Sécuriser son site : 3 points indispensables
L’année 2020 a été marquée par une recrudescence des cyberattaques. Entre l’essor du télétravail lié à la crise et la déstructuration des entreprises qui ont dû s’adapter, en urgence, au confinement, les failles de sécurité se sont multipliées. Selon une étude de Proofpoint, 91 % des organisations ont connu une cyberattaque en 2020 et 65 % d’entre elles en ont subi plusieurs. Les hackers visent aussi bien les groupes internationaux comme le hack d’Easyjet en mai 2020 qui a compromis les informations de près de 9 millions de clients (dont 2200 numéros de carte bleue), que les administrations. En février 2021, le secrétaire d’État à la transition numérique a annoncé que les hôpitaux français avaient essuyé 27 attaques informatiques majeures en 2020. Cette menace continue de planer pour 2021. Toujours selon le secrétaire, les hôpitaux connaîtraient environ une tentative d’intrusion par semaine depuis le début de l’année.
Les pirates utilisent des méthodes variées, mais presque systématiquement l’origine est la même : un défaut dans la politique de sécurité. Découvrez dans cet article les 3 points indispensables pour bien sécuriser son site.
Minimiser les risques de sécurité interne
En 2020, plus de la moitié des incidents de cybersécurité avaient une origine interne.
Le hack du groupe d’hôtels Marriott, qui a entraîné la compromission de plus de 52,2 millions de données clients en avril, a pour base le vol des identifiants de deux employés.
Les menaces internes proviennent, en effet, souvent plus de négligences de la part du personnel que d’une véritable malveillance.
D’après le rapport Hiscox, en 2019 seuls 25 % des entreprises investissaient dans la sensibilisation de leurs salariés à la cybersécurité. En attendant, les tentatives de phishing, hameçonnage ou encore les ransomwares se multiplient.
L’essor du télétravail vient davantage accentuer cette menace. L’utilisation de terminaux distants pour accéder à des données et fichiers professionnels rend indispensable la diffusion de campagnes d’informations.
Ces actions doivent être accompagnées de mesures concrètes avec en particulier :
l’adoption d’une gestion restreinte des droits en fonction des postes et des responsabilités ;
la fourniture d’ordinateurs et autres matériels d’entreprise et l’interdiction de toute connexion depuis des appareils personnels ;
la mise en place d’authentification à deux facteurs pour l’accès aux espaces de travail ;
la sécurisation des flux et échanges notamment par l’emploi de VPN ;
l’utilisation d’outils collaboratifs sécurisés comme Google Drive, Asana, Trello, etc. ;
le respect des règles « basiques » : mots de passe complexes et renouvelés régulièrement, pas de transmission d’identifiants ni de prêt d’équipements ;
une veille et une communication régulière sur les menaces de cybercriminalité.
Effectuer régulièrement des audits de sécurité
En avril 2020, le site de crowdfunding Leetchi a également été victime d’une cyberattaque. Les hackers ont pu récupérer les noms, prénoms, mails, dates de naissance et même coordonnées GPS des utilisateurs.
Pas de phishing ou de vols d’identifiants ; les pirates ont simplement exploité une faille introduite par l’ajout d’une nouvelle fonctionnalité à la plate-forme. Cette erreur technique aurait pourtant pu être évitée par la mise en place de tests et d’audits complets, réguliers et régressifs. Ces audits de sécurité se déroulent généralement selon plusieurs étapes.
La première consiste en une série d’échanges avec le DSI, le RSSI, les administrateurs réseau, les développeurs, et idéalement tous les individus qui détiennent un accès aux systèmes d’information afin d’éliminer les risques de sécurité d’origine « humaine ».
La deuxième représente la phase de tests en elle-même avec des tentatives d’intrusions (pentest ou penetration test) et des détections de vulnérabilité.
