Les professionnels de la cybersécurité accusent souvent l'utilisateur final d'être la principale source de risque pour la sécurité de l'organisation. À bien des égards, c'est compréhensible. Les systèmes et les logiciels sont sous notre contