Plut\u00f4t que de simplement chiffrer les syst\u00e8mes d’un MSP, les hackers utilisent les identifiants compromis de ses employ\u00e9s pour d\u00e9tourner les outils logiciels de ce dernier et les utiliser pour d\u00e9ployer un ransomware sur tous les clients du MSP en m\u00eame temps.<\/p>\n
\u00c0 partir de 2019, les hackers ont commenc\u00e9 \u00e0 acc\u00e9der \u00e0 toute une vari\u00e9t\u00e9 de MSP et \u00e0 abuser de divers logiciels populaires ax\u00e9s sur les MSP, notamment Kaseya VSA, Webroot, Connectwise ScreenConnect<\/a> et Continuum<\/a>. C’est aussi en 2019 qu’ils ont acc\u00e9d\u00e9 \u00e0 un petit nombre de clients MSP de NinjaOne<\/a> par des m\u00e9thodes sans lien aucun avec NinjaOne. Dans aucun des cas nous n’avons vu d’indication du faille de s\u00e9curit\u00e9 du c\u00f4t\u00e9 de NinjaOne. Les preuves sugg\u00e8rent plut\u00f4t que les MSP ont \u00e9t\u00e9 compromis par d’autres moyens et que les attaquants ont ensuite utilis\u00e9 les informations d’identification des MSP pour mener des actions non autoris\u00e9es avec leurs outils.<\/p>\n Tout \u00e0 l’honneur de la communaut\u00e9 des MSP, ces incidents ont incit\u00e9 l’ensemble du secteur \u00e0 adopter des protocoles de s\u00e9curit\u00e9 plus stricts. Plus pr\u00e9cis\u00e9ment, l’adoption de l’authentification \u00e0 deux facteurs<\/a>a eu un impact consid\u00e9rable sur la r\u00e9duction des attaques r\u00e9ussies (lors de notre r\u00e9cent 2020 MSP Security Summit<\/a>, le PDG de Coveware, Bill Siegel, a d\u00e9clar\u00e9 que son entreprise n’avait eu \u00e0 r\u00e9pondre \u00e0 aucun incident l\u00e0 o\u00f9 l’authentification \u00e0 deux facteurs avait \u00e9t\u00e9 activ\u00e9e).<\/p>\n Mais si des progr\u00e8s ont \u00e9t\u00e9 faits, le sentiment d’urgence reste bien r\u00e9el. Le succ\u00e8s initial du d\u00e9tournement de comptes de MSP a encourag\u00e9 les attaquants \u00e0 continuer \u00e0 se concentrer sur la compromission de ces r\u00e9seaux en particulier. Si vous \u00eates un MSP, vous devez malheureusement partir du principe que ce n’est qu’une question de temps avant que des tentatives d’attaques similaires ne vous visent. Il est donc pr\u00e9f\u00e9rable d’acqu\u00e9rir une connaissance pratique des cybermenaces<\/a> et des bonnes pratiques en mati\u00e8re de cybers\u00e9curit\u00e9 \u00e9num\u00e9r\u00e9es ci-dessous.<\/p>\n Il est essentiel que les MSP activent l’authentification forte (2FA)<\/strong> \u00e0 la premi\u00e8re occasion sur tous les logiciels qu’ils utilisent, ainsi que pour les e-mails. Mais ce n’est pas tout, loin de l\u00e0. Nous avons cr\u00e9\u00e9 la check-list suivante pour fournir aux MSP une liste de choses sp\u00e9cifiques \u00e0 faire pour r\u00e9duire leur surface d’attaque et am\u00e9liorer leur capacit\u00e9 \u00e0 pr\u00e9venir, d\u00e9tecter et r\u00e9pondre aux attaques<\/a>.<\/p>\n L’id\u00e9e n’est pas de s’atteler \u00e0 appliquer toutes ces recommandations en m\u00eame temps, c’est impossible. Nous souhaitons simplement vous fournir une liste \u00e0 laquelle vous pourrez vous r\u00e9f\u00e9rer et que vous pourrez compl\u00e9ter progressivement en fonction de vos priorit\u00e9s et du temps dont vous disposez. Apr\u00e8s tout, l’am\u00e9lioration de la s\u00e9curit\u00e9 n’est pas une activit\u00e9 ponctuelle, c’est un processus continu. N’oubliez pas que toutes les am\u00e9liorations que vous pouvez apporter maintenant seront beaucoup moins co\u00fbteuses en temps et en argent que de rem\u00e9dier \u00e0 une attaque active, alors n’attendez pas pour commencer.