Pour constituer un réseau sécurisé, nous devons utiliser différents composants, chacun ayant un objectif spécifique en termes de sécurité. Par souci de lisibilité, nous regroupons ces composants en deux catégories : le filtrage du contenu et la surveillance du trafic.

La première catégorie, le filtrage du contenu, rassemble les éléments qui ont des actions actives sur le réseau et peuvent manipuler le trafic (autoriser, refuser, modifier, etc.). Il s'agit des éléments suivants :

• les « firewalls », qui filtrent les flux du réseau et assurent un contrôle rapproché de la communication entre les hôtes de différentes sensibilités en matière de sécurité
• les « forward proxies », qui contrôlent les communications sortantes vers l'internet non sécurisé
• le « Network Access Control » (NAC), qui diminue les intrusions physiques, malveillantes ou accidentelles sur votre réseau
• les « Virtual Local Area Networks » (VLAN), qui compartimentent les hôtes et les services en collaboration avec les firewalls
• les « Virtual Private Networks » (VPN), qui interconnectent plusieurs réseaux internes distants en toute sécurité, même s'ils doivent passer par l'internet qui n'est pas sécurisé

La seconde catégorie, la surveillance du trafic, regroupe les éléments qui se limitent à surveiller le réseau et ne modifient dès lors pas le trafic. C'est principalement le cas des systèmes de détection d'intrusion («Intrusion Detection Systems», IDS).

• Les IDS surveillent le trafic et détectent tout comportement indésirable.
• « Endpoint Detection and Response » (EDR), une solution de sécurité pour les terminaux qui surveille en permanence les appareils des utilisateurs finaux afin de détecter aux cybermenaces telles que les ransomwares et les logiciels malveillants et d’y réagir.

Tous ces éléments doivent respecter certaines bonnes pratiques pour atteindre leurs objectifs et doivent être imbriqués correctement.

Firewalls

Choisissez votre firewall

Il existe trois principaux types de firewalls : « stateless », « stateful » et « next-generation ».

Les firewalls « stateless » et « stateful » inspectent tous deux les headers des paquets avant de prendre une décision ; dès lors, ils examinent uniquement l’adresse IP et le port, la source et la destination. En outre, le firewall « statefull » stocke des informations concernant les connexions actives. Lorsqu'une connexion est ouverte, le firewall recherche et met à jour son enregistrement d'état interne à mesure que de nouveaux paquets sont inspectés. Cela lui permet de détecter des anomalies. Par exemple, une réponse DNS sans demande correspondante.

C'est pourquoi nous recommandons toujours d’utiliser un firewall « stateful » et non un « stateless ».

En revanche, un Next-Generation Firewall (NGFW) peut inspecter la totalité des paquets. Les capacités de traitement et donc le prix sont bien sûr plus élevés. Mais il s'agit de la meilleure technologie firewall actuellement disponible sur le marché.

Système

En règle générale, nous entendons réduire autant que possible la surface d'attaque de nos systèmes, et tout ce qui reste accessible doit être étroitement contrôlé.

Nous nous concentrerons tout d'abord sur la configuration et la maintenance du firewall proprement dit. À ce titre, nous devons insister sur l'utilisation de comptes nominatifs, idéalement authentifiés à l’aide d’un directory service grâce au protocole LDAP, avec une authentification multi-facteurs et un certificat valide pour une bonne sécurité.

Apprenez-en plus en lisant notre papier à propos du Multi-Factor Authentication : https://www.cert.be/fr/paper/mieux-proteger-les-comptes-grace-lauthentification-multifacteur 

Le compte de service utilisé pour interroger l'active directory doit avoir le moins d’accès possible. 
Tous les comptes nominatifs doivent respecter le principe du « moins d’accès possible ». À titre d’exemple, un analyste doit seulement avoir un accès en mode lecture, alors qu'un administrateur peut avoir un accès en mode lecture et écriture. Idéalement, ces paramètres doivent être configurés à l’aide de groupes de rôles dans le directory service pour éviter d'avoir différents droits de configuration. Les informations d'identification de l'administrateur local doivent être conservées en lieu sûr et ne jamais être utilisées, à moins qu'il n'y ait pas d'autre solution.

La liste des comptes ayant accès au firewall doit être mise à jour au fil des arrivées et départs de collaborateurs, ainsi que des changements de fonction. Cette liste doit être revue au moins une fois par an.

En termes de configuration du réseau, il faut absolument consacrer une interface physique du firewall à l'accès de l’administration dans le VLAN de l’administration. Il faut veiller à désactiver les interfaces réseau qui ne sont pas utilisées, toujours dans l’idée de réduire la surface d'attaque. Il 
est également important que le firewall dispose de routes statiques pour tous les réseaux internes qui ne sont pas directement connectés au firewall, afin d'éviter toute usurpation  du DNS et d'éventuelles attaques par spoofing.

Politique de filtrage

Lorsque vous configurez votre politique de filtrage, nous vous recommandons d'utiliser des règles explicites. Cela signifie que vous devez écrire tout ce que vous voulez faire, dans un ordre logique, sans tenir compte de règles implicites qui pourraient être intégrées dans le firewall. En outre, cette méthode facilite la compréhension et l’application des règles pour vous et les futurs administrateurs. Elle permet aussi d'affiner plus facilement les paramètres spécifiques d'une règle, par exemple choisir de ne pas enregistrer un trafic bruyant bien connu.

Appliquez aussi le principe du « least privilege » : ouvrez seulement les ports nécessaires au bon fonctionnement du business et des travailleurs, mais sans plus. Ne refusez pas non plus catégoriquement d’ouvrir tout nouveau port, mais agissez plutôt en « bon père de famille ».

Tout ce que la politique de filtrage n’autorise pas explicitement doit également être explicitement bloqué. C'est pourquoi, à la fin de votre configuration, vous devez absolument définir une règle finale de blocage et d’enregistrement.

Afin d'examiner de plus près l'ordre logique des règles, qui les rend plus efficaces, plus faciles à lire et à appliquer, nous les diviserons en trois types :

• La protection du firewall :
  • autoriser et enregistrer les flux vers le firewall (typiquement pour l’administration), et les flux émis par le firewall (typiquement pour les mises à jour) ;
  • bloquer tout flux réseau à destination du firewall. Cette règle devrait évidemment être enregistrée, et nous devrions nous assurer qu’elle couvre chaque interface du firewall.
• Les règles du business :
  • autoriser tous les flux du réseau business de la manière la plus précise possible et les enregistrer.
• Les règles en matière de bruit :
  • si nécessaire, désactiver l'enregistrement des bruits connus.
• Le blocage final :
  • bloquer et enregistrer tout ce qui n'est pas autorisé précédemment. Dans certaines configurations, ce blocage peut également être placé au début. Cela bloquera tout, sauf ce qui sera autorisé après mais, dans ce cas, il enregistrera tout le trafic. Mais l'idée reste la même.

Voici, un exemple d’aperçu succinct de ce à quoi cela doit ressembler :

Forward Proxies

Nous voulons garder le contrôle des connexions Internet sortantes pour détecter le trafic « Command & Control (C2) » ou les canaux cachés et bloquer l'accès aux malwares ou aux sites Internet malveillants. C’est le rôle du proxy.

Position et cryptage

Le proxy doit disposer de capacités suffisantes pour décrypter et analyser le trafic. À cette fin, le serveur proxy agit en tant que passerelle entre l'utilisateur et le serveur de destination, traitant toutes les demandes et réponses au nom de l'utilisateur. Cette position permet au proxy de lire le contenu de chaque connexion et d'appliquer le filtrage souhaité.

Le proxy doit également assurer une connexion sécurisée entre lui et les autres acteurs impliqués. Il utilise idéalement TLS 1.3, tout en veillant à ne jamais autoriser la rétrogradation des méthodes de cryptage. Cela signifie que nous voulons utiliser des proxies explicites plutôt que des proxies « bump-in-the-wire » (ou transparents), qui ne fonctionnent plus efficacement avec le trafic crypté.

En outre, le proxy doit disposer de toutes les capacités modernes d'analyse des protocoles : HTTPv3, QUIC, DoT, DoH, DoQ, media streaming, etc.

Nous voulons être en mesure de capter la télémesure du réseau pour identifier les anomalies (très utile pour la détection d’exfiltrations), et les captures du réseau (PCAP) pour rechercher les menaces ultérieurement. L'enregistrement du « HTTP header » est également intéressant pour identifier les fuites de données. Ce n'est pas l'objet du présent document, mais si vous souhaitez obtenir davantage d'informations ou connaître les méthodes de mise en œuvre, vous pouvez consulter l'article suivant : https://cqr.company/web-vulnerabilities/information-leakage-via-http-headers/. 

Authentification de l'utilisateur

Cette fonction détermine la manière dont les appareils des utilisateurs sont validés lorsqu'ils accèdent à Internet. L'authentification par proxy doit être activée pour pouvoir créer de nouvelles règles pour les utilisateurs ou les groupes. 

Il existe deux méthodes d’identification d’un utilisateur : à l’aide de l'adresse IP de son appareil ou d’un nom d'utilisateur et un mot de passe. Si la deuxième option est clairement la meilleure, elle ne pourra être appliquée à chaque composant de votre réseau, comme les serveurs. Nous établirons alors une liste d'hôtes sources et de destinations autorisés en fonction des besoins techniques (mise à jour des serveurs). En effet, pour les cyberpirates, l’accès des serveurs à Internet est le moyen le plus facile pour exfiltrer des données. Tout accès non authentifié ou non autorisé doit être bloqué. 
Grâce à l'authentification des utilisateurs, le proxy doit être en mesure de détecter les administrateurs locaux ou de domaine, les comptes autorisés ou les comptes de service et ainsi de bloquer leur accès à Internet.

Configuration des hôtes

Dans le cas d'un proxy explicite, nous utilisons généralement un fichier Proxy Auto-Configuration (PAC) ou Web Proxy Auto-Discovery (WPAD) qui décrit à l'hôte client comment il doit accéder aux ressources en fonction de son URL, de son nom d'hôte ou de son IP. Ce fichier doit être stocké de manière à ce que les utilisateurs (non externes) puissent y accéder facilement et rapidement ; seuls les utilisateurs autorisés appropriés peuvent le modifier. Ce fichier permet aussi de configurer certaines connexions en contournant le proxy (DIRECT), mais les risques que cela comporte doivent être soigneusement pris en compte.

Configuration du proxy

En termes de politique, le proxy doit être configuré pour :

• restreindre les executables, libraries, scripts, installers ou toute autre application à une liste préapprouvée ;
• restreindre les capacités de téléchargement des types de fichiers non approuvés ;
• bloquer les contenus actifs ou impossibles à scanner, comme les macros ou les fichiers cryptés ;
• profiter de la catégorisation des sites Internet, généralement fournie par le fournisseur, pour autoriser uniquement l'accès aux sites Internet en fonction des besoins du rôle de l'utilisateur. Étant donné que les sites de logiciels malveillants changent régulièrement, il serait judicieux de bloquer les nouveaux sites ou les sites non classés ;
• détecter et bloquer les logiciels malveillants via l'heuristique, la réputation et la signature.

Network Access Control (NAC)

Si l'on veut réduire les risques qu'un appareil malveillant soit physiquement connecté au réseau, une solution est d’implémenter un Network Access Control (NAC). Il permet en effet de vérifier les niveaux d'autorisation et d'accès de chaque appareil ou utilisateur avant qu'il ne se connecte au réseau. L'appareil ou l'utilisateur qui se connecte est d'abord placé dans un VLAN distinct et, si l'authentification et l'autorisation sont validées, il est alors connecté au réseau principal.

Bien que la mise en œuvre de ces solutions n’est pas l’objet du présent document, voici néanmoins quelques recommandations de base :

• l'authentification MAC peut être facilement contournée en usurpant l’adresse MAC ; il est dès lors préférable d'utiliser en priorité l'authentification 802.1x ;
• certains appareils comme les imprimantes ne supportent généralement pas le protocole 802.1x, ils doivent être placés sur un autre réseau ;
• comme un cyberpirate peut placer un hub et utiliser le mode d’authentification d'un appareil légitime pour s'introduire sur le réseau, il est préférable de réduire le délai de réauthentification des appareils ;
• tous les ports réseau inutilisés doivent être désactivés ;
• les informations comme les adresses IP ou MAC doivent être étroitement contrôlées parce que, si elles sont visibles, les cyberpirates ont plus de facilités à mener une attaque ;
• il faut apprendre aux employés à poser des questions et à informer les personnes compétentes s'ils sont témoins de la connexion de nouveaux appareils nouveaux ou d’appareils suspects ;
• le NAC permet de surveiller un certain nombre d'éléments qui peuvent être révélateurs d'une attaque :
  • un lien qui passe inhabituellement de « up » à « down »
  • modifications de la vitesse du réseau et du duplex
  • modifications de la taille de l’écran
  • changements dans les TTL

Un NAC peut authentifier l'utilisateur, tout en validant la configuration de sécurité de l'hôte client pour voir si elle satisfait aux politiques de sécurité. Par exemple, un antivirus à jour, etc.

Virtual Private Networks (VPN)

Les VPN sont utilisés pour connecter par Internet des hôtes ou des réseaux séparés, le tout de manière sécurisée et confidentielle.

Il existe de nombreux types de VPN, nous nous concentrerons ici sur les deux principaux, à savoir les solutions VPN IPsec et SSL. La principale différence se situe au niveau du protocole : IPSec est intégré dans TCP/IP, tandis que SSL/TLS est une couche supplémentaire à TCP/IP.

Quelle que soit la technologie VPN choisie, il est primordial de respecter les mesures de sécurité d’usage en fonction de ce qui est disponible : authentification appropriée, contrôle d'accès approprié et logging appropriée. Ces mesures ne sont pas l’objet du présent document et seront abordées dans d'autres publications.

IPsec

Les VPN IPsec sont composés de trois protocoles principaux : Internet Key Exchange (IKE), Authentication Header (AH) et Encapsulating Security Payload (ESP).

• IKE est d'abord utilisé pour l'authentification des deux parties par un échange de clés et crée ainsi ce que l'on appelle une « association de sécurité » entre deux appareils. IKE prend en charge les Pre-Shared Keys (PSK) et l'authentification par certificat. Pour une meilleure sécurité, nous devrions utiliser des certificats signés par une autorité de certification fiable.
• AH permet aux deux parties de la communication de s'assurer que les paquets n'ont pas été altérés en cours de transit. À la source, le résultat du calcul, appelé Integrity Check Value (ICV), est placé dans un en-tête spécial. Le destinataire effectue le même calcul et compare son résultat à la valeur ICV pour authentifier l'intégrité du paquet. AH ne fournit aucune encryption.
• ESP est responsable du cryptage du message, réalise à l’aide des clés symétriques échangées précédemment. 

Si vous utilisez un concentrateur VPN, nous vous recommandons d'activer Dead Peer Detection (DPD). Il s'agit d'un mécanisme qui permet aux deux parties d'un tunnel IPsec de détecter si l'autre partie n'est plus joignable et de supprimer l'association de sécurité IKE. 

Pour aller plus loin, il est possible de disposer d'une référence actualisée et de pointe pour tout ce qui concerne les mécanismes de cryptage dans le NIST Special Publication 800-77. 

SSL VPN

Les SSL VPN fonctionnent en grande partie de la même manière que les autres technologies SSL/TLS, comme HTTPS. Concrètement, cela signifie que le tunnel est établi en quatre étapes, à savoir la poignée de main initiale, l'authentification du serveur, la négociation du chiffrement et l'échange de clés. Les données sont ensuite acheminées dans le tunnel créé pour les terminaux ou les réseaux pour lesquels il a été configuré, avec les mécanismes de cryptage et les clés qui ont été négociés.

Comme il s'agit d'une norme très répandue, la mise en œuvre et la maintenance de ces tunnels sont très faciles.

Cependant, n'oubliez pas de choisir un certificat de taille raisonnable (RSA 2048 bits pour un certificat Let's Encrypt est plus que suffisant). Ce merveilleux outil de la Fondation Mozilla devrait vous être d'une grande aide : https://ssl-config.mozilla.org/  

Il vous évite de faire des erreurs lorsque vous avez besoin d'une configuration SSL pour un service que vous ne connaissez pas très bien.

Voici les recommandations minimales habituelles pour utiliser des algorithmes de cryptage dans les SSL VPN au moment de la publication :

Source: ANSSI - Agence Nationale de la Sécurité des Systèmes d’Information. (2020, January 1). Guide des mécanismes cryptographiques. ANSSI. https://www.ssi.gouv.fr/uploads/2021/03/anssi-guide-mecanismes_crypto-2.04.pdf 

Surveillance du trafic

IDS/IPS

Les IDS (Intrusion Detection Solution) et les IPS (Intrusion Protection Solution) sont des solutions qui permettent de détecter et éventuellement de bloquer toute menace sur le réseau. Vous trouverez plus de détails dans l'un de nos prochains articles.

WAF

Les WAF (Web Application Firewalls) sont des dispositifs placés devant un serveur Internet qui protègent les services Internet contre les attaques au niveau applicatif. Cette technologie sera abordée dans un autre article.

Virtual Local Area Networks (VLAN)

Pour segmenter le réseau, nous utilisons le concept de VLAN (Virtual Local Area Network). Cette technologie nous permet de créer différents réseaux virtuels distincts au sein d'un routeur ou d'un switch de niveau 3, sans avoir à supporter les coûts et la complexité d’avoir des réseaux physiquement séparés.

Le principal risque lié à l'utilisation de VLAN au lieu d'une segmentation physique réside dans les attaques de type « VLAN-hopping », dans lesquelles un cyberpirate pourrait abuser d'un mécanisme pour « sauter » (« hop ») d'un VLAN moins sensible à un VLAN plus sensible, en contournant ainsi les mesures de sécurité destinées à protéger le VLAN sensible. Il est possible de se prémunir contre ce type d'attaque avec un minimum de préparation ; les bénéfices des VLAN sont donc bien supérieurs à ce désagrément.

Nous pouvons réduire les risques en suivant quelques recommandations, que nous décrirons dans le chapitre suivant « Configuration des périphériques de réseau ».

Nous décrirons également comment exploiter les VLAN pour créer un réseau complet dans le chapitre « Sécurité traditionnelle des réseaux ».

Configuration des périphériques de réseau

Bien que les dispositifs de réseau ne soient pas des dispositifs de sécurité et ne doivent pas être considérés comme tels, ils sont très centraux et les cyberpirates peuvent facilement les exploiter. Il faut dès lors particulièrement veiller à la configuration de leur sécurisation.

Il existe donc un ensemble de mesures visant à renforcer la configuration qu’il est possible de mettre en œuvre pour les routeurs et les switches :

• implémenter une authentification centralisée et une gestion des droits. Les comptes d'administrateurs locaux ne doivent être utilisés qu'en dernier recours. Les utilisateurs doivent avoir le moins d’accès possible sur chaque appareil, en fonction de leur rôle. Par exemple, les analystes n'ont qu'un accès en lecture et les ingénieurs un accès en lecture et en écriture ;
• comme les identifiants des comptes d'administrateur par défaut sont généralement connus de tous, ces paramètres doivent être remplacés par des paramètres plus sûrs avant de connecter l'appareil à un réseau. Les groupes d'administrateurs par défaut doivent également être désactivés ;
• afin de se protéger contre les attaques par force brute, il convient de limiter le nombre de tentatives d'authentification possibles et de prévoir un délai de connexion en cas d'échec de l'authentification. L'idéal serait de disposer de trois tentatives de connexion ou moins avec une période d'attente d'une seconde entre chaque tentative ;
• tous les appareils doivent synchroniser leurs horloges via NTP à partir d'un serveur de temps centralisé ;
• les protocoles non sécurisés et en texte en clair doivent être désactivés : Telnet, HTTP, SNMP version 1 et 2... tous les services non utilisés doivent être désactivés ;
• le routage de la source IP doit être désactivé car il peut être exploité pour contourner les dispositifs de sécurité ;
• le VLAN 1 par défaut est souvent attribué à différents services, y compris les protocoles de management. Il convient donc de désactiver le VLAN 1 et de créer un nouveau VLAN natif pour les ports trunk ainsi qu'un nouveau VLAN pour les ports d'accès. Nous devons également disposer d'un VLAN de management distinct de tous les autres VLAN.
• Le Dynamic Trunk Protocol risque d’être exploité pour accéder à un VLAN qui ne doit pas être accessible à partir d'un port spécifique. Par exemple, un cyberpirate ayant le contrôle d'un poste de travail connecté à un port dynamique pourrait le reconfigurer pour accéder directement au VLAN du serveur interne. Par conséquent, cette fonction ne devrait jamais être utilisée et devrait être désactivée. Les ports trunk doivent être explicitement configurés pour n'autoriser que les VLAN requis ;
• s’il est compliqué d’atténuer les risques liés à l'accès physique, la « sécurité des ports » constitue un pas dans la bonne direction : en limitant le nombre d'adresses MAC pouvant se connecter à un port de réseau, elle complique un peu la tâche d’un cyberpirate. Il faut l’activer.
• dans cet ordre d'idées, les ports inutilisés doivent être désactivés afin qu’un cyberpirate disposant d'un accès physique ne puisse pas les utiliser.
• le routeur ou le switch ne doit pas acheminer le trafic directement d'un VLAN à un autre, mais l'envoyer à un firewall qui filtrera les communications autorisées ;
• la surveillance des ports peut être utile pour retirer un bug, mais un cyberpirate peut aussi l’utiliser de manière abusive ;
• le proxy ARP doit être désactivé car il risque d'être utilisé pour usurper l'adresse ARP.

Sécurité traditionnelle des réseaux

Pour élaborer un réseau complet et sécurisé à l'aide des composants décrits ci-dessus, nous utiliserons le concept de segmentation de la sécurité. Ce concept requiert de réaliser une analyse des risques minimums concernant l'infrastructure que nous voulons mettre en place.

La base de cette analyse des risques est la suivante :

• certains hôtes sont accessibles via Internet et sont donc davantage susceptibles d'être piratés et ne devraient donc pas contenir de données (frontend) ;
• certains hôtes ne sont pas accessibles via Internet et stockent les données (backend) ;
• certains hôtes ne devraient être accessibles que depuis un sous-ensemble d'ordinateurs d'utilisateurs (gestion) ;
• enfin, les ordinateurs des utilisateurs doivent être considérés à la fois comme un danger et comme en danger.

Sur cette base, nous pouvons créer les zones de sécurité suivantes :

• la DMZ (DeMilitarized Zone) avec les serveurs frontaux ;
• la zone interne avec les serveurs back-end ;
• la zone de management comprend les interfaces administrateurs de tous les composants IT ainsi que les ordinateurs utilisés par les administrateurs ;
• la zone utilisateur.

Nous voulons ensuite séparer virtuellement ou physiquement toutes ces zones. Voici un exemple d'une telle architecture :

Dans ce cas, nous utilisons un seul firewall pour tous les VLAN et un seul switch avec un VLAN pour chaque zone. Dans un scénario plus coûteux et légèrement plus complexe, voici ce que nous pourrions avoir :

Ici, nous utilisons deux firewalls, qui pourraient provenir de deux fournisseurs différents, afin de réduire le risque d'un jour zéro affectant un fournisseur. Mais le risque est que les connaissances/compétences soient diluées et qu'au lieu d'avoir un seul dispositif bien configuré, l'entreprise ait un dispositif bien configuré et un dispositif moins bien configuré. Ce dernier pourrait alors devenir une cible beaucoup plus facile et avoir l'effet inverse de celui escompté. Il faut donc choisir avec soin.

Nous utilisons également une DMZ séparée physiquement pour réduire les risques d'un jour zéro sur le switch, ainsi que le risque de « VLAN hopping ».

