Les cybermenaces qui touchent les PME + Meilleures pratiques basées sur 5 principes et politiques

La semaine dernière, nous avons commencé à jeter un coup d’œil au rapport de sondage sur le Portrait de la sécurité informatique dans les PME de 2022 (cliquez ici pour télécharger le rapport).

Nous avons mis en lumière quelques tendances et problématiques importantes en cybersécurité. Par exemple, 67 % des PME se disent maintenant plus préoccupées par les cybermenaces que l’année dernière. Nous avons également partagé des recommandations pratiques et efficaces pour aider les PME à mettre sur pied une stratégie défensive qui :

• Limite la capacité d’un acteur malveillant à se déplacer librement dans l’environnement de l’entreprise.
• Améliorer la visibilité et faciliter les interventions.
• Évite les risques inutiles.
• Implémente un système efficace de remise sur pied des opérations.

Aujourd’hui nous continuons cette importante discussion en jetant une lumière sur cinq principes et politiques qui aident les PME à réduire considérablement les risques à la cybersécurité, tout en améliorant la visibilité, la gouvernance et le contrôle.

Table des matières

1. Le principe de moindre privilège
2. La confiance zéro
3. La séparation des tâches
4. La défense en profondeur
5. Le principe des « quatre yeux »

1. Le principe de moindre privilège

Le principe de moindre privilège consiste à seulement accorder aux utilisateurs finaux les accès dont ils ont besoin pour accomplir leurs tâches quotidiennes.

Nous conseillons aux PME d’adopter ces meilleures pratiques pour implémenter et assurer le maintien du principe de moindre privilège :

• Expliquer l’objectif de cette mesure à tous les utilisateurs finaux de sorte qu’ils comprennent que cette mesure n’est pas là pour les frustrer ou pour nuire à leur productivité. Le but est plutôt de protéger l’entreprise d’une brèche potentiellement coûteuse.
• Évaluer chaque rôle pour choisir le bon niveau d’accès. Ne pas assumer que le passé est garant de l’avenir. Les privilèges nécessaires à un rôle (ou un utilisateur spécifique) il y a trois ans peuvent ne plus être valides aujourd’hui. Le niveau d’accès par défaut devrait être réglé sur « le moins possible », et les accès plus élevés seulement accordés en fonction du besoin.
• Lorsqu’il est nécessaire d’accorder un accès privilégié temporaire, se servir d’identifiants à usage unique qui ne sont valides qu’au moment précis de leur utilisation. Cette méthode d’encadrement des privilèges peut être implémentée pour des utilisateurs individuels, pour des processus ou des systèmes.
• Séparer les comptes administrateur des comptes standards, et séparer les fonctions système élevées des fonctions système de bas niveau.
• Assurer une visibilité complète pour savoir ce que font les utilisateurs finaux et quand ils le font.
• Auditer régulièrement les privilèges des utilisateurs finaux pour s’assurer que le niveau d’accès est approprié.
• Retirer immédiatement l’accès aux utilisateurs finaux qui quittent l’organisation (cliquez ici pour plus de meilleures pratiques à ce sujet).
• Avoir la capacité de révoquer automatiquement les accès privilégiés en cas d’urgence.

2. La confiance zéro

La confiance zéro complète bien le principe de moindre privilège, car il repose sur l’idée que personne n’est digne de confiance dès le départ. Au contraire, la gestion des accès est basée sur le contexte, le comportement, le lieu et les secrets d’authentification que les utilisateurs finaux fournissent lorsqu’ils se connectent. C’est pourquoi certains disent que ce principe devrait plutôt se nommer « faire confiance mais vérifier » (nom un peu plus flatteur pour les utilisateurs finaux).

Bien que le principe de confiance zéro soit important depuis plusieurs années, il est aujourd’hui de plus en plus pressant de l’adopter dans le contexte du travail à distance qui brouille la distinction entre le travail en entreprise et l’utilisation du nuage.

Nous conseillons aux PME d’adopter ces meilleures pratiques pour implémenter et assurer le maintien du principe de confiance zéro :

• Utiliser l’authentification multifacteur (AMF) en temps réel pour assurer la confiance au moment d’accès aux ressources réseau ou lorsque le contexte change.
• Étendre les contrôles d’identité jusqu’aux points de terminaison afin de reconnaître et de valider tous les appareils.
• Rassembler les utilisateurs par groupe ou par rôle afin de maintenir les principes sur les appareils.
• Retirer automatiquement les accès et avoir la capacité d’effacer, de bloquer et désinscrire les appareils perdus ou volés.
• Mettre à jour régulièrement les droits des utilisateurs finaux en fonction des changements de rôles et de travail, en plus des modifications liées aux polices de sécurité ainsi qu’aux normes de conformité.
• Surveiller les comportements et activer des alertes lorsque des activités suspectes ou hors-norme sont détectées.

