les comportements suspects en les comparant à des activités normales du quotidien.
• L’inclusion de fonctionnalités d’autonomie, méthode selon laquelle l’information, les fichiers, les systèmes et les réseaux sont gardés par des points d’accès.
• La centralisation des contrôles afin que la cybersécurité de toute l’organisation soit gérée à l’aide d’un ensemble centralisé d’outils, de procédures et de systèmes. Cette approche fait en sorte que les départements de cybersécurité ne travaillent plus « en silos » en instaurant un réseau central qui englobe toutes leurs opérations.
• La sous-traitance de certaines, voire de toutes les tâches liées à la sécurité informatique à un fournisseur de services gérés (MSP).

Éviter les risques inutiles.

Réduire la superficie de la surface d’attaque est vital pour empêcher les accès initiaux, l’élévation et les mouvements latéraux (la connexion à d’autres systèmes) au sein de l’environnement de l’entreprise. Les systèmes qui ne sont pas nécessaires aux activités d’affaires ou qui n’ont pas été corrigés à temps sont vulnérables. Ces systèmes devraient être gérés de manière à les protéger contre les pirates.

Implémenter un système efficace de reprise des activités.

Un plan de sauvegarde et de reprise des activités devrait être mis en place afin de faciliter la reprise des activités après une attaque par rançongiciel particulièrement perturbante. Nous recommandons aux PME d’adopter les meilleures pratiques suivantes :

• Augmenter la fréquence de la sauvegarde de données! En raison de la prolifération des rançongiciels, sauvegarder ses données une fois par nuit ne suffit plus. Tous les ensembles de données devraient être sauvegardés plusieurs fois par jour.
• Faites correspondre vos stratégies de sauvegarde de données avec les demandes de niveau de service. Par exemple, si le niveau de service est de 15 minutes, alors la sauvegarde de données devrait être exécutée au moins à chaque 15 minutes.
• Suivre le « principe 3-2-1 » de la sauvegarde de données. Selon ce principe, il faut garder trois copies complètes des données : deux d’entre elles sont gardées localement sur des médias de différents types (ou des systèmes locaux de stockage de sauvegardes de données), et une copie est stockée hors des locaux de l’organisation.
• Faire attention lors de la migration de données vers le nuage. Être sur ses gardes lorsqu’un vendeur offre des services de reprise sur sinistre (Disaster Recovery as a Service, ou DRaaS). Bien que DRaaS offre des avantages indéniables, il ne s’agit pas d’une baguette magique. Les PME doivent garder à l’esprit que « reprise sur sinistre en un clic » n’est pas synonyme de « reprise des activités en quelques secondes ».
• Automatiser les dossiers d’exploitation de la reprise sur sinistre. Pour ce faire, il faut prédéfinir l’ordre de récupération et exécuter le processus approprié en un seul clic. Cette démarche peut grandement aider les PME qui disposent d’applications multiniveaux avec des serveurs indépendants puisqu’elle facilite la récupération où et quand le besoin se fait sentir.
• Ne pas utiliser des sauvegardes de données pour la conservation des données. Il faut savoir que la plupart des récupérations utilisent la sauvegarde de données la plus récente, et non celle qui date de plusieurs mois, voire de plusieurs années.
• Protéger les points de terminaison et les applications SaaS. Les ordinateurs portables, les téléphones intelligents et les tablettes peuvent contenir des données uniques de la plus haute importance. Celles-ci ne sont jamais stockées dans un centre de données sauf si ces données sont spécifiquement et délibérément sauvegardées de cette manière.

Pour notre prochaine aperçu du rapport sur Portrait de la sécurité informatique dans les PME de 2022-2023, nous détaillerons quelques meilleures pratiques afin d’aider des PME à implémenter cinq principes et politiques (dont certaines sont mentionnées plus haut) qui réduisent grandement des risques de cybersécurité : le principe de moindre privilège; la confiance zéro; la séparation des tâches; la défense en profondeur; et le principe des quatre yeux.