Ces exemples montrent que le nombre de zones de sécurité et de dispositifs peut varier considérablement. C'est pourquoi il est primordial de procéder à une analyse des risques pour construire une infrastructure cohérente.

Zero Trust Network (ZTN)

« Zero Trust » est un concept utilisé pour créer une infrastructure très sécurisée dans laquelle nous allons plus loin que l'architecture traditionnelle vue précédemment.

Comme son nom l'indique, cette architecture ne repose pas sur une confiance implicite basée simplement sur l'emplacement du réseau. Ainsi, tout utilisateur ou système qui tente d'accéder à des ressources devra s'authentifier avec un système d’identification fort, par exemple avec l'authentification multifacteurs (MFA), et l'accès sera accordé ou non en fonction d'une politique d'accès minimum.

Elle va également plus loin en termes de micro-segmentation, car les systèmes seront plus strictement séparés les uns des autres, avec des contrôles de protection et de surveillance à chaque étape.

Le ZTN n’est pas l’objet du présent document, mais la publication spéciale 800-207 du NIST donne une définition plus approfondie du « Zero Trust Network », et la publication spéciale 1800-35 du NIST explique en détail comment mettre en œuvre une ce type d’architecture.

Dans ce document, nous avons couvert un large éventail de technologies et de stratégies de sécurité de base. Même s'il s'agit d'un bon début, nous vous recommandons de toujours actualiser vos connaissances et vos compétences. Nos prochains articles se concentreront sur des aspects plus spécifiques, dans le but de vous aider à former votre cyberdéfense.

• ANSSI - Agence Nationale de la Sécurité des Systèmes d’Information. (2013, March 30). Premier Ministre - Agence nationale de la Sécurité des Systèmes D... Recommandations pour la définition d’une politique de filtrage réseau d’un pare-feu. https://www.ssi.gouv.fr/uploads/IMG/pdf/NP_Politique_pare_feu_NoteTech.pdf 

• ANSSI - Agence Nationale de la Sécurité des Systèmes d’Information. (2020, January 1). Guide des mécanismes cryptographiques. ANSSI. https://www.ssi.gouv.fr/uploads/2021/03/anssi-guide-mecanismes_crypto-2.04.pdf

• ANSSI - Agence Nationale de la Sécurité des Systèmes d’Information. (2021, April 2). Recommandations pour une configuration sécurisée d’un pare... RECOMMANDATIONS POUR UNE CONFIGURATION SÉCURISÉE D’UN PARE-FEU STORMSHIELD NETWORK SECURITY. https://www.ssi.gouv.fr/uploads/2017/12/anssi-guide-recommandations_configuration_securisee_pare_feu_stormshield_network_security_version_3.7.17.pdf 

• Australian Government. (2022, July 29). Gateway security guidance package: Gateway technology guides. Gateway Security Guidance Package: Gateway Technology Guides | Cyber.gov.au. http://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/system-hardening-and-administration/gateway-secuirty-guidance/gateway-technology-guides 

• Bhardwaj, R., Ipwithease, & Rashmi BhardwajMore From This AuthorI am here to share my knowledge and experience in the field of networking with the goal being - "The more you share. (2022, December 22). Proxy vs PAC file: Detailed comparison. IP With Ease. https://ipwithease.com/proxy-vs-pac-file/ 

• Cisco. (2022, August 31). VLAN best practices and security tips for Cisco Business Routers. Cisco. https://www.cisco.com/c/en/us/support/docs/smb/routers/cisco-rv-series-small-business-routers/1778-tz-VLAN-Best-Practices-and-Security-Tips-for-Cisco-Business-Routers.html 

• Crawford, W. by    Douglas, Crawford, D., Carroll, L., Lorraine, (R)., Eng. T. H. 4000, Douglas Crawford    replied to Eng. Tarek Herik 4000 (R)., Johnny, johnny, D. C. replied to, Foster, K., & Douglas Crawford    replied to kristy foster. (2020, June 30). VPN encryption types: Openvpn, IKEV2, PPTP, L2TP/IpSec, SSTP. ProPrivacy.com. https://proprivacy.com/vpn/guides/vpn-encryption-the-complete-guide 

• Kozierok, C. M. (2005, September 20). IP Security (IPSec) Protocols. The TCP/IP guide - IP security (IPSec) protocols. http://www.tcpipguide.com/free/t_IPSecurityIPSecProtocols.html 

• Merchant, S. (2021, September 26). TLS 1.3 is moving forward: What you need to know today to get ready. Gigamon Blog. https://blog.gigamon.com/2018/05/10/tls-1-3-is-moving-forward-what-you-need-to-know-today-to-get-ready/ 

• Michali, C. (2023, March 20). Stateful vs. stateless firewall. Check Point Software. http://www.checkpoint.com/cyber-hub/network-security/what-is-firewall/what-is-a-stateful-firewall/stateful_vs_stateless_firewall/#:~:text=Stateful%20and%20stateless%20firewalls%20largely,valid%20based%20on%20predefined%20rules 

• Network Access Control. Network Access Control - The Hacker Recipes. (n.d.). http://www.thehacker.recipes/physical/networking/network-access-control 

• NIST - National Institute of Standards and Technology. (n.d.). Guide to IPsec VPNS. National Institute of Standards and Technology. https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-77r1.pdf 

• NSA - National Security Agency. (2022, June). Network Infrastructure Security Guide - U.S. Department of Defense. National Security Agency. https://media.defense.gov/2022/Jun/15/2003018261/-1/-1/0/CTR_NSA_NETWORK_INFRASTRUCTURE_SECURITY_GUIDE_20220615.PDF 

• Palic, J. (2022, November 23). Comparing IPsec vs. SSL VPNS. ONLC. http://www.onlc.com/blog/comparing-ipsec-vs-ssl-vpns/#:~:text=The%20main%20difference%20between%20IPsec,or%20application%20on%20the%20network 

• Speaker, M. C. (2023a, May 16). Full proxy. Technology Focused Hub. https://network-insight.net/2015/10/22/full-proxy/ 

• Speaker, M. C. (2023b, May 28). Dead peer detection. Technology Focused Hub. https://network-insight.net/2015/01/13/dead-peer-detection/ 

La fraude au CEO se déroule en deux étapes : l'exploration et l'exécution. Les cybercriminels se renseignent d’abord longtemps en ligne, effectuant des recherches pour en savoir plus sur une organisation et ses collaborateurs. Ils essaient ensuite d'entrer en contact avec ces collaborateurs, par mail, par messagerie électronique ou par téléphone, afin d'obtenir de plus amples informations sur les directeurs de l'organisation, les processus d'exécution d'un paiement, les clients et les fournisseurs. Après avoir recueilli toutes les informations nécessaires pour mener à bien l’arnaque, les cybercriminels s’emparent de l'identité d'une personne haut placée au sein de l'organisation, afin que les collaborateurs soient plus confiants et moins susceptibles de douter de l'origine du message reçu. Une fois dans la peau du CEO ou d'un directeur et après avoir obtenu la confiance de leur victime, les escrocs tenteront de voler de l'argent et/ou des données confidentielles.

1.    Sensibilisez les collaborateurs aux arnaques destinées à leur voler des informations confidentielles

Les collaborateurs d'une entreprise forment sa première ligne de défense. Vos collaborateurs doivent être capables d’identifier les arnaques et les faux messages afin d'adopter les bons réflexes. Les cybercriminels peuvent adopter différentes techniques pour tenter de dérober les coordonnées des collaborateurs afin d'accéder aux ressources d'une organisation. Les e-mails de phishing font partie des arnaques les plus fréquentes. Les cybercriminels tentent ici de convaincre leur victime de partager ses mots de passe ou ses informations confidentielles. Il est donc important d'organiser régulièrement des séances d'information pour apprendre aux collaborateurs à ne pas trop partager d'informations sur les médias sociaux et à ne pas cliquer sur un lien ou ouvrir un fichier sans en analyser d'abord la provenance.

2.    Sensibilisez vos collaborateurs aux signes indiquant une fraude au CEO

Lorsque la demande formulée dans un message porte sur des transferts inhabituels, des montants élevés ou que des motifs inhabituels ou des circonstances exceptionnelles sont avancés pour expliquer la demande, il s'agit probablement d'une escroquerie.

3.    Sensibilisez vos collaborateurs au télétravail en toute sécurité

Le télétravail s'impose dans nos organisations, au bénéfice de la fraude au CEO. Les cybercriminels profitent des collaborateurs isolés car il est plus facile de les convaincre d'exécuter un paiement. Cependant, le télétravail doit avoir lieu en toute sécurité grâce à différentes bonnes pratiques, telles que l'utilisation de mots de passe forts et l'authentification multifacteurs pour tous les accès à distance. L'authentification multifacteurs exige qu'un utilisateur utilise au moins deux méthodes différentes (par exemple, un mot de passe et un code PIN, un code PIN et un code reçu par SMS) pour vérifier son identité et lui donner accès à la ressource qu'il désire atteindre.

En outre, l'organisation doit établir des lignes directrices et des règles de télétravail, afin que ses collaborateurs adoptent les comportements appropriés, par exemple en verrouillant leur poste de travail lorsqu'ils le quittent ou en ne laissant aucun mot de passe écrit et accessible.

Enfin, l'organisation doit mettre en place des contrôles de sécurité, comme le cryptage de tout le trafic en provenance/à destination du télétravailleur, l'installation d'un antivirus et d'un pare-feu local sur les appareils autorisés à se connecter à distance, la mise à jour de tous les appareils et logiciels dès que possible, la sauvegarde régulière des ressources critiques et la sécurisation des postes de travail en contrôlant les éléments accessibles à distance.

4.    Établissez et partagez des procédures claires concernant l'identification des personnes demandant une opération et l'approbation de l'exécution d'une opération

Quelle que soit la personne qui demande des informations, les collaborateurs doivent connaître les politiques en vigueur concernant la classification des données, le transfert et le partage d'informations et l'utilisation acceptable des informations. De plus, instaurer un processus d'approbation des virements électroniques réduit les risques de tomber dans ce type d'arnaques, car un collaborateur finira toujours par se rendre compte que la demande est illégitime et qu’aucune suite ne doit lui être donnée. Enfin, un processus de vérification de l'identité de l'expéditeur doit également être mis en place, par exemple en comparant son nom ou son compte bancaire à une liste conservée en interne ou en essayant de le contacter par un autre moyen. Toute modification de cette liste interne doit être approuvée par un supérieur hiérarchique.

5.    Faites attention à ce que vous publiez en ligne

Les médias sociaux et le site Internet d'une organisation permettent de toucher de nombreux clients. Toutefois, il n'est pas toujours possible de contrôler totalement le public qui a accès aux informations et aux messages publiés. Les informations personnelles ou confidentielles n’ont pas leur place sur ces plateformes, car elles pourraient être utilisées à des fins malveillantes, par exemple pour identifier les collaborateurs qui travaillent dans le département financier et qui seraient plus à même d'effectuer un virement urgent à l'intention de leur CEO.

6.    Sécurisez l'accès à vos comptes

Les comptes sont une porte d'entrée vers l'ensemble de l'environnement d'une organisation. Ils doivent donc être protégés par des mots de passe forts, différents pour chaque compte. Un mot de passe fort comporte au moins douze caractères et une combinaison de majuscules et de minuscules, de chiffres et de symboles. L'authentification multifacteurs doit être activée dans la mesure du possible, en complément de mots de passe forts. L'authentification multifacteurs exige qu'un utilisateur utilise au moins deux méthodes différentes (par exemple, un mot de passe et un code PIN, un code PIN et un code reçu par SMS) pour vérifier son identité et lui donner accès à la ressource qu'il désire atteindre.

1. Signalez immédiatement l'incident à votre responsable IT.
2. Prévenez vos collègues qu'ils pourraient recevoir un message d'une personne se faisant passer pour votre CEO ou l'un des directeurs de votre organisation, mais qu'ils ne doivent pas s'y fier.
3. Changez tous les mots de passe qui auraient été enregistrés (le cas échéant) sur tous les comptes utilisés.
4. Si l'arnaque concernait des données bancaires, contactez immédiatement votre responsable financier pour l'informer de l'incident. Si vous constatez que de l'argent a été volé sur votre compte bancaire, veillez à déposer plainte auprès de la police.
5. Si vous êtes le responsable de ce compte bancaire, appelez Card Stop au +32 78 170 170 et vérifiez vos relevés de compte. Si vous identifiez une activité suspecte, appelez immédiatement votre banque pour qu'elle puisse vous aider.

Chaque organisation communique avec un ou plusieurs tiers (comme des partenaires, des clients ou des fournisseurs) pour mener à bien ses activités. Les cybercriminels essaient de tirer profit de ces échanges : par la persuasion, la menace ou toute autre forme de pression, ils tentent de convaincre la victime qu'elle doit soit effectuer un virement imprévu et urgent, soit divulguer des informations confidentielles.

Leur objectif est de convaincre la victime qu’elle est obligée d’effectuer immédiatement une action pour finaliser ou débloquer une opération critique en cours. Et ce, tout en persuadant la victime de ne pas partager cette demande avec d'autres personnes en raison de son caractère confidentiel. En général, les cybercriminels se font passer pour l'un des tiers de l'organisation, de sorte que la victime pense que la demande est légitime.

 Le compte bancaire n'est pas celui associé au tiers en question mais, en l'absence de contrôle des données et de processus d'approbation, la victime n’est pas en mesure de se rendre compte que la demande est fausse. Cette arnaque peut aussi se dérouler lorsque les cyberpirates se font passer pour le CEO ou un directeur ( fraude au CEO) ou pour le support technique (arnaque au faux support technique).

Comment se protéger contre les arnaques au faux virement ?

1.    Sensibilisez les collaborateurs aux arnaques destinées à leur voler des informations confidentielles

Les collaborateurs d'une entreprise forment sa première ligne de défense. Tous vos collaborateurs doivent être capables d’identifier les arnaques et les faux messages afin d'adopter les bons réflexes. Les cybercriminels peuvent adopter différentes techniques pour tenter de dérober les coordonnées des collaborateurs afin d'accéder aux ressources d'une organisation. Les e-mails de phishing font partie des arnaques les plus fréquentes. Les cybercriminels tentent ici de convaincre leur victime de partager ses mots de passe ou ses informations confidentielles. Il est donc important d'organiser régulièrement des séances d'information pour apprendre aux collaborateurs à ne pas trop partager d'informations sur les médias sociaux et à ne pas cliquer sur un lien ou ouvrir un fichier sans en analyser d'abord la provenance.

2.    Établissez et partagez des procédures claires concernant l'identification des personnes demandant une opération et l'approbation de l'exécution d'une opération

Quelle que soit la personne qui demande des informations, les collaborateurs doivent connaître les politiques en vigueur concernant la classification des données, le transfert et le partage d'informations et l'utilisation acceptable des informations. De plus, instaurer un processus officiel d'approbation des virements électroniques réduit les risques de tomber dans ce type d'arnaques, car un collaborateur finira toujours par se rendre compte que la demande est illégitime et qu’aucune suite ne doit lui être donnée. Enfin, un processus de vérification de l'identité de l'expéditeur doit également être mis en place, par exemple en comparant son nom ou son compte bancaire à une liste conservée en interne ou en essayant de le contacter par un autre moyen. Toute demande de modification de cette liste doit être approuvée hiérarchiquement, ce qui implique de suivre à la lettre les règles de sécurité et de paiement (par exemple, faire signer par plusieurs employés les paiements dépassant un certain montant). Enfin, ne décrivez jamais les procédures de paiement de votre entreprise à des inconnus ; gardez toutes ces procédures pour un usage interne.

3.    Faites attention à ce que vous publiez en ligne

Les médias sociaux et le site Internet d'une organisation permettent de toucher de nombreux clients. Toutefois, il n'est pas toujours possible de contrôler totalement le public qui a accès aux informations et aux messages publiés. Les informations personnelles ou confidentielles n’ont pas leur place sur ces plateformes, car elles pourraient être utilisées à des fins malveillantes, par exemple pour identifier les collaborateurs qui travaillent dans le département financier et qui seraient plus à même d'effectuer un virement.

4.    Sécurisez l'accès à vos comptes

Les comptes sont une porte d'entrée vers l'ensemble de l'environnement d'une organisation. Ils doivent donc être protégés par des mots de passe forts, différents pour chaque compte. Un mot de passe fort comporte au moins douze caractères et une combinaison de majuscules et de minuscules, de chiffres et de symboles. L'authentification multifacteurs doit être activée dans la mesure du possible, en complément de mots de passe forts. L'authentification multifacteurs exige qu'un utilisateur utilise au moins deux méthodes différentes (par exemple, un mot de passe et un code PIN, un code PIN et un code reçu par SMS) pour vérifier son identité et lui donner accès à la ressource qu'il désire atteindre.

1. Signalez immédiatement l'incident à votre responsable IT
2. Prévenez vos collègues qu'ils pourraient recevoir un message d'une personne se faisant passer pour un client ou un fournisseur spécifique, mais qu'ils ne doivent pas s'y fier.
3. Changez tous les mots de passe qui auraient été enregistrés (le cas échéant) sur tous les comptes utilisés.
4. Si l'arnaque concernait des données bancaires, contactez immédiatement le responsable financier pour l'informer de l'incident. Si vous constatez que de l'argent a été volé sur votre compte bancaire, veillez à déposer plainte auprès de la police.
5. Si vous êtes le responsable de ce compte bancaire, appelez Card Stop au +32 78 170 170 et vérifiez vos relevés de compte. Si vous identifiez une activité suspecte, appelez immédiatement votre banque pour qu'elle puisse vous aider.

Un spam est un message non sollicité envoyé à des fins publicitaires, de marketing ou malveillantes. Il existe deux types de spam :

• Électronique : envoyé par mail, messagerie instantanée ou sur les réseaux sociaux, généralement à des fins de marketing non consenti par les clients. Il peut également prendre des formes malveillantes, comme une demande de virement bancaire ou l'envoi d'une tentative de phishing ou d'un logiciel malveillant.
• Téléphonique : par SMS, MMS ou appel téléphonique, généralement à des fins de marketing. Il peut également prendre des formes malveillantes comme l'envoi de messages à un numéro payant ou une tentative de phishing.

1.    Gare aux messages inattendus !

L'arnaque peut avoir lieu par SMS, mail ou sur les réseaux sociaux. Comme il n'est pas possible de prévoir le moment où surviendra une éventuelle cyberattaque, il convient d'accorder une attention suffisante à tous les messages inattendus. Le type de cyberattaque le plus répandu est le phishing. Voici quelques questions utiles pour détecter une arnaque :

2.    Utilisez un logiciel de filtrage ou anti-spam

Un logiciel de filtrage ou anti-spam peut aider à limiter le nombre de spams reçus. Certains antivirus proposent cette option.

3.    Restez vigilant lorsque vous remplissez un formulaire d'inscription, passez des commandes ou participez à des concours

Les adresses mail peuvent se retrouver dans une mauvaise base de données et être utilisées à des fins de spamming, sans le consentement des utilisateurs. Vérifiez la légitimité du site Internet avant d'accepter tout type de communication ou d'inscription en :

• Vérifiant l'adresse du site Internet et faisant attention à celles qui semblent légitimes mais ne le sont pas (myorganisation [.]be au lieu de my[.]organisation [.]be, par exemple) ;
• Vérifiant la réputation du site Internet ;
• Vérifiant si les offres et les promotions sont plausibles ou plutôt étonnantes ; et
• Vérifiant le moyen de paiement demandé (par une société de livraison ou de transport, par exemple).

4.    Désinscrivez-vous ou supprimez les comptes que vous n'utilisez pas

Dès qu'un compte n'est plus utilisé, il est préférable de le supprimer complètement pour s'assurer que les informations qu'il contient ne peuvent être consultées à l'insu de son propriétaire.

5.    Créez différentes adresses mail en fonction de vos besoins

Une bonne pratique à adopter est d'utiliser des comptes distincts à des fins différentes, par exemple pour les réseaux sociaux, les sites personnels, professionnels, commerciaux, etc.

6.    Adoptez les meilleures pratiques pour sécuriser vos comptes sur les médias sociaux

Les médias sociaux sont devenus un atout essentiel pour les organisations en matière de communication et d'information. Malgré leurs avantages, ces plateformes accessibles au public peuvent également faire l’objet d'attaques et être utilisées pour du spamming. Chaque organisation doit s'assurer que tous ses médias sociaux sont correctement sécurisés en appliquant, par exemple, les meilleures pratiques suivantes :

• Sécuriser l’accès aux comptes au moyen de mots de passe forts ;
• Revoir les paramètres de confidentialité et restreindre la visibilité des informations personnelles ;
• Faire attention à ce que l'organisation et les autres publient ;
• Contrôler les applications tierces ; ou
• Éviter d'utiliser un Wi-Fi public et un ordinateur public.

Vous trouverez toutes les informations nécessaires sur la sécurisation des réseaux sociaux dans notre article à ce sujet.

1.    N'y répondez pas, n'ouvrez pas les pièces jointes et ne cliquez pas sur les liens

La meilleure chose à faire lorsqu'on reçoit un spam est de ne pas y donner suite.

2.    Ne communiquez jamais les informations bancaires demandées par SMS ou par mail

Gardez à l'esprit qu'aucune banque n’enverra jamais un lien direct permettant de se connecter à un compte bancaire par SMS ou par mail, et qu'elle ne demandera jamais de code PIN ou de code secret, que ce soit par écrit ou par téléphone.

3.    Signalez le spam et supprimez-le

Le spam doit être signalé au responsable informatique et à l'autorité nationale compétente (suspicious@safeonweb.be (EN); suspect@safeonweb.be (FR); verdacht@safeonweb.be (NL/DE)) et doit être immédiatement supprimé. Si un e-mail arrive dans votre dossier Spam, vous ne devez pas lui faire confiance.

1. Signalez immédiatement l'incident à votre responsable IT
2. Prévenez vos collaborateurs qu'ils pourraient recevoir le même message de spam et qu'ils ne doivent pas s'y fier.
3. Changez tous les mots de passe qui auraient été enregistrés (le cas échéant) sur tous les comptes utilisés.
4. Si l'escroquerie portait sur des coordonnées bancaires et que vous constatez que de l'argent a été volé sur votre compte, portez plainte auprès de la police.
5. Appelez immédiatement Card Stop au +32 78 170 170 et vérifiez vos relevés de compte. Si vous identifiez une activité suspecte, appelez immédiatement votre banque pour qu'elle puisse vous aider.

Par logiciel malveillant, ou malware, on entend tous les codes et programmes malveillants créés dans le but de mettre à mal un système d'information. Un logiciel malveillant peut causer de nombreux dommages : vol, cryptage ou suppression de données, modification ou suppression d’une fonctionnalité du système et espionnage de toutes les activités qui se déroulent sur l’appareil infecté. En général, les cybercriminels essaient de gagner de l’argent lorsqu'ils installent un logiciel malveillant sur un appareil en obligeant la victime à payer, soit un service pour remédier au problème, soit pour avoir à nouveau accès à l’appareil.

Les types de logiciels malveillants les plus courants sont les suivants :  

• Le virus : se reproduit dans les programmes pour accéder à leurs données ou modifier leurs fonctionnalités
• Le ransomware : bloque et crypte l'accès aux ressources et requiert un paiement pour les récupérer
• Le cheval de Troie : se déguise en une fonctionnalité dont la victime pourrait avoir besoin et qu'elle téléchargerait (une application, un logiciel, un jeu, etc.), afin d’accéder aux ressources de son appareil et, finalement, de voler des informations confidentielles ou d’installer un virus ou un ransomware
• Le spyware : a pour objectif d'espionner toutes les activités de la victime et de les transmettre aux cybercriminels
• L’adware : conçu pour afficher intempestivement de nouvelles publicités sur l'écran de la victime, généralement lorsqu'elle essaie de naviguer sur une page Internet.

Dans la plupart des cas, les cybercriminels infectent un appareil par le biais d’Internet ou de services de messagerie/communication. Dans les deux cas, le but est d’inciter la victime à cliquer sur un lien spécifique pour installer le logiciel malveillant.

Il est possible de détecter les logiciels malveillants en installant un antivirus sur tous les appareils et en consultant les alertes générées par cet antivirus. Outre ces alertes, certains signes évidents indiquent qu'un appareil est infecté : des erreurs inhabituelles apparaissent à l'écran, l'appareil est plus lent, se bloque ou plante souvent, des messages pop-up intempestifs apparaissent, l'appareil s'éteint et redémarre de lui-même, l’accès à certaines applications ou certains programmes est bloqué, etc.

1.    Installez, configurez et mettez à jour un antivirus sur tous les appareils

Veillez à ce que l’ antivirus soit correctement installé et qu’il mette régulièrement à jour ses programmes et ses signatures. La protection en temps réel permettant d’analyser tous les flux entrant et sortant doit être configurée correctement. Par ailleurs, il est intéressant de tester les paramètres et le fonctionnement pour s’assurer que l’antivirus répond aux besoins initialement définis. Enfin, une analyse complète du matériel peut s’avérer utile pour s'assurer qu'aucun virus initialement inconnu ne s'est installé entre deux mises à jour.

2.    Sensibilisez les collaborateurs aux arnaques destinées à leur voler des informations confidentielles

Les collaborateurs d'une entreprise forment sa première ligne de défense. Vos collaborateurs doivent être capables d’identifier les arnaques et les faux messages afin d'adopter les bons réflexes. Les cybercriminels peuvent adopter différentes techniques pour tenter de dérober les coordonnées des collaborateurs afin d'accéder aux ressources d'une organisation. Les mails de phishing font partie des arnaques les plus fréquentes. Les cybercriminels tentent ici de convaincre leur victime de partager ses mots de passe ou ses informations confidentielles. Il est donc important d'organiser régulièrement des séances d'information pour apprendre aux collaborateurs à ne pas trop partager d'informations sur les médias sociaux et à ne pas cliquer sur un lien ou ouvrir un fichier sans en analyser d'abord la provenance.

3.    Mettez vos appareils et logiciels à jour dès que possible

Il suffit d'une seule vulnérabilité dans un système, une application ou un appareil pour que les cybercriminels s'en emparent pour causer des dommages et accéder à des informations. Il est donc crucial d'installer les mises à jour dès qu'elles sont disponibles. Cela garantit la solidité de votre cyberdéfense et permet de s'assurer que la version du système utilisée est toujours prise en charge par le fournisseur.

4.    Sécurisez l'accès à vos comptes

Les comptes sont une porte d'entrée vers l'ensemble de l'environnement d'une organisation. Ils doivent donc être protégés par des mots de passe forts, différents pour chaque compte. Un mot de passe fort comporte au moins douze caractères et une combinaison de majuscules et de minuscules, de chiffres et de symboles. L'authentification multifacteurs doit être activée dans la mesure du possible, en complément de mots de passe forts. L'authentification multifacteurs exige qu'un utilisateur utilise au moins deux méthodes différentes (par exemple, un mot de passe et un code PIN, un code PIN et un code reçu par SMS) pour vérifier son identité et lui donner accès à la ressource qu'il désire atteindre.

5.    Effectuez régulièrement une sauvegarde de vos données critiques

Effectuez une sauvegarde de tous les systèmes, applications, serveurs et données afin de vous assurer que même en cas d’incident, vous pourrez récupérer toutes les informations importantes. Il est par ailleurs important de veillez à tester ces sauvegardes pour confirmer qu’elles sont bel et bien exploitables si nécessaire, après un incident.

6.    Utilisez uniquement les sites Internet et plateformes officiels pour télécharger des applications et autres logiciels

Les applications et logiciels piratés sont en général infectés pas un logiciel malveillant. Il est dès lors primordial de bien faire attention d’installer et de télécharger uniquement les versions officielles, en passant par les plateformes et sites Internet officiels des vendeurs.

7.    Limitez les actions qui peuvent être exécutées avec un compte administrateur

Limitez au strict minimum le nombre de comptes d’administrateur ou privilégiés. Personne ne devrait disposer de droits d’administrateur pour les tâches quotidiennes. Si chacun dispose de droits d’administrateur, les cybercriminels pourront plus facilement prendre le contrôle de l'appareil ou installer un logiciel malveillant.

8.    Contrôlez l'installation de logiciels sur les appareils de l'entreprise en établissant une liste des logiciels autorisés

Un collaborateur à la recherche d'un logiciel spécifique et n'ayant que peu ou pas de connaissances en cybersécurité aura moins tendance à vérifier ce qu'il trouve sur Internet. Il est donc primordial de s'assurer que le responsable informatique ait marqué son accord concernant la sécurité et les performances de tous les logiciels téléchargés. En outre, le responsable informatique peut établir une liste blanche, c’est-à-dire une liste de logiciels que les collaborateurs sont autorisés à installer sur leurs appareils professionnels.

9.    Mettez en place des processus entourant la gestion du contrôle de l’accès et le provisionnement des utilisateurs

Il est très fréquent que les cybercriminels utilisent un compte existant pour accéder aux ressources d'une organisation. Il est ainsi indispensable de gérer correctement le contrôle de l’accès et que celui-ci soit bien ancré au sein de l’organisation. Appliquez le principe de base selon lequel les utilisateurs doivent avoir accès au moins d’informations possible et uniquement à celles dont ils ont besoin dans le cadre de leur travail. Cela doit toujours être le cas et il n’est pas nécessaire de leur donner des droits supplémentaires « au cas où ».

En outre, un processus de provisionnement des accès utilisateur doit être mis en place. Ce processus définit la procédure à suivre pour supprimer ou modifier l'accès accordé à un employé lorsqu'il change de poste ou quitte l'organisation. Aucune organisation n’est à l’abri d’une attaque d’initié, même si les anciens collaborateurs ont toujours été loyaux. Leur sentiment envers l'organisation peut changer s'ils ne sont pas partis de leur plein gré.

10.    Évitez d’utiliser des Wi-Fi ou ordinateurs publics

Les Wi-Fi ou les ordinateurs publics sont pratiques car ils permettent d’accéder à des ressources professionnelles, de naviguer sur des sites Internet ou de gérer nos médias sociaux depuis presque partout. Cependant, comme leur nom l'indique, ils sont publics et tout le monde peut y accéder, y compris les escrocs et les criminels. S'ils sont mal configurés, ils peuvent être utilisés pour surveiller les activités des personnes qui y sont connectées et voler leurs informations. Préférez toujours le réseau Wi-Fi professionnel de votre organisation et les appareils professionnels pour accéder à vos ressources professionnelles.

11.    Redoublez de prudence en surfant

Évitez de consulter des sites Internet peu fiables ou illicites, tels que des plateformes proposant des produits ou des logiciels de contrefaçon, ou des services de streaming illégaux. Les arnaques sont plus fréquentes sur ces types de sites, car les cybercriminels en trouvent plus facilement l’accès.

12.    Limitez l’utilisation de médias amovibles

N’utilisez que des média amovibles que le responsable informatique a approuvés, afin de s’assurer qu’ils ne sont pas infectés ou qu’ils n'endommageront pas votre appareil.

Voici un exemple courant d'arnaque au faux support technique : les cybercriminels mettent en place une escroquerie dans laquelle la victime est avertie, par téléphone, par e-mail ou par tout autre service de messagerie, que son appareil est sur le point de s'arrêter en raison d'un problème technique. Ils proposent alors une solution au problème en question et demandent à la victime d'y donner suite rapidement en cliquant sur un lien, en appelant un numéro de téléphone donné ou en effectuant un virement bancaire. Le lien partagé permet aux cybercriminels de mener une attaque de phishing pour voler des données confidentielles ou installer un virus. Par téléphone, ils tentent de gagner la confiance de la victime, en lui faisant croire qu'il s'agit d'un numéro de téléphone de support technique officiel, afin de lui donner une série d'actions à exécuter qui, in fine, mèneront également au partage d’informations confidentielles ou à l’installation d’un virus.

1.    Sensibilisez les collaborateurs aux arnaques destinées à leur voler des informations confidentielles

Les collaborateurs d'une entreprise forment sa première ligne de défense. Vos collaborateurs doivent être capables d’identifier les arnaques et les faux messages afin d'adopter les bons réflexes. Les cybercriminels peuvent adopter différentes techniques pour tenter de dérober les coordonnées des collaborateurs afin d'accéder aux ressources d'une organisation. Les e-mails de phishing font partie des arnaques les plus fréquentes. Les cybercriminels tentent ici de convaincre leur victime de partager ses mots de passe ou ses informations confidentielles. Il est donc important d'organiser régulièrement des sessions d'information pour apprendre aux collaborateurs à ne pas trop partager d'informations sur les médias sociaux et à ne pas cliquer sur un lien ou ouvrir un fichier sans en analyser d'abord la provenance.

2.    Faites attention à ce que vous publiez en ligne

Les médias sociaux et le site Internet d'une organisation permettent de toucher de nombreux clients. Toutefois, il n'est pas toujours possible de contrôler totalement le public qui a accès aux informations et aux messages partagés. Les informations personnelles ou confidentielles n’ont rien à faire sur ces plateformes, car elles pourraient être utilisées à des fins malveillantes, par exemple pour identifier quels collaborateurs travaillent dans quel département. Ceux-ci pourraient ne pas savoir par quel canal le support technique pourrait les contacter.

3.    Sécurisez l'accès à vos comptes

Les comptes sont une porte d'entrée vers l'ensemble de l'environnement d'une organisation. Ils doivent donc être protégés par des mots de passe forts, différents pour chaque compte. Un mot de passe fort comporte au moins douze caractères et une combinaison de majuscules et de minuscules, de chiffres et de symboles. L'authentification multifacteurs doit être activée dans la mesure du possible, en complément de mots de passe forts. L'authentification multifacteurs exige qu'un utilisateur utilise au moins deux méthodes différentes (par exemple, un mot de passe et un code PIN, un code PIN et un code reçu par SMS) pour vérifier son identité et lui donner accès à la ressource qu'il désire atteindre.

4.    Mettez vos appareils et logiciels à jour dès que possible

Il suffit d'une seule vulnérabilité dans un système, une application ou un appareil pour que les cybercriminels s'en emparent pour causer des dommages et accéder à des informations. Il est donc crucial d'installer les mises à jour dès qu'elles sont disponibles. Cela garantit la solidité de votre cyberdéfense et permet de s'assurer que la version du système utilisée est toujours prise en charge par le fournisseur.

5.    Protégez vos appareils à l’aide d’antivirus et de pare-feux locaux

Un virus peut infecter un appareil de plusieurs façons : lors de l’ouverture d'une pièce jointe, d’un clic sur un lien, du branchement d'une clé USB ou d’une simple navigation sur un site Internet. Un virus est un logiciel malveillant qui vise à endommager les ressources, à supprimer des fichiers, à ralentir les performances ou à voler des informations confidentielles. Une fois qu'un virus a infecté votre ordinateur, il faudra du temps, des efforts et des moyens financiers pour le supprimer. C'est pourquoi il est préférable de protéger tous les appareils autorisés à se connecter au réseau de l'organisation avec un logiciel antivirus dès le départ.

Il est également conseillé d'installer un pare-feu pour surveiller et filtrer les demandes d'accès au réseau de l'entreprise sur la base de règles de sécurité prédéfinies. Le pare-feu agit comme un mur entre le réseau de l'entreprise et un réseau non fiable (réseau domestique, Internet, etc.). Il permet à l'organisation de limiter l'accès externe aux seules personnes autorisées.

6.    Redoublez de prudence en surfant

Évitez de consulter des sites Internet peu fiables ou illicites, tels que des plateformes proposant des produits ou des logiciels de contrefaçon, ou des services de streaming illégaux. Les arnaques sont plus fréquentes sur ces types de sites, car les cybercriminels en trouvent très facilement l’accès.