Ces tests se déroulent en :
boîte noire c’est-à-dire en imitant une attaque provenant d’une personne qui n’a aucun renseignement sur la structure. Ils peuvent aussi inclure des techniques d’ingénieries sociales pour récupérer des identifiants et mots de passe ;
boîte grise (grey box) qui consiste à simuler une fuite d’informations sensibles et à en évaluer les conséquences en matière de sécurité interne (dossiers et serveurs facilement atteignables par exemple) ;
boîte blanche (white ou crystal box), dans ce cas les testeurs ont connaissance de toutes les informations. Ce type de test permet de reproduire une attaque depuis l’intérieur du SI. L’audit se focalise non pas sur l’accès, mais sur la gestion des données (chiffrage, limitation des droits, etc.).
La dernière étape consiste en des préconisations et conseils avec un classement des failles détectées par ordre de gravité et des propositions de correctifs (ajouts de règles de filtrage, mises à jour de logiciels et serveurs, etc.).
Cette prestation, qu’elle soit réalisée en interne ou en externe, peut avoir un coût financier et organisationnel.
Des outils moins complets, mais tout de même efficaces peuvent aussi permettre d’analyser le niveau de sécurité global d’un site. Par exemple :
NetSparker qui scanne automatiquement des applications, services et sites web. Entièrement configurable, il permet d’identifier les failles de sécurité indépendamment de la plate-forme, du langage de programmation et des technologies utilisés ;
DeviceLock qui fournit des contrôles contextuels basés sur le contenu de terminaux distants afin de prévenir les fuites de données ;
Nessus un outil complet permettant de lister les services vulnérables à des attaques (déni de service par exemple), mais aussi les défauts de configuration, les services peu sécurisés et même les mauvaises pratiques (notamment les mots de passe trop faibles).
Cybersécurité dans la santé, le maillon faible ?
Vérifier la politique de sécurité des partenaires externes
La situation sanitaire a aussi accentué le besoin pour les entreprises de communiquer en ligne avec leurs prestataires. Mais ces nouvelles pratiques sont à l’origine de risques de sécurité supplémentaires.
Sécuriser les échanges en ligne
Des précautions sont à prendre quand on souhaite échanger des informations par le réseau. La plus élémentaire est de strictement chiffrer les données sensibles avant l’envoi. Le recours aux algorithmes à clés publiques est particulièrement efficace. L’émetteur des messages peut également les signer électroniquement afin d’attester qu’il est à l’origine de la transmission.
Si les interactions se font par mail, il est indispensable de contrôler la validité des certificats et de transférer les fichiers par des protocoles sécurisés (SSL). Les VPN sont aussi utiles pour échanger des courriers et dossiers en chiffrant et en anonymisant le trafic.
Sécuriser son cloud
De manière générale, le fournisseur de cloud a la responsabilité de sécuriser l’infrastructure de ses services. Le choix d’un prestataire doit se faire en fonction de sa politique en matière de chiffrement, de confidentialité et de ses certifications.
Attention toutefois, le client a aussi sa part d’implication dans la surveillance et l’accès aux données du cloud.
Les bonnes pratiques de sécurité du cloud englobent :
la délimitation stricte des droits sur la console de gestion et sur les fichiers du cloud ;
la sécurisation de l’infrastructure virtuelle et la protection des terminaux dotés d’une connexion au cloud ;
l’utilisation de clés SSH et d’API sécurisées ;
la surveillance des consoles d’administration et les outils DevOps ;
la définition claire du type de données stockées à distance ;
la conservation d’une copie locale des informations ;
l’anticipation des attaques et la mise en place d’une veille sur l’évolution des menaces.
Bien sécuriser son site passe donc par l’instauration de politique et mesures strictes aussi bien en interne qu’externe. Ces actions indispensables demandent cependant du temps et des compétences. Faire appel à un consultant en SI ou intégrer la sécurité dès la conception des applications avec le DevSecOps peut permettre de gagner à la fois en sécurité et en productivité.
Liens et ressources utiles :
Recommandations CNIL sur la sécurisation des échanges : https://www.cnil.fr/fr/securite-securiser-les-echanges-avec-dautres-organismes
Présentation de la gamme Nessus : https://fr.tenable.com/products/nessus
Commentaire
Connectez-vous ou créez votre compte pour réagir à l’article.