La crise de Covid-19 et la cybersécurité

La crise de la COVID-19 a des répercussions significatives sur l’économie et les entreprises du monde entier. Suite à l’annonce d’une pandémie par l’Organisation mondiale de la santé, le président Trump interdit tout voyage de l’Europe vers les États-Unis pendant 30 jours. L’impact sur les entreprises mondiales est considérable en raison de la fermeture des bureaux dans le monde entier, obligeant les employés à travailler chez eux à des fins de sécurité. Face aux répercussions immédiates que subissent les opérations des entreprises, nous devons nous pencher sur la cybersécurité et les vulnérabilités auxquelles chaque organisation doit faire face.

L’un des plus grands défis pour les organisations est de maintenir la sécurité et le rendement de leurs employés. La solution la plus simple pour la plupart des employeurs est de permettre aux employés de travailler à domicile. Mais ce faisant, les entreprises s’exposent davantage à d’éventuelles cyberattaques sur leurs réseaux.

Le protocole Bureau à distance (RDP/Remote Desktop Protocol) est un outil couramment utilisé pour autoriser l’accès à distance à un réseau et est souvent utilisé par les organisations pour pour permettre aux employés de travailler à distance. Cependant, la majorité des attaques de rançongiciels ont lieu lorsque le protocole RDP est utilisé. Les attaquants accèdent généralement à un réseau soit en extorquant les identifiants, soit en envoyant un faux courriel (hameçonnage) pour inciter un individu qui ne se doute de rien à les saisir de son plein gré sur un site web contrôlé par l’attaquant. Il existe même des identifiants précédemment compromis qui peuvent être achetés pour quelques dollars sur le Web invisible.


VECTEURS D’ATTAQUES COURANTS UTILISÉS PAR LES RANÇONGICIELS AU PREMIER TRIMESTRE 2019

Comment pouvez-vous donc minimiser l’éventuelle menace d’une compromission du réseau en utilisant le protocole RDP?

Voici quelques astuces pour faciliter l’accès à distance de vos employés afin qu’ils puissent travailler à domicile de façon sécurisée.

Le profil du Niveau 1 consiste en une recommandation dite « de base » qui peut être mise en œuvre assez rapidement et facilement par une équipe informatique. Le niveau 1 vise à réduire la surface d’attaque de votre organisation tout en maintenant vos systèmes actifs et en assurant la continuité de vos activités.

Le profil du Niveau 2 peut se comparer à « une défense en profondeur » et s’adresse aux environnements dans lesquels la sécurité est primordiale et aucune faille d’infrastructure n’est permise. Les recommandations associées au profil de Niveau 2 sont plutôt à mettre œuvre et à gérer par votre équipe informatique. Mais selon nous, cela vaut vraiment la peine. »



NIVEAU 1

Limiter l’accès au serveur Bureau à distance

Limiter le nombre d’adresses IP et d’emplacements qui peuvent se connecter à votre serveur Bureau à distance constitue une arme puissante dans votre arsenal de défense. Restreignez l’accès au serveur en exigeant la connexion à un RPV. Si cela n’est pas faisable ou possible, établissez plutôt une liste blanche des adresses IP des personnes travaillant à domicile. Si trop d’utilisateurs sont concernés par cette mesure, vous pouvez plutôt avoir recours au blocage par géolocalisation en autorisant uniquement le trafic provenant des pays ou régions de résidence de vos utilisateurs.

Contrôles contre les programmes malveillants

Assurez-vous d’une part que votre équipe informatique vérifie régulièrement la sécurité de votre système. Par ailleurs, protégez votre serveur avec un antivirus fiable doté d’un filtre antipourriel et configurez-le pour qu’il enregistre tous les événements survenus dans le système afin de détecter toute activité anormale.  De cette façon, lorsqu’un attaquant réussira à accéder au serveur, il aura de la difficulté à exécuter un code malveillant et à exploiter les outils dont il a besoin pour mener à bien leur attaque.

Correction

Utilisez un système d’exploitation récent tel que Windows Server 2016 ou 2019 sur votre serveur Bureau à distance, car celui-ci prend en charge les tout derniers paramètres de sécurité et mécanismes absents dans les versions antérieures. Le maintien à jour de vos serveurs à l’aide des toutes dernières mises à jour logicielles et de sécurité doit être au cœur de votre stratégie en matière de sécurité.

Droit d’accès minimal

Assurez-vous que seuls les utilisateurs ayant besoin d’un accès à distance puissent se connecter au serveur.
Refusez l’accès au Bureau à distance à tous les autres utilisateurs, y compris les comptes d’utilisateurs, les comptes de service et tout autre compte d’administrateur dont l’accès n’est pas requis. De plus, les utilisateurs n’ont souvent besoin d’accéder qu’à un nombre réduit de fichiers, de dossiers et de ressources se trouvant sur un serveur de fichiers. Configurez les rôles et les autorisations de chaque utilisateur afin qu’il ne puisse uniquement accéder aux données dont il a besoin dans le cadre de ses fonctions.