7.    N'utilisez que des sites et des plateformes officiels pour télécharger des applications et des logiciels

Les applications et les logiciels piratés sont généralement infectés par des logiciels malveillants. Essayez donc d'installer et de télécharger uniquement des applications et des logiciels officiels, via les plateformes et les sites Internet officiels des vendeurs.

8.    Limitez les actions pouvant être exécutées avec un compte administrateur

Limitez le nombre de comptes administrateurs ou privilégiés au strict minimum. Personne ne devrait disposer de droits d'administrateur pour les tâches quotidiennes. En s’emparant des privilèges dont disposent les comptes administrateurs, les cybercriminels pourront plus facilement prendre le contrôle de l'appareil ou installer des logiciels malveillants.

9.    Réalisez régulièrement des copies de sauvegarde de vos ressources critiques

Sauvegardez tous les systèmes, applications, serveurs et données pour vous assurer que, même en cas d'incident, toutes les informations importantes pourront être récupérées. Veillez à tester régulièrement ces sauvegardes pour vous assurer qu'elles peuvent toujours être utilisées en cas de besoin, après un incident.

1. N'appelez pas le numéro mentionné dans le message.
2. Signalez immédiatement l'incident à votre responsable IT.
3. Ne laissez pas quelqu'un que vous ne connaissez pas prendre le contrôle de votre appareil.
4. Redémarrez votre appareil.
5. Nettoyez votre historique de navigation en supprimant le cache, les cookies et en réinitialisant tous les paramètres. Si cela ne suffit pas, supprimez complètement votre profil et créez-en un nouveau.
6. Désinstallez toute application ou logiciel qui vous semble étrange ou que vous ne vous souvenez pas avoir installé.
7. Analysez votre appareil à l’aide d'un antivirus.
8. Prévenez vos collègues qu'ils pourraient recevoir un message d'une personne se faisant passer pour le support technique, mais qu'ils ne doivent pas s'y fier.
9. Changez tous les mots de passe qui auraient été enregistrés (le cas échéant) sur tous les comptes utilisés.
10. Si l'arnaque concernait des données bancaires, contactez immédiatement le responsable financier pour l'informer de l'incident. Si vous constatez que de l'argent a été volé sur votre compte bancaire, déposez plainte auprès de la police.
11. Si vous êtes le responsable de ce compte bancaire, appelez Card Stop au +32 78 170 170 et vérifiez vos relevés de compte. Si vous identifiez une activité suspecte, appelez immédiatement votre banque pour qu'elle puisse vous aider.

On parle de « piratage de compte » lorsqu'une personne non autorisée accède à un compte et à toutes les informations qu'il contient à des fins malveillantes, comme voler des données sensibles ou atteindre un réseau plus large de personnes auxquelles la victime est connectée. Cette arnaque peut concerner tout type de compte en ligne : boîte mail (personnelle et professionnelle), médias sociaux, sites administratifs, plateformes en ligne, applications d'entreprise, services de messagerie, etc. Le piratage de compte peut avoir des conséquences désastreuses, comme le vol d'argent et l'usurpation d'identité.

Les hackers ont plus d'un tour dans leur sac :

• profiter de la faiblesse de certains mots de passe,
• mener des attaques de phishing et convaincre les victimes de partager leurs coordonnées ou encore
• recourir à des virus spécifiques pour voler les mots de passe.

1.    Sensibilisez les collaborateurs aux arnaques destinées à leur voler des informations confidentielles

Les collaborateurs d'une entreprise forment sa première ligne de défense. Vos collaborateurs doivent être capables d’identifier les arnaques et les faux messages afin d'adopter les bons réflexes. Les cybercriminels peuvent adopter différentes techniques pour tenter de dérober les coordonnées des collaborateurs afin d'accéder aux ressources d'une organisation. Les e-mails de phishing font partie des arnaques les plus fréquentes. Les cybercriminels tentent ici de convaincre leur victime de partager ses mots de passe ou ses informations confidentielles. Il est donc important d'organiser régulièrement des séances d'information pour apprendre aux collaborateurs à ne pas trop partager d'informations sur les médias sociaux et à ne pas cliquer sur un lien ou ouvrir un fichier sans en analyser d'abord la provenance.

2.    Sécurisez l'accès à vos comptes

Les comptes sont une porte d'entrée vers l'ensemble de l'environnement d'une organisation. Ils doivent donc être protégés par des mots de passe forts, différents pour chaque compte. Un mot de passe fort comporte au moins douze caractères et une combinaison de majuscules et de minuscules, de chiffres et de symboles. L'authentification multifacteurs doit être activée dans la mesure du possible, en complément de mots de passe forts. L'authentification multifacteurs exige qu'un utilisateur utilise au moins deux méthodes différentes (par exemple, un mot de passe et un code PIN, un code PIN et un code reçu par SMS) pour vérifier son identité et lui donner accès à la ressource qu'il désire atteindre.

3.    Mettez vos appareils et logiciels à jour dès que possible

Il suffit d'une seule vulnérabilité dans un système, une application ou un appareil pour que les cybercriminels s'en emparent pour causer des dommages et accéder à des informations. Il est donc crucial d'installer les mises à jour dès qu'elles sont disponibles. Cela garantit la solidité de votre cyberdéfense et permet de s'assurer que la version du système utilisée est toujours prise en charge par le fournisseur.

4.    Protégez vos appareils à l’aide d’antivirus et de pare-feux locaux

Un virus peut infecter un appareil de plusieurs façons : lors de l’ouverture d'une pièce jointe, d’un clic sur un lien, du branchement d'une clé USB ou d’une simple navigation sur un site Internet. Un virus est un logiciel malveillant qui vise à endommager les ressources, à supprimer des fichiers, à ralentir les performances ou à voler des informations confidentielles. Une fois qu'un virus a infecté votre ordinateur, il faudra du temps, des efforts et des moyens financiers pour le supprimer. C'est pourquoi il est préférable de protéger tous les appareils autorisés à se connecter au réseau de l'organisation avec un logiciel antivirus dès le départ.

Il est également conseillé d'installer un pare-feu pour surveiller et filtrer les demandes d'accès au réseau de l'entreprise sur la base de règles de sécurité prédéfinies. Le pare-feu agit comme un mur entre le réseau de l'entreprise et un réseau non fiable (réseau domestique, Internet, etc.). Il permet à l'organisation de limiter l'accès externe aux seules personnes autorisées.

5.    Redoublez de prudence en surfant

Évitez de consulter des sites Internet peu fiables ou illicites, tels que des plateformes proposant des produits ou des logiciels de contrefaçon, ou des services de streaming illégaux. Les arnaques sont plus fréquentes sur ces types de sites, car les cybercriminels en trouvent plus facilement l’accès.

6.    Vérifiez les adresses des sites Internet

Pour déguiser leurs arnaques, les cybercriminels utilisent souvent une adresse qui ressemble à l'adresse légitime de l’organisation visée (par exemple, myorganisation [.]be au lieu de my[.]organisation [.]be). Ils peuvent également utiliser un domaine différent du domaine légitime (par exemple, .org au lieu de .com ou .be). Ils peuvent aussi jouer avec les lettres et les chiffres afin de faire croire aux gens qu'ils sont sur le bon site Internet. Il leur suffit d’utiliser un « i » majuscule pour remplacer un « l » ou un zéro à la place d’un « o ».

7.    Évitez d’utiliser des Wi-Fi ou ordinateurs publics

Les Wi-Fi ou les ordinateurs publics sont pratiques car ils permettent d’accéder à des ressources professionnelles, de naviguer sur des sites Internet ou de gérer nos médias sociaux depuis presque partout. Cependant, comme leur nom l'indique, ils sont publics et tout le monde peut y accéder, y compris les escrocs et les criminels. S'ils sont mal configurés, ils peuvent être utilisés pour surveiller les activités des personnes qui y sont connectées et voler leurs informations. Préférez toujours le réseau WI-FI professionnel de votre organisation et les appareils professionnels pour accéder à vos ressources professionnelles.

8.    Vérifiez régulièrement les connexions à votre compte

Si le site Internet le permet, vous pouvez consulter toutes les connexions à un compte ainsi que les appareils utilisés pour s'y connecter. Consultez cette liste régulièrement pour vous assurer que seuls des appareils et des lieux connus ont été utilisés pour se connecter à un compte. Dès qu'un appareil ou un emplacement inconnu apparaît dans la liste, il convient de le supprimer immédiatement et de modifier votre mot de passe sur-le-champ.

9.    Supprimez les comptes que vous n’utilisez plus

Dès qu'un compte n'est plus utilisé, il est préférable de le supprimer complètement pour s'assurer que les informations qu'il contient ne peuvent être consultées à l'insu de son propriétaire.

10.    Ne renseignez que les informations strictement nécessaires

Certaines informations personnelles ne sont pas utiles pour des services spécifiques. Pas besoin de renseigner votre numéro de registre national pour acheter quelque chose, par exemple. Si un site Internet vous demande des informations inhabituelles pour le service fourni, cela peut vous mettre la puce à l’oreille.

11.    Déconnectez-vous toujours de vos comptes

Déconnectez-vous toujours des comptes que vous n’êtes pas en train d'utiliser. Ainsi, si quelqu'un a accès à l'appareil, il ne pourra pas immédiatement accéder à tous les comptes qu'il contient.

1. Signalez immédiatement l'incident à votre responsable IT.
2. Prévenez vos collègues qu'ils pourraient recevoir un message d'une personne se faisant passer pour vous, mais qu'ils ne doivent pas s'y fier.
3. Changez tous les mots de passe qui auraient été enregistrés (le cas échéant) sur tous les comptes utilisés.
4. Si vous ne pouvez plus accéder aux comptes, utilisez les options de récupération pour y accéder à nouveau, puis changez tous vos mots de passe.
5. Analysez votre appareil à l’aide d'un antivirus.
6. Si l'arnaque concernait un compte bancaire, contactez immédiatement votre responsable financier pour l'informer de l'incident. Si vous constatez que de l'argent a été volé sur votre compte bancaire, déposez plainte auprès de la police.
7. Si vous êtes le responsable de ce compte bancaire, appelez Card Stop au +32 78 170 170 et vérifiez vos relevés de compte. Si vous identifiez une activité suspecte, appelez immédiatement votre banque pour qu'elle puisse vous aider.
8. Vérifiez vos publications et vos commandes. Si vous constatez qu'une modification a été apportée ou qu'une commande a été passée par quelqu'un d'autre, enregistrez les preuves, supprimez les publications ou annulez les commandes et adressez-vous aux services concernés pour déposer une plainte.

Une attaque « Distributed Denial of Service » (DDoS) perturbe le fonctionnement normal de l'hébergeur ou du serveur Internet d'une organisation en le surchargeant, par l'envoi d'une quantité énorme de demandes de pages. On peut la comparer à un énorme embouteillage : une voiture veut aller d’un point A à un point B mais des voitures s’ajoutent sans cesse entre la voiture en question et sa destination finale, à tel point qu'elle reste bloquée. L'attaque « denial of service » rend la page Internet et les services fournis par son intermédiaire indisponibles jusqu'à ce qu'elle soit enrayée, ce qui peut entraîner d'importantes pertes financières et de productivité pour l'organisation qui ne peut plus offrir ces services.

Une des premières choses à faire consiste à naviguer sur vos propres sites Internet comme si vous étiez un utilisateur externe. Si le site Internet est indisponible, cela peut indiquer qu'il a été attaqué et qu'il pourrait s'agir d'une attaque DDoS. Le responsable IT doit identifier la cause de l'indisponibilité du site Internet et déterminer le type d'attaque.

Il est par ailleurs possible de mettre en place des moyens de détection pour identifier si une intrusion est en cours ou a déjà eu lieu. Le monitoring de tous les systèmes critiques assurant le fonctionnement d'une organisation est un élément clé pour assurer un bon niveau de protection contre le piratage d'un site Internet. En cas d’attaque, des alertes préalablement définies en informent le responsable IT et son équipe. En outre, il existe plusieurs outils de surveillance de sites Internet qui peuvent aider à détecter toute modification apportée au contenu et tout autre type de changement apporté à un site Internet, par exemple lorsqu'un cyberpirate tente de lier le site à des domaines qui viennent d’être créés.