3. La séparation des tâches

Selon le principe de séparation des tâches, du moment que deux personnes ou plus participent à un processus de travail sensible, le risque de manipulation ou d’abus est moindre que si cette tâche était menée par un seul individu.

Nous conseillons aux PME d’adopter ces meilleures pratiques pour implémenter et assurer le maintien du principe de la séparation des tâches :

• Établir et assigner des rôles de façon à minimiser les risques et prévenir les conflits d’intérêts (réels ou apparents), les actes répréhensibles, la fraude et l’abus lorsqu’il est question d’assigner un ou plusieurs rôles à un employé.
• Faire correspondre les tâches avec les rôles en configurant les permissions et les droits d’accès en fonction de la séparation des rôles et des tâches qui, d’ailleurs, devraient être conformes au principe de moindre privilège (comme mentionné plus haut).
• Analyser les niveaux d’accès afin de s’assurer que personne n’est en mesure de combiner plusieurs accès, et ainsi de promouvoir à un niveau d’accès plus élevé (et non autorisé) sur un système ou un domaine.
• Intégrer des politiques de RH pour un programme exhaustif. Pour ce faire, il faut entraîner des superviseurs et des gestionnaires à reconnaître le moment où un employé s’est vu accordé, ou a assumé, des tâches qui nécessitent l’utilisation de ressources organisationnelles qui devraient être transférées à un rôle plus approprié.

4. La défense en profondeur

La défense en profondeur consiste à utiliser plusieurs couches de protection pour ralentir les pirates dans leurs tentatives de pénétrer les défenses de l’organisation et ainsi infecter des ressources vitales.

Nous conseillons aux PME d’adopter ces meilleures pratiques pour implémenter et assurer le maintien de la défense en profondeur :

• Concevoir des couches de contrôles comme si une brèche s’était déjà produite et implémenter des mesures défensives pour contrer ou contenir les prochaines percées des pirates.
• Opérer une synergie entre les principes et stratégies de sécurité. Par exemple, la séparation des tâches et le principe de moindre privilège protègent un pan entier de l’environnement d’une entreprise. C’est l’occasion parfaite pour implémenter des couches de contrôles entre eux.
• Implémenter le principe des « quatre yeux » (détaillé plus loin) pour les accès privilégiés en utilisant le processus d’approbation des informations pour détecter et bloquer les tentatives d’accès non autorisées.
• Implémenter des solutions de cybersécurité qui ne fonctionnent pas de la même manière et qui constituent des contrôles différents. Par exemple, un filtre réseau anti-maliciel, une application de liste d’autorisation et un analyseur de fichiers joints pour les courriels sont tous des outils anti-maliciel. Ils effectuent des opérations différentes et peuvent donc couvrir une surface d’attaque plus grande.
• Analyser les niveaux d’accès afin de s’assurer que personne n’est en mesure de combiner plusieurs accès, et ainsi de promouvoir à un niveau d’accès plus élevé (et non autorisé) sur un système ou un domaine.
• Il est également très important pour les PME de surveiller les accès et l’usage qui en est fait! Ralentir un pirate avec de nombreux contrôles préventifs est certes important, mais c’est loin d’être suffisant si les accès non autorisés et les tentatives d’élévation ne sont pas détectés et surveillés.

5. Le principe des « quatre yeux »

L’implémentation d’une double autorisation, communément appelée « principe des quatre yeux », selon laquelle chaque activité potentiellement risquée qu’entreprend un employé doit être révisée et approuvée par un autre (idéalement indépendant et compétent).

Nous conseillons aux PME d’adopter ces meilleures pratiques pour implémenter et assurer le maintien du principe des « quatre yeux » :

• Implémenter des processus à double autorisation pour accéder à des informations sensibles ou effectuer des actions élevées (voir la séparation des tâches, plus haut).
• Vérifier les pistes d’audit pour les actions effectuées sur des systèmes ou des données à risque.
• Assigner des rôles qui prennent en charge des procédures à haut risque ou l’accès à de nombreux employés.
• Enregistrer les actions effectuées sur des systèmes lorsque les utilisateurs externes accèdent aux ressources de l’entreprise. Ces enregistrements devraient être vérifiés afin d’assurer qu’aucune action suspecte n’ait été perpétrée.

À venir

Dans notre prochain aperçu du rapport sur le sondage du Portrait de la sécurité informatique chez les PME de 2022-2023, nous allons nous concentrer sur certains éléments importants d’une solution de gestion des accès privilégiés (PAM) pour aider les PME à combler le fossé entre l’authentification et l’autorisation.