Configuration du Bureau à distance

Configurez l’authentification au niveau du réseau (« NLA ») et activez le plus haut niveau de chiffrement pour vos configurations du protocole Bureau à distance. Une NLA et un chiffrement renforcé offrent une protection supplémentaire contre l’exploitation, l’interception du trafic et d’autres vulnérabilités liées au protocole Bureau à distance.

Authentification, mots de passe et verrouillages

Assurez-vous d’appliquer une stratégie de mot de passe forte avec au moins 12 caractères dans votre environnement de domaine afin de réduire les chances d’une éventuelle réutilisation ou extorsion des identifiants. Par ailleurs, configurez la stratégie de verrouillage à un maximum de cinq tentatives, et augmentez le temps de verrouillage à une heure minimum au-delà de cinq tentatives. Les utilisateurs légitimes dont l’accès a été bloqué peuvent être validés manuellement et l’équipe informatique procèdera au déverrouillage. Vous pouvez aussi choisir de limiter les heures de connexion des utilisateurs aux heures de travail convenues.



NIVEAU 2

Authentification multifactorielle

Il ne s’agit pas de savoir si, mais quand un attaquant mettra la main sur des informations d’identification valides. La mise en place d’une authentification multifactorielle pour se connecter au serveur Bureau à distance augmente considérablement la complexité d’une compromission, et permet donc de doter votre infrastructure d’une couche de sécurité supplémentaire remarquable.

Isolement de votre serveur Bureau à distance

Placez votre serveur Bureau à distance dans une zone séparée de votre réseau avec un accès restreint aux autres ressources internes. Ce sera ainsi plus difficile pour un attaquant d’organiser une attaque contre le réseau interne si le serveur Bureau à distance est compromis.

Journalisation et audits

Assurez-vous que votre serveur est configuré pour générer un vaste ensemble de données enregistrées et que votre équipe informatique mène des audits réguliers et vérifie les journaux à la recherche d’activité anormale.
L’analyse des journaux d’audit fournit à l’équipe de sécurité des informations en temps réel sur l’état du serveur. Bien souvent, des attaques réussies pourraient être évitées si l’équipe informatique vérifiait les indicateurs d’attaque les jours où ceux-ci étaient visibles dans les journaux d’audit.

Renforcement du système

Exploitez les commandes et les modèles de renforcement standard recommandés par des organismes de sécurité accrédités tels que le Center for Internet Security (CIS).

Développement d’une stratégie de l’hôte non gérée

Idéalement, l’authentification sur le réseau de l’entreprise ne devrait pouvoir se faire que sur des appareils contrôlés par l’entreprise. Malheureusement, ce n’est pas toujours possible de remettre un ordinateur portable à chaque employé, mais l’entreprise peut choisir d’autoriser les utilisateurs à utiliser leurs appareils personnels.
Travailler avec des hôtes non gérés et des appareils personnels peut générer de nombreuses incertitudes et introduire des risques dans l’environnement. Étant donné qu’ils ne sont pas gérés par le service informatique de l’entreprise, il est difficile d’identifier et de contrôler l’état de ces appareils. Une stratégie de l’hôte non gérée incluant des exigences minimales pour les appareils personnels peut aider à atténuer ce risque.

  • Une solution antivirus personnelle à jour
  • Un balayage de l’antivirus avant de se connecter au réseau de l’entreprise
  • Un système d’exploitation qui n’est pas hors de soutien-vie (Windows 10, macOS Catalina)

Certificats signés

Mettez en œuvre les certificats de sécurité signés sur le serveur Bureau à distance et celui des clients.
L’utilisation de certificats pour s’authentifier permet d’éviter d’éventuelles attaques de l’intercepteur.
Lorsqu’une voie de communication est établie entre le client et le serveur, l’autorité qui génère les certificats atteste que le serveur est authentique. Tant que le client fait confiance au serveur qu’il utilise pour communiquer, les données envoyées et reçues sont considérées comme étant sécurisées.



Communiquez avec nous à l’adresse [email protected] pour toute question ou préoccupation.

Base de connaissances

Fin de vie pour Windows 7 et Windows Server 2008 R2

Translation required Microsoft Ending Support for Windows 7 and Windows Server 2008 R2 – January 2020 As we prepare for the holidays, businesses need to prepare for a huge change

Lire plus +

Rançon rassurer

Translation required Just the thought of the word RANSOM may send “Techies” into a cold sweat… TO PAY OR NOT TO PAY! According to recent studies, the actual “cost” of

Lire plus +
icon-dark icon-light icon logo-light