Lorsqu'une organisation envisage de mettre en œuvre des outils de monitoring d'un site Internet, il est important qu'elle réalise une analyse coûts-bénéfices. Ces outils peuvent généralement monitorer trois aspects : la disponibilité, la vitesse et le contenu. Cependant, il n'existe pas de solution unique. Le coût global dépendra de l'intensité et de la régularité avec lesquelles une organisation souhaite assurer le monitoring du contenu de son site Internet. Il s'agit donc d'une question spécifique à chaque organisation, qui dépend de ses besoins et de ses exigences : si le site Internet constitue un élément clé pour mener à bien les opérations quotidiennes ou fournir des services aux clients, il sera préférable d'investir dans des outils de surveillance de site Internet.

1.    Activez et configurez un Web Application Firewall

Le « Web Application Firewall » (WAP, pare-feu pour applications Internet) surveille le trafic entrant et sortant du réseau afin d'autoriser ou de refuser les communications en fonction de règles de sécurité définies. Il agit comme un contrôleur entre le serveur et le client et, en décryptant le trafic, il analyse les demandes d'accès au réseau des utilisateurs. Ainsi, s'il détecte une activité suspecte selon ses règles de configuration, il peut générer des alertes et les envoyer au responsable IT et à son équipe, qui décideront des actions à entreprendre.

2.    Mettez à jour tous les logiciels, systèmes d'exploitation et navigateurs Internet

Les cybercriminels sont toujours à la recherche de vulnérabilités à exploiter ; il est donc important de maintenir tous les systèmes à jour afin de s'assurer que c’est la version la plus récente et la plus sûre qui soit utilisée.

3.    Maintenez à jour tous les composants du serveur Internet

Comme pour tous les systèmes d'information et de technologie, la mise à jour des composants du site Internet est également cruciale pour s'assurer que toutes les vulnérabilités connues sont corrigées et que les cyberpirates n'ont aucune chance de les exploiter.

Les composants caractéristiques d'un serveur Internet sont les suivants :

• le BIOS/firmware du matériel sur lequel le serveur de l’organisation tourne ;
• le système d'exploitation du serveur ;
• le service Internet utilisé (Apache, nginx, IIS, etc.) ;
• le système de gestion du contenu (Drupal, Joomla, WordPress, etc.) ;
• optionnellement, la couche de virtualisation.

Très peu d'organisations créent leur site Internet en partant de rien ; elles font généralement appel à des tiers, qui proposent un grand nombre de plugins et de thèmes. Veillez à également les maintenir à jour. Les développeurs de ces tierces parties sont constamment à la recherche de nouvelles vulnérabilités. Il est donc essentiel de procéder aux mises à jour pour disposer de la version la moins vulnérable des composants utilisés.

4.    Sécurisez l'accès au système de gestion du contenu et mettez-le à jour

Comme indiqué précédemment, l'une des mesures importantes à prendre pour sécuriser un système de gestion de contenu est de le maintenir à jour, ainsi que ses plugins. Si les cybercriminels recherchent toujours de nouvelles vulnérabilités à exploiter, des correctifs de sécurité sont publiés pour combler ces failles. Il est donc important de procéder aux mises à jour dès qu'elles sont disponibles.

En outre, le système de gestion de contenu peut être protégé en n'utilisant pas de configuration par défaut pour les comptes et les mots de passe, mais en créant son propre compte d'administrateur protégé par un mot de passe suffisamment fort et en paramétrant l’authentification multifacteurs. Avec l’authentification multifacteurs, l’utilisateur doit fournir au moins deux méthodes différentes (un mot de passe et un code PIN, un code PIN et un code reçu par SMS, par exemple) pour vérifier son identité et lui permettre d'accéder à la ressource qu'il tente d'atteindre.

Enfin, le processus de gestion des accès doit impliquer une révision régulière de la liste des utilisateurs. Et cela tant pour les utilisateurs ayant accès au système de gestion du contenu, que pour tous les autres utilisateurs de l'organisation en général. Cette révision permet à l'organisation de vérifier qu'aucun utilisateur test n'est encore actif et qu'aucun utilisateur qui ne devrait pas y figurer n'a été ajouté.

5.    Utilisez des mots de passe forts et paramétrez l'authentification multifacteurs

Les utilisateurs ont tendance à employer des mots de passe faibles car ils sont plus faciles à retenir. Or, un mot de passe facile à retenir est également facile à pirater. Il est donc primordial de n'autoriser que l'utilisation de mots de passe forts, qui combinent majuscules, minuscules, chiffres et symboles. En outre, l'authentification multifacteurs ajoute une couche supplémentaire à la protection des comptes.

6.    Veillez à ce que votre fournisseur d'accès à Internet dispose de procédures claires pour réagir à une attaque et la prévenir

Il est important de déterminer si votre organisation est directement connectée à Internet ou si elle fait appel à un fournisseur d'accès à l'internet (FAI). Dans ce dernier cas de figure, vérifiez minutieusement votre contrat et quelles sont les procédures en cas d'attaque. Les fournisseurs d'accès à Internet sont la porte d'entrée entre une organisation et Internet. C'est pourquoi ils sont de plus en plus préoccupés par les attaques DDoS et leur complexité. La plupart d'entre eux investit massivement dans la prévention de ces attaques.

Si votre organisation gère ses propres réseaux, envisagez de créer différentes zones de sécurité dans le réseau (segmentation de base du réseau par le biais d’un VLAN ou d'autres mécanismes de contrôle d'accès au réseau, par exemple) et de contrôler/surveiller le trafic entre ces zones. En outre, assurez-vous que les services inutilisés sont désactivés ou filtrés hors du réseau et modifiez toujours le mot de passe défini par défaut sur le routeur Internet et d'autres systèmes. Enfin, les systèmes d'exploitation, les programmes et les routeurs devraient être automatiquement mis à jour.

7.    Limitez le nombre de demandes de pages par utilisateur

Limitez le nombre de demandes de pages qu'un utilisateur peut envoyer, par exemple mille demandes par personne et par 24 heures. Cela permet d'éviter de surcharger le réseau.

8.    Préférez les services « cloud » aux services hébergés localement

Les services « cloud » sont beaucoup mieux protégés contre les attaques DDoS que les services hébergés localement, en particulier concernant les services d’e-mails ou d'autres plateformes en ligne. La couche de protection supplémentaire du « cloud » garantit que les services restent largement disponibles.

9.    Passez le site Internet au crible à la recherche des vulnérabilités les plus courantes

Analyser un site Internet pour détecter les vulnérabilités connues est un excellent moyen de déterminer s'il est prêt à être mis en ligne ou non, du point de vue de la sécurité. L'identification des vulnérabilités existantes laisse plus de temps pour les corriger, sans causer de dommage, avant qu'un cybercriminel ne les utilise et ne cause des dégâts importants. Les experts en sécurité peuvent apporter leur aide en effectuant des tests de pénétration et des audits, par exemple pour évaluer la sécurité d'un site Internet.

1.    Signalez l'incident au responsable IT de l'organisation

Dès que l’on suspecte un changement inhabituel sur le site Internet de l’organisation, il convient de le signaler immédiatement au responsable IT afin qu'il puisse prendre les mesures correctrices suivantes.

2.    Rassemblez tous les éléments de preuve nécessaires

Une attaque DDoS est un cybercrime qui doit être signalé à la police. Pour déposer plainte, il est conseillé de rassembler plusieurs éléments pour compléter le dossier : des captures d'écran du site Internet attaqué, des captures d'écran de toute activité inhabituelle sur les appareils et les logs du firewall et des serveurs.

3.    Faites une copie de tous les appareils compromis

Lorsque c’est possible, le contenu de tous les appareils infectés doit être copié sur un support physique à des fins forensiques.

4.    Signalez l'incident à la police et déposez plainte

Une attaque DDoS est punissable par la loi et doit être signalée aux autorités pour leur permettre d'enquêter sur les responsables et les empêcher de perpétrer d'autres attaques.

5.    Modifiez tous les mots de passe donnés (le cas échéant)

Ces mots de passe doivent être modifiés sur tous les comptes utilisés.

6.    Dressez un inventaire de toutes les informations sensibles auxquelles les cyberpirates ont eu accès ou ayant été volées

Cette inventorisation permet d'évaluer l'ampleur de l'attaque et d'anticiper ce que le pirate pourrait utiliser ultérieurement pour perpétrer d'autres attaques.

7.    Identifiez et corrigez toutes les vulnérabilités utilisées pour accéder au réseau

C’est en déterminant exactement comment le cyberpirate est parvenu à accéder à une ressource que l’on sera en mesure de prendre les mesures correctrices nécessaires pour s'assurer que cette vulnérabilité ne sera plus exploitée dans de nouvelles attaques. Il peut s'agir, par exemple, d'installer un correctif de sécurité ou de modifier un mot de passe compromis.

8.    Informez le fournisseur du site Internet et le fournisseur d'accès à Internet

Lorsqu'un fournisseur externe est impliqué, veuillez le contacter et l'informer de l'incident afin qu'il puisse également prendre les mesures nécessaires pour y remédier.

9.    Si nécessaire, contactez des spécialistes officiels externes en sécurité

Toutes les organisations ne disposent pas de ressources suffisantes pour remédier efficacement à un cyberincident. Il est alors possible d’avoir recours à des spécialistes en sécurité pour résoudre l'incident. Ces spécialistes peuvent uniquement provenir d'organisations officielles, comme des sociétés de consultance reconnues, afin d'éviter d'engager un escroc.

Les cybercriminels consacrent de nombreuses heures à la planification d'une cyberattaque, s'assurant ainsi de son succès. Vu la grande organisation qui se cache derrière une cyberattaque, la réponse qui doit lui être donnée mérite au moins autant de méthode. La gestion d'une telle crise doit se faire au plus haut niveau de l'organisation, en impliquant le responsable IT, son équipe et, si l'organisation en a une, l'équipe responsable de la sécurité. Les objectifs immédiats sont de limiter l'impact de l'attaque, de permettre une reprise des activités dès que possible et d'établir les mesures de sécurité supplémentaires à mettre en place afin d'éviter que l'incident ne se reproduise.

La gestion des incidents de cybersécurité n'est pas un processus linéaire ; c'est un cycle qui comprend la préparation, la détection, le confinement de l'incident, l'atténuation et la récupération. La phase finale consiste à tirer les leçons de l'incident afin d'améliorer le processus et de se préparer à de futures crises. La communication avec les parties prenantes internes et externes est d'une importance capitale au cours de ce cycle.

Cet article a pour but d'aider les organisations victimes d’une cyberattaque importante, ou désirant se préparer au mieux à cette éventualité, à identifier les principales actions à entreprendre afin de pouvoir gérer l'incident.

Que faire en premier lieu ?
Des actions spécifiques peuvent être entreprises afin de contrer une cyberattaque en cours et de limiter les risques :

1.    Prévenez immédiatement votre responsable informatique

Le responsable informatique saura mieux que quiconque comment traiter l'incident et le résoudre le plus rapidement possible. Si votre organisation n'a pas de responsable informatique, adressez-vous à un membre de la direction et suivez ses instructions.

2.    Isolez les ressources infectées

En coupant toutes les connexions des ressources infectées à l'Internet et au réseau local de l'entreprise, vous bloquez l’accès aux cybercriminels, qui ne peuvent pas passer d'un système à l'autre et propager l'attaque. N'éteignez PAS les ordinateurs touchés, sinon vous effacerez les traces laissées par les auteurs de la cyberattaque.

3.    Désignez une équipe de gestion de crise

La gestion des actions des différents domaines (technique, RH, financier, communication, juridique, etc.) impliqués est un élément clé dans la gestion d'une cybercrise. L'objectif de l'équipe de gestion de crise est de superviser les actions spécifiques que chaque domaine doit entreprendre pendant la crise. Les communications sensibles concernant l'évolution de l'incident doivent se faire via un canal séparé et sécurisé.