<\/p>\n Vous souhaitez obtenir une copie PDF de la check-list \u00e0 laquelle vous pourrez vous r\u00e9f\u00e9rer ult\u00e9rieurement\u00a0? T\u00e9l\u00e9chargez-la ici<\/a>.<\/strong><\/p>\n Remarque\u00a0:<\/strong> Ces recommandations ne sont \u00e9videmment pas exhaustives. En fonction de vos sp\u00e9cificit\u00e9s (taille, infrastructure, etc.), certaines peuvent ne pas convenir \u00e0 votre entreprise. La s\u00e9curit\u00e9 n’est pas un concept unique, et ce qui est essentiel pour certains peut \u00eatre excessif pour d’autres. Soyez pragmatique, adoptez une approche multidimensionnelle et n’oubliez pas que lorsque vous impl\u00e9mentez de nouveaux contr\u00f4les, il est toujours bon de d’abord les tester afin d’\u00e9viter des perturbations involontaires.<\/p>\n \u00ab\u00a0La terre n’est pas plate et votre r\u00e9seau ne devrait pas l’\u00eatre non plus.\u00a0\u00bb<\/p>\n – Catherine Pitt, vice-pr\u00e9sidente charg\u00e9e de la s\u00e9curit\u00e9 de l’information chez Pearson<\/p>\n<\/blockquote>\n De nombreuses attaques actuelles, telles que les APT<\/a> (menace persistante avanc\u00e9e), sont con\u00e7ues pour se loger et se d\u00e9velopper dans les r\u00e9seaux des victimes. Pour \u00e9viter cela, vous devez \u00e9tablir des barri\u00e8res entre vos utilisateurs et vos actifs.<\/p>\n Non seulement les capacit\u00e9s d’acc\u00e8s \u00e0 distance sont essentielles pour votre entreprise, mais il y a \u00e9galement peu de choses qu’un hacker aimerait plus que tout d\u00e9tourner.<\/p>\n Vous cherchez \u00e0 garder le contr\u00f4le sur la s\u00e9curit\u00e9 des terminaux de vos serveurs et postes de travail r\u00e9partis ?<\/p>\n \ud83d\udd12 D\u00e9couvrez comment la solution NinjaOne RMM\u00ae pour la s\u00e9curit\u00e9 des terminaux<\/a> s\u2019int\u00e8gre aux environnements informatiques modernes.<\/span><\/p>\n<\/div>\n La s\u00e9curisation du RDP est peut-\u00eatre un principe de base de la s\u00e9curit\u00e9, elle n’en reste pas moins n\u00e9glig\u00e9e et continue d’\u00eatre l’une des principales causes de compromission. Une rapide analyse de Shodan<\/a> montre que des millions de syst\u00e8mes exposent actuellement leur RDP. Ils font sans aucun doute l’objet d’attaques par force brute<\/a>. Une fois pirat\u00e9, l’acc\u00e8s aux comptes compromis peut \u00eatre achet\u00e9 pour quelques euros seulement<\/a> sur les places de march\u00e9 du dark web.<\/p>\n La compromission via RDP a \u00e9t\u00e9 le vecteur d’attaque privil\u00e9gi\u00e9 pour de nombreuses variantes de ransomware, notamment CrySiS\/Dharma, Shade et SamSam<\/a>, le ransomware utilis\u00e9 pour infecter Allscripts, de nombreux h\u00f4pitaux et la ville d’Atlanta.<\/p>\n Ressources compl\u00e9mentaires\u00a0:<\/strong><\/p>\n \u00ab\u00a0Montrez-moi un courriel malveillant et je vous montrerai quelqu’un qui cliquera sur le lien qu’il contient.\u00a0\u00bb<\/p>\n – Ancien proverbe de la s\u00e9curit\u00e9 de l’information<\/p>\n<\/blockquote>\n La grande majorit\u00e9 des attaques visent la partie la plus vuln\u00e9rable de votre r\u00e9seau\u00a0: vos utilisateurs. Voici les bonnes pratiques pour s\u00e9curiser leurs appareils et prot\u00e9ger les utilisateurs contre eux-m\u00eames.<\/p>\n De nombreuses attaques actuelles tentent d’abuser des outils et des fonctionnalit\u00e9s int\u00e9gr\u00e9s. Cette tactique permet de contourner<\/a> les d\u00e9fenses et d’\u00e9chapper \u00e0 la d\u00e9tection en se fondant dans l’activit\u00e9 l\u00e9gitime des administrateurs. Voici les mesures que vous pouvez prendre pour att\u00e9nuer ce risque\u00a0:<\/p>\n Ressources compl\u00e9mentaires\u00a0:<\/strong><\/p>\n Les documents Office malveillants restent l’un des vecteurs les plus populaires et les plus efficaces des logiciels malveillants. La cl\u00e9 pour att\u00e9nuer cette menace est de d\u00e9sactiver ou de restreindre les fonctionnalit\u00e9s suivantes\u00a0:<\/p>\n \u00ab\u00a0La p\u00e9riode d’inactivit\u00e9 et les perturbations caus\u00e9es par un ransomware moyen durent 7,3 jours.\u00a0\u00bb<\/p>\n – Coveware<\/a><\/p><\/blockquote>\n Il ne suffit pas de s’efforcer de pr\u00e9venir les attaques. Vous devez \u00e9galement disposer des capacit\u00e9s et des politiques ad\u00e9quates pour identifier, contenir, analyser et rem\u00e9dier rapidement aux compromissions.<\/p>\n Remarque\u00a0:<\/strong> Il y a des choses de base que vous pouvez faire ici, mais \u00e0 un niveau plus avanc\u00e9, cela implique souvent l’utilisation d’outils complexes, l’analyse des journaux et la mise en place de capacit\u00e9s de surveillance et de r\u00e9ponse 24h\/24 et 7j\/7. En fonction de votre expertise, de votre bande passante et de vos besoins, vous devrez peut-\u00eatre envisager l’externalisation.<\/p>\n Lorsqu’un incident de s\u00e9curit\u00e9 se produit, vous devez \u00eatre en mesure d’agir rapidement sous la pression. Cela n\u00e9cessite des lignes directrices claires et une planification efficace.<\/p>\n Rationalized, localized French translation:<\/p>\n Centralisez la gestion informatique et la s\u00e9curit\u00e9 des terminaux sur une plateforme fiable et bien connue.<\/p>\n \ud83d\udcbb D\u00e9couvrez gratuitement la d\u00e9mo interactive de NinjaOne.<\/a><\/span><\/p>\n<\/div>\n Selon l’importance des investissements que vous avez d\u00e9j\u00e0 r\u00e9alis\u00e9s en mati\u00e8re de s\u00e9curit\u00e9, cette liste peut vous sembler \u00e9crasante. Si c’est le cas, rappelez-vous que la s\u00e9curit\u00e9 n’est pas une chose que l’on peut ma\u00eetriser \u00e0 100\u00a0%. Les choses changent constamment et l’objectif n’est pas de devenir du jour au lendemain une forteresse de s\u00e9curit\u00e9, mais simplement de s’assurer que l’on fait constamment de petits pas en avant.<\/p>\n Concentrez-vous sur quelques \u00e9l\u00e9ments de cette liste \u00e0 la fois. Ou m\u00eame sur un seul. Puis, passez \u00e0 un autre. Visez des avanc\u00e9es progressives. Tout ce que vous faites peut avoir un impact. Si vous r\u00e9duisez votre risque ou placez la barre plus haut pour les attaquants, m\u00eame l\u00e9g\u00e8rement, vous faites votre travail.<\/p>\n Vous souhaitez recevoir par e-mail une copie PDF de cette check-list\u00a0? T\u00e9l\u00e9chargez-la ici<\/a>.<\/strong><\/p>\nQue faire maintenant (si vous n’avez pas d\u00e9j\u00e0 pris des mesures)\u00a0?<\/h2>\n
![\"msp](\"https:\/\/www.ninjaone.com\/wp-content\/uploads\/2023\/10\/msp-cybersecurity-checklist-blog-banner.png\")
<\/a><\/p>\nLes points abord\u00e9s dans cette check-list<\/h2>\n
\n
\n
\n
\n
Limitez l’acc\u00e8s \u00e0 votre r\u00e9seau<\/h2>\n
\n
\n
\nVous trouverez ici un guide rapide (en anglais)<\/a> pour vous lancer.<\/li>\n
\nIls devraient comporter des majuscules et des minuscules et \u00eatre compos\u00e9s de lettres, de chiffres et de symboles. Ils ne doivent pas \u00eatre partag\u00e9s ou r\u00e9utilis\u00e9s. D’un point de vue pratique, cela signifie qu’un v\u00e9ritable outil de gestion des mots de passe est indispensable (non, un tableur ne compte pas). Il existe de nombreuses options qui vous permettent de stocker les mots de passe en toute s\u00e9curit\u00e9, de g\u00e9rer les autorisations, d’auditer l’utilisation et de surveiller les sessions. Elles r\u00e9solvent \u00e9galement le probl\u00e8me de savoir ce qu’il faut faire lorsqu’un technicien doit \u00eatre licenci\u00e9 ou qu’il quitte soudainement l’entreprise.<\/li>\n
\nLa solution de mot de passe de l’administrateur local (LAPS) de Microsoft<\/a> peut aider \u00e0 g\u00e9rer cette situation.<\/li>\n
\nIl est extr\u00eamement courant que les hackers et les logiciels malveillants r\u00e9cup\u00e8rent les caches des navigateurs.<\/li>\n
\nCela est particuli\u00e8rement important pour pr\u00e9venir la vague actuelle d’attaques par ransomware qui d\u00e9tournent les outils logiciels des prestataires de services de gestion.<\/strong> Il existe une grande vari\u00e9t\u00e9 d’outils d’authentification forte (2FA\/MFA).<\/li>\n
\nPas de \u00ab\u00a0admin\u00a0\u00bb, \u00ab\u00a0administrateur\u00a0\u00bb, \u00ab\u00a0d\u00e9faut\u00a0\u00bb, \u00ab\u00a0root\u00a0\u00bb, \u00ab\u00a0utilisateur\u00a0\u00bb, etc.<\/li>\n
\nAdoptez le le principe du moindre privil\u00e8ge<\/a>. Par exemple\u00a0: Les techniciens doivent utiliser un compte standard, non administrateur par d\u00e9faut, et un compte administrateur s\u00e9par\u00e9 uniquement si n\u00e9cessaire, id\u00e9alement depuis un poste de travail \u00e0 acc\u00e8s privil\u00e9gi\u00e9<\/a>.<\/li>\n
\nMicrosoft conseille d’adopter un mod\u00e8le \u00e0 plusieurs paliers<\/a> compos\u00e9 de trois niveaux de comptes d’administration qui contr\u00f4lent chacun une cat\u00e9gorie diff\u00e9rente d’actifs (domaines, serveurs et postes de travail).<\/li>\n
\nLa cr\u00e9ation de comptes de service pour des applications sp\u00e9cifiques peut vous aider \u00e0 isoler les d\u00e9g\u00e2ts en cas de compromission d’un seul compte, mais seulement si vous \u00e9vitez les erreurs courantes<\/a>. D\u00e9sactivez les services dont vous n’avez pas besoin et envisagez d’utiliser des comptes de services administr\u00e9s de groupe (gMSA) pour faciliter la gestion des comptes de services et la rendre plus s\u00fbre.<\/li>\n
\nIl s’agit d’un autre des contr\u00f4les de s\u00e9curit\u00e9 les plus \u00e9l\u00e9mentaires qui est r\u00e9guli\u00e8rement n\u00e9glig\u00e9 ou mis \u00e0 mal en situation r\u00e9elle. Voici un guide vous montrant comment supprimer les administrateurs locaux \u00e0 l’aide d’une GPO, avec des conseils sur la mani\u00e8re d’aborder les id\u00e9es re\u00e7ues ou les r\u00e9actions n\u00e9gatives que vous pourriez rencontrer de la part des cadres et d’autres personnes.<\/li>\n
\nOn estime qu’un tiers des comptes d’utilisateurs sont inactifs mais toujours activ\u00e9s<\/a>. Tous ces terminaux non surveill\u00e9s repr\u00e9sentent un risque important pour la s\u00e9curit\u00e9. Proc\u00e9dez \u00e0 des audits r\u00e9guliers et mettez en place une politique claire de d\u00e9sactivation et de suppression des comptes lorsque les utilisateurs quittent l’entreprise.<\/li>\n
\nAujourd’hui, un nombre croissant d’attaques ne se limitent pas \u00e0 des postes de travail isol\u00e9s. Ils sont con\u00e7us pour se loger quelque part et de s’\u00e9tendre depuis ce point de d\u00e9part. En utilisant Active Directory, les strat\u00e9gies de groupe<\/a> et le pare-feu Windows, vous pouvez emp\u00eacher la communication de poste de travail \u00e0 poste de travail<\/a> tout en autorisant l’acc\u00e8s \u00e0 partir de votre poste de travail \u00e0 acc\u00e8s privil\u00e9gi\u00e9.<\/li>\n<\/ul>\n
\nVerrouillez vos outils de gestion \u00e0 distance<\/strong><\/h3>\n\n
\nLimitez leur disponibilit\u00e9 strictement aux personnes qui ne peuvent pas travailler sans.<\/li>\n
\nPensez toujours en termes de principe de moindre privil\u00e8ge<\/a>, surtout lorsque vous travaillez avec des clients dans des secteurs verticaux r\u00e9glement\u00e9s ou qui traitent des informations confidentielles ou d’autres informations sensibles. Vous devrez peut-\u00eatre prouver que vos techniciens n’ont jamais eu la possibilit\u00e9 d’acc\u00e9der \u00e0 ces informations.<\/li>\n
\nSi vous le faites, les hackers risquent de de r\u00e9colter les identifiants de l’administrateur du domaine<\/a> si jamais le poste de travail utilis\u00e9 est compromis. Les comptes d’administrateur de domaine doivent \u00eatre peu nombreux et utilis\u00e9s exclusivement pour se connecter aux contr\u00f4leurs de domaine (et non aux postes de travail).<\/li>\n
\nAppliquez r\u00e9guli\u00e8rement les mises \u00e0 jour et surveillez tout particuli\u00e8rement les correctifs apport\u00e9s aux vuln\u00e9rabilit\u00e9s qui pourraient permettre \u00e0 des hackers d’ex\u00e9cuter un code \u00e0 distance ou d’obtenir un acc\u00e8s non autoris\u00e9.<\/li>\n
\nLa collecte d’informations sur les sessions et les activit\u00e9s d’acc\u00e8s \u00e0 distance vous permettra de r\u00e9aliser des audits, de rep\u00e9rer les anomalies, d’\u00e9tudier toute activit\u00e9 suspecte et d’y r\u00e9pondre.<\/li>\n<\/ul>\nBureau \u00e0 distance s\u00e9curis\u00e9 (RDP)<\/strong><\/h3>\n
\n
\nM\u00eame dans ce cas, demandez-vous s’il n’existe pas une meilleure fa\u00e7on de faire ce dont vous avez besoin.<\/li>\n
\nUtilisez des outils d’analyse tels que Nmap<\/a>, masscan<\/a> ou Shodan<\/a>. Les hackers le font d\u00e9j\u00e0, alors prenez quelques minutes pour voir votre r\u00e9seau \u00e0 travers leurs yeux. Un autre outil qui vous guide dans l’analyse des ports de base est ShieldsUP<\/a>.<\/li>\n
\nL’un des moyens les plus courants de cr\u00e9er une porte d\u00e9rob\u00e9e consiste \u00e0 utiliser de mani\u00e8re abusive la fonction de touche r\u00e9manente de Windows<\/a>. Deux outils d’analyse diff\u00e9rents permettant d’identifier les serveurs RDP pirat\u00e9s sont disponibles ici<\/a> ou ici<\/a>.<\/li>\n
\nCela r\u00e9duit le risque que des hackers utilisent une machine compromise pour acc\u00e9der \u00e0 d’autres machines de votre r\u00e9seau.<\/li>\n
\nPar d\u00e9faut, tous les administrateurs peuvent se connecter au Bureau \u00e0 distance.<\/li>\n
\nLe MFA est une bonne id\u00e9e, mais si vous n’avez pas d’autre solution que d’avoir un RDP expos\u00e9, elle devient un passage oblig\u00e9.<\/li>\n
\nLe nombre de tentatives infructueuses n\u00e9cessaires pour d\u00e9clencher un verrouillage est laiss\u00e9 \u00e0 votre discr\u00e9tion, mais de fa\u00e7on g\u00e9n\u00e9rale, Microsoft recommande<\/a> un verrouillage de 15 minutes apr\u00e8s 10 tentatives infructueuses.<\/li>\n
\nCe n’est pas la solution la plus appr\u00e9ci\u00e9e, mais il s’agit d’une mesure d’att\u00e9nuation importante qui permet d’\u00e9viter que les sessions ne soient d\u00e9tourn\u00e9es<\/a>.<\/li>\n
\nEn utilisant un pare-feu, vous pouvez limiter l’acc\u00e8s au RDP aux adresses IP figurant sur liste blanche<\/a>. Les passerelles RD sont plus exhaustives. Elles vous permettent de restreindre non seulement l’acc\u00e8s des personnes, mais aussi ce \u00e0 quoi elles ont acc\u00e8s, sans qu’il soit n\u00e9cessaire de configurer des connexions VPN. Pour en savoir plus sur les passerelles RD, cliquez ici<\/a><\/li>\n