4.    Tenez un registre de tous les événements et de toutes les actions exécutées

Conservez un registre de tous les événements et de toutes les actions exécutées pour pouvoir le présenter à l'autorité chargée de l'enquête et pour aider le responsable informatique à établir les leçons tirées de l'incident par la suite.

5.    Conservez toutes les preuves de l'attaque

Cette tâche est effectuée par des spécialistes IT. Ceux-ci examineront l'ordinateur touché par l'infection et tenteront de trouver des indices sur l'auteur de l'infection, tels que des modifications du système, des fichiers de configuration ou des données de l'entreprise. Ils détermineront également si les auteurs de l'infection ont installé des logiciels malveillants. Enfin, il est important d'examiner minutieusement tout l'historique du système.

Conservez tous les messages reçus, les machines affectées, les historiques de connexion, etc. comme preuves. Ces éléments seront importants pour la suite, comme l’enregistrement des événements et des actions.

1.    Mettez des solutions de repli en place

Déterminez quelles autres ressources peuvent être utilisées pour remplacer celles qui ont été infectées afin d'assurer la continuité des opérations critiques. Si l'organisation dispose d'un plan de continuité des activités ou d'un plan de reprise après sinistre, ceux-ci peuvent être utilisés pour identifier les mesures à prendre pour gérer la crise.

2.    Signalez l'incident aux autorités compétentes

Signaler les incidents peut non seulement aider à analyser la situation, mais aussi permettre à d'autres organisations de ne pas être victimes de la même attaque. Dans certains cas, le signalement peut également être une obligation légale.

•    Police
En cas de perte d'argent ou d'extorsion de fonds, nous vous recommandons de signaler l’incident à la police. Vous pouvez déposer plainte auprès de la police locale. Il est important de fournir le plus d'informations possible (relevés bancaires pertinents, captures d'écran, impressions, etc.) à la police lors de votre plainte.

•    Banque et Cardstop
Contactez votre banque et appelez Cardstop au 078 170 170 si vous avez transmis des coordonnées bancaires, si de l'argent a disparu de votre compte bancaire ou si vous avez transféré de l'argent à un escroc. Les transactions frauduleuses pourront alors être bloquées. Si vous voulez signaler l'arnaque, vous pouvez contacter votre banque en appelant un numéro spécifique se trouvant sur https://protegezvousenligne.be/

•    Safeonweb
Si vous avez reçu un e-mail ou un message suspect, transférez-le à suspect@safeonweb.be et supprimez-le.

•    Notification obligatoire des incidents NIS
Les signalements doivent être effectués via la plateforme de notification NIS (https://nis-incident.be/fr). Cette plateforme est accessible par Internet via une connexion sécurisée et à l'aide d'une clé d'identification unique pour chaque FSN et OSE (login/nom d'utilisateur et mot de passe). Si la plateforme n'est pas disponible, l'incident doit être signalé par le biais du site Internet du CCB. La plateforme veille à ce que le rapport parvienne au CCB, au Centre national de crise et aux autorités concernées.
Vous trouverez plus d'informations ici [https://ccb.belgium.be/fr/node/899] et ici [https://ccb.belgium.be/fr/node/903].

3.    Déterminez l'origine et l'étendue de l'attaque

Identifier le point de départ de l'attaque et le nombre de ressources infectées permettra de prendre les mesures adéquates pour corriger les problèmes de sécurité existants et éviter que la situation ne se répète.

4.    Mettez en place une communication de crise optimale

Établissez le niveau de détail et de transparence requis pour partager les informations avec toutes les parties concernées (par exemple, les collaborateurs, les clients, les fournisseurs, les parties prenantes, les médias, etc.)
Communiquez dès le début et souvent, tenez informés vos collaborateurs internes, vos fournisseurs, vos prestataires de services et vos clients. Cacher l'attaque n'est généralement pas une bonne idée car cela peut nuire à la réputation de votre organisation. Faites preuve de la plus grande transparence possible vis-à-vis de vos collaborateurs, des parties prenantes, des clients ou des utilisateurs, et de la presse au sujet de l'attaque. Même si vous n'avez pas toutes les réponses, informer les parties prenantes est essentiel.

5.    Ne négligez pas vos obligations légales

Il existe des obligations légales de notification aux autorités telles que le DPA/GBA/APD en cas de suspicion de violation de données (généralement dans les 72 heures). https://www.autoriteprotectiondonnees.be/citoyen/agir/contact (site Internet disponible en FR et NL). Impliquez votre délégué à la protection des données (DPD). L'équipe juridique et/ou le DPD peuvent également déposer plainte auprès de la police locale.
Que faire après la crise ?

6.    Reprenez progressivement les opérations

Vérifiez que les attaquants n'ont pas également compromis la sécurité et l'intégrité de votre système de sauvegarde.

Réparez, mettez à jour, reconstruisez et réinitialisez votre système d'authentification, mettez en place une authentification multifacteurs. Ne restaurez pas un système en utilisant des sauvegardes effectuées juste avant ou après l'attaque. Appliquez d'abord les conseils précédents et ensuite, et seulement ensuite, commencez les activités de reconstruction de votre système à partir des sauvegardes. Veillez à ne pas réinfecter les systèmes sains pendant le processus de restauration. Une fois le système restauré, assurez-vous qu'il ne reste aucune trace de l'attaque sur celui-ci avant de le réintégrer dans votre réseau. Reconstruisez vos systèmes selon un ordre de priorité des services critiques. Restaurez d'abord les serveurs, puis les points de terminaison. Supprimez ou isolez complètement les anciens systèmes et protocoles.

7.    Tirez les leçons de l’attaque

Aucune organisation ne souhaite revivre la même attaque à l'infini. Il est donc important de tirer toutes les leçons possible des incidents et de mettre en place un plan d'action pour définir quelles mesures de sécurité et quels investissements (par exemple, financiers, humains, contractuels, etc.) doivent être mis en place pour renforcer la protection des ressources.

8.    Évitez une nouvelle attaque

Votre antivirus doit absolument être à jour, ainsi que toutes les applications installées sur le poste de travail. Installez un pare-feu et un système de détection d'intrusion. Mettez en place une politique de gestion sécurisée des mots de passe et instaurez l'authentification multifacteurs qui exige qu'un utilisateur utilise au moins deux méthodes différentes (par exemple, un mot de passe et un code PIN, un code PIN et un code reçu par SMS) pour vérifier son identité et lui donner accès à la ressource qu'il désire atteindre.

La longueur, un gage de sécurité. Les mots de passe longs sont plus efficaces car ils sont plus difficiles à cracker pour les cybercriminels étant donné les nombreuses combinaisons de caractères possibles. Les mots de passe doivent au minimum compter 12 caractères, combinant des minuscules, des majuscules, des chiffres et des symboles afin d’en augmenter la complexité.

L’utilisation d'une phrase « mot de passe » est une technique efficace pour obtenir un mot de passe fort., p. ex. « Alice est à la plage à Ostende ». Découpez les différents noms et gardez la quantité de lettres recommandée, par exemple : « Ae et à la pe à Oe ». Consolidez encore ce mot de passe en ajoutant ou en remplaçant certaines lettres par des chiffres et/ou des symboles, p. ex. remplacer un « e » par le chiffre « 3 » et un a par le chiffre « 5 ». Utilisez tous les chiffres et symboles que vous voulez mais assurez-vous de retenir la séquence finale.

Les cybercriminels peuvent utiliser des techniques de phishing ou pirater un site web pour voler des mots de passe et accéder à des informations personnelles, ou encore vendre les données d'identification divulguées sur le dark web. En brandissant ces informations volées, leur objectif est de provoquer des dommages, soit en volant de l'argent, soit en utilisant des informations sensibles pour obtenir des services non désirés et/ou illégaux. Une fois en possession d'un seul mot de passe, ils essaieront de l'utiliser sur d'autres comptes également pour voir s'ils peuvent accéder à davantage de services et causer encore plus de dommages, ou ils essaieront d’évoluer dans le réseau de l'organisation pour accéder à davantage d'informations. Il est alors très important de contenir le risque de compromission de comptes multiples en utilisant des mots de passe différents pour des comptes différents.

L’authentification multifacteurs est une méthode fiable pour consolider l’utilisation des mots de passe. Elle sous-entend le recours à plusieurs moyens - facteurs - pour prouver que vous êtes bien celui que vous prétendez être et que vous pouvez accéder à votre compte.

Ces facteurs peuvent être les suivants :

• Une information que vous connaissez (un mot de passe, un code PIN),
• Une information que vous détenez (un téléphone ou un token) ou
• Une partie de vous (empreinte digitale ou reconnaissance faciale).

L'authentification multifacteurs exige la combinaison d'au moins deux de ces facteurs pour vous permettre d'accéder à un compte. Par exemple, l’utilisation d'un mot de passe et un code envoyé par sms sur votre téléphone mobile. Par ailleurs, l'authentification multifacteurs peut passer par l’utilisation d’une application de vérification. Par exemple, itsme® est une application belge gratuite permettant à tout résident de prouver son identité ou de confirmer des transactions de manière sûre, facile et fiable. L’on peut aussi utiliser d'autres apps d'authentification connues comme : Google Authenticator, Microsoft Authenticator, ou Authy.

Les services les plus couramment utilisés proposent une forme de vérification en deux étapes et disposent d'une page d'instructions concises. Vous retrouverez tous ces services et instructions sur le site suivant https://www.safeonweb.be/fr/lauthentification-deux-facteurs-comment-faire.  
Bien qu'il ne s'agisse pas d'une solution miracle, cela demandera aux assaillants de redoubler d’efforts pour vous compromettre, vous ou votre organisation. Le plus souvent, cela pourrait suffire à dissuader tout assaillant opportuniste.

Gestionnaires de mots de passe : une façon simple de retenir vos mots de passe

En prévoyant des mots de passe différents et forts pour vos différents comptes, vous contribuez à la protection de vos informations. Cependant, dans la vie quotidienne, les gens utilisent de nombreux comptes différents et il peut s'avérer assez difficile de se souvenir du mot de passe propre à chacun d'eux. Cela ne signifie pas qu'ils doivent utiliser le même mot de passe pour tous les comptes et accepter le risque d'être piratés. En effet, une solution a été spécialement développée à cette fin : le gestionnaire de mots de passe.

Les gestionnaires de mots de passe vous aideront à gérer tous vos mots de passe en les stockant de manière sécurisée. Certains gestionnaires peuvent même générer des mots de passe aléatoires et s'assurer qu'ils sont suffisamment forts. Pour accéder au gestionnaire de mots de passe, il suffit de mettre au point un mot de passe fort unique.

De nombreux gestionnaires de mots de passe sont disponibles en version gratuite ou payante ; n’hésitez pas à consulter votre responsable informatique pour obtenir des conseils sur le choix d'un gestionnaire conforme aux politiques de l'organisation. En guise de point de départ, voici une liste de quelques gestionnaires de mots de passe :

• Bitwarden
• Keeper
• Dashlane
• KeePassXC
• Keepass
• Lastpass
• LogMeOnce
• 1Password

À l’instar de toute solution technologique disponible, les gestionnaires de mots de passe peuvent également présenter des vulnérabilités susceptibles d’être exploitées. Cependant, les fournisseurs font tout ce qu'ils peuvent pour assurer la sécurité de leur produit. Pour ajouter une couche de protection, nous recommandons d’implémenter une authentification multifacteurs donnant accès à un gestionnaire de mots de passe.

Si vous disposez de la moindre indication qu'un mot de passe a été révélé ou partagé, changez immédiatement tous les mots de passe. N'oubliez pas de changer régulièrement les mots de passe. L'ajout d'une seule lettre ou d'un seul chiffre ne changera pas vraiment la donne, car la plupart des pirates conservent une liste de combinaisons de comptes piratés.
Par ailleurs, dans le cas où un mot de passe professionnel a été divulgué ou partagé, contactez votre responsable informatique et suivez ses instructions.