\nLa NLA permet un d\u00e9gr\u00e9 suppl\u00e9mentaire d’authentification avant d’\u00e9tablir une connexion \u00e0 distance. Plus de d\u00e9tails sur comment v\u00e9rifier les param\u00e8tres de votre strat\u00e9gie de groupe pour confirmer que l’option NLA est activ\u00e9e ici (en anglais)<\/a>.<\/li>\n
\nCela n’emp\u00eachera pas les hackers d\u00e9termin\u00e9s de trouver votre RDP, mais cela rel\u00e8vera la barre et vous aidera \u00e0 vous prot\u00e9ger contre les attaques automatis\u00e9es et les attaques paresseuses. Microsoft explique ici comment effectuer ce changement<\/a>.<\/li>\n<\/ul>\n\n
Prot\u00e9gez vos utilisateurs et vos terminaux<\/h2>\n
\n
\n
\nDe nos jours, peu d’antivirus reposent uniquement sur la correspondance des signatures<\/a>. la majorit\u00e9 des antivirus reposent int\u00e8grent plut\u00f4t des algorithmes de d\u00e9tection via apprentissage automatique soit dans leur offre g\u00e9n\u00e9rale, soit en tant que ligne de produits suppl\u00e9mentaire (plus co\u00fbteuse) (voir notre guide sur les outils EDR et NGAV ici<\/a>). Ces solutions sont nettement plus efficaces pour bloquer les malwares, aussi bien les nouveaux que les polymorphes<\/a>, mais l’inconv\u00e9nient est qu’elles peuvent g\u00e9n\u00e9rer un nombre consid\u00e9rable de fausses alertes. Sans compter qu’elles d\u00e9tectent rarement les attaques qui abusent d’outils syst\u00e8me l\u00e9gitimes ou utilisent d’autres techniques \u00ab\u00a0sans fichier\u00a0\u00bb<\/a>\u00a0: raison de plus pour laquelle la s\u00e9curit\u00e9 est avant tout une question de couches de d\u00e9fenses.<\/li>\n
\nSouvent plus facile \u00e0 dire qu’\u00e0 faire si l’on consid\u00e8re qu’il y a eu plus de 15\u00a0500 CVE publi\u00e9s en 2018<\/a>. Les mises \u00e0 jour de Windows \u00e0 elles seules peuvent \u00eatre un v\u00e9ritable fl\u00e9au, sans parler des applications tierces. Assurez-vous que vous automatisez la gestion des correctifs<\/a> autant que possible par le biais de votre RMM<\/a> et que vous pouvez vraiment vous y fier pour appliquer les correctifs avec succ\u00e8s. Effectuez r\u00e9guli\u00e8rement des audits de correctifs afin d’identifier les machines susceptibles d’\u00eatre vuln\u00e9rables. 57\u00a0% des violations de donn\u00e9es sont attribu\u00e9es \u00e0 une mauvaise gestion des correctifs.<\/li>\n
\nVeillez \u00e0 prot\u00e9ger votre p\u00e9rim\u00e8tre en optimisant les capacit\u00e9s d’inspection et de filtrage de votre pare-feu.<\/li>\n
\nLes solutions de filtrage DNS<\/a> peuvent prot\u00e9ger les utilisateurs m\u00eame lorsqu’ils ne sont pas sur le r\u00e9seau.<\/li>\n
\n\u00c9tant donn\u00e9 que 92\u00a0% des logiciels malveillants sont transmis par e-mail<\/a>, il est \u00e9videmment indispensable de disposer d’un bon filtre anti-spam. Malheureusement, il n’y a pas que les logiciels malveillants qui vous inqui\u00e8tent. Afin de pr\u00e9venir les attaques de phishing et les attaques par compromission de messagerie d’entreprise (BEC), il est conseill\u00e9 d’impl\u00e9menter les normes DMARC, SPF et DKIM pour prot\u00e9ger votre domaine contre les usurpations d’identit\u00e9. Voici un guide d’installation<\/a> et un outil gratuit de surveillance et de reporting DMARC<\/a> qui peut vous aider.<\/li>\n
\nLes utilisateurs ne changent pas\u00a0: il y aura toujours quelqu’un pour cliquer l\u00e0 o\u00f9 il ne faut pas, mais difficile de bl\u00e2mer la personne si elle n’a jamais \u00e9t\u00e9 form\u00e9e. D’autant plus que les e-mails malveillants sont de plus en plus convaincants. Commencez par les former sur les signes suspicieux classiques<\/a> en leur montrant des exemples concrets<\/a> et partagez avec eux les bonnes pratiques de base, telles que le survol des liens<\/a>. Envisagez ensuite de passer \u00e0 des simulations de phishing et \u00e0 une formation plus formelle<\/li>\n
\nIl est essentiel de disposer de plusieurs points de restauration et d’une r\u00e9plication hors site, ainsi que d’effectuer des tests r\u00e9guliers pour s’assurer que les sauvegardes sont configur\u00e9es et fonctionnent correctement. Rappelez-vous la sauvegarde de Shrodinger<\/a>\u00a0: \u00ab\u00a0L’\u00e9tat d’une sauvegarde est inconnu jusqu’\u00e0 ce qu’une restauration soit tent\u00e9e.\u00a0\u00bb<\/li>\n<\/ul>\nDurcissement du syst\u00e8me Windows<\/strong><\/h3>\n
\n
\nPour les machines Windows 10 et Server 2016, pensez \u00e0 activer Credential Guard<\/a>. Vous pouvez \u00e9galement limiter ou d\u00e9sactiver<\/a> le nombre d’identifiants de connexion ant\u00e9rieurs que Windows met en cache (la valeur par d\u00e9faut est de 10). Voici des instructions pour d\u00e9sactiver la mise en cache des identifiants sur les syst\u00e8mes plus anciens<\/a>.<\/li>\n
\nLes hackers utilisent PowerShell pour une grande vari\u00e9t\u00e9 de t\u00e2ches\u00a0: le t\u00e9l\u00e9chargement et l’ex\u00e9cution de logiciels malveillants, leur persistance, les mouvements lat\u00e9raux, et plus encore (tout en \u00e9vitant la d\u00e9tection par les antivirus). Il est \u00e9galement activ\u00e9 par d\u00e9faut. Si PowerShell n’est pas n\u00e9cessaire sur la machine d’un utilisateur, d\u00e9barrassez-vous-en. Si ce n’est pas possible, assurez-vous qu’il s’agit de la derni\u00e8re version, d\u00e9sactivez le moteur PowerShell v2 et utilisez une combinaison d’AppLocker et de Constrained Language Mode pour r\u00e9duire ses capacit\u00e9s (voici comment<\/a>).<\/li>\n
\nPowerShell n’est pas le seul langage de script et le seul cadre dont les hackers aiment profiter. Avant Windows 10, Microsoft recommandait de modifier le registre<\/a> afin qu’un avertissement soit \u00e9mis avant d’autoriser l’ex\u00e9cution des fichiers .VBS, .JS, .WSF et d’autres fichiers de script. Les syst\u00e8mes Windows 10 peuvent utiliser AppLocker pour bloquer les fichiers de script<\/a> avec un contr\u00f4le plus pr\u00e9cis.<\/li>\n
\nLa liste blanche ne convient pas \u00e0 tout le monde, mais dans les environnements o\u00f9 elle est possible, elle peut constituer une couche de s\u00e9curit\u00e9 tr\u00e8s efficace en limitant les applications qui peuvent \u00eatre ex\u00e9cut\u00e9es et les conditions dans lesquelles elles peuvent l’\u00eatre. Vous trouverez ici des conseils pour commencer \u00e0 l’utiliser<\/a>.<\/li>\n
\nPour contourner les antivirus et les solutions de liste blanche comme AppLocker, les attaquants utilisent de plus en plus souvent des outils Windows natifs. Les programmes int\u00e9gr\u00e9s tels que certutil, mshta et regsvr32 doivent \u00eatre bloqu\u00e9s ou ne pas pouvoir \u00e9mettre des requ\u00eates sortantes \u00e0 l’aide des r\u00e8gles du pare-feu Windows<\/a>. Il en va de m\u00eame pour les outils l\u00e9gitimes de transfert de donn\u00e9es bitsadmin et curl. Vous trouverez ici une liste plus compl\u00e8te des \u00ab\u00a0LOLbins\u00a0\u00bb<\/a>.<\/li>\n
\nEn plus d’emp\u00eacher les LOLbins \u00e9num\u00e9r\u00e9s ci-dessus d’effectuer des requ\u00eates sortantes, vous pouvez utiliser le pare-feu Windows pour couper certains des chemins les plus couramment utilis\u00e9s pour l’acc\u00e8s \u00e0 distance malveillant et le mouvement lat\u00e9ral (comme l’acc\u00e8s aux partages de fichiers via SMB). Voici un excellent guide<\/a>.<\/li>\n
\nWMI se classant au m\u00eame rang que PowerShell en mati\u00e8re de fonctionnalit\u00e9, vous devriez donc surveiller les abus potentiels<\/a> de ce c\u00f4t\u00e9-l\u00e0 aussi. Dans tous les cas o\u00f9 il n’est pas n\u00e9cessaire d’utiliser WMI \u00e0 distance, envisagez de lui attribuer un port fixe et de le bloquer<\/a>.<\/li>\n
\nL’UAC<\/a> peut constituer un obstacle important aux attaques visant \u00e0 \u00e9lever les privil\u00e8ges. Envisagez d’ajuster les param\u00e8tres de strat\u00e9gie de Windows 10<\/a> pour refuser automatiquement les tentatives d’\u00e9l\u00e9vation pour les utilisateurs standard et demander le consentement sur le bureau s\u00e9curis\u00e9 pour les administrateurs (un guide sur les param\u00e8tres de strat\u00e9gie de groupe UAC pour les versions pr\u00e9c\u00e9dentes de Windows disponible ici<\/a>). Il est \u00e9galement fortement recommand\u00e9 d’activer le mode d’approbation de l’administrateur pour le compte d’administrateur int\u00e9gr\u00e9<\/a>. En plus d’att\u00e9nuer les tentatives d’escalade des privil\u00e8ges, cela aura \u00e9galement pour effet d’emp\u00eacher toute tentative d’abus de PsExec<\/a> (un outil d’administration l\u00e9gitime de la suite Sysinternals de Microsoft). La documentation Comment configurer les param\u00e8tres UAC pour Windows (script PowerShell)<\/a> pourrait \u00e9galement vous int\u00e9resser.<\/li>\n<\/ul>\n\n
S\u00e9curiser Microsoft Office<\/strong><\/h3>\n
\n
\nLa dissimulation de macros malveillantes dans des documents Office est l’une des astuces les plus anciennes des hackers modernes, et elle continue d’\u00eatre populaire et fructueuse. Si les macros ne sont pas utilis\u00e9es dans votre entreprise, envisagez d’utiliser les param\u00e8tres de strat\u00e9gie de groupe pour les d\u00e9sactiver sans notification et de d\u00e9sactiver compl\u00e8tement VBA pour les applications Office. Si vous devez ex\u00e9cuter des macros dans certaines conditions, limitez-les en n’autorisant que les macros sign\u00e9es et en bloquant les macros dans les documents Office t\u00e9l\u00e9charg\u00e9s sur Internet – guide<\/a> (Office 2016)\u00a0; Fichiers de mod\u00e8les administratifs de strat\u00e9gie de groupe (ADMX\/ADML)<\/a><\/li>\n
\nGuide<\/a> pour bloquer l’activation des paquets OLE par des modifications du registre\u00a0; guide<\/a> pour bloquer l’activation des composants OLE \/ COM dans Office 365 via une modification du registre\u00a0; guide<\/a> pour d\u00e9sactiver les connexions de donn\u00e9es et la mise \u00e0 jour automatique des liens de classeurs via le Trust Center.<\/li>\n
\nGuide<\/a> pour d\u00e9sactiver la recherche\/lancement du serveur d’\u00e9change de donn\u00e9es dynamique via des modifications du registre\u00a0; guide<\/a> pour la d\u00e9sactivation via le Trust Center<\/li>\n<\/ul>\nSoyez toujours en mesure de d\u00e9tecter les incidents de s\u00e9curit\u00e9 et d’y r\u00e9pondre rapidement<\/h2>\n
Surveillance<\/strong><\/h3>\n
\n
Cr\u00e9ez un plan d’intervention en cas d’incident<\/strong><\/h3>\n
\n
Conclusion\u00a0: Rien ne sert de vouloir tout faire en un jour.<\/h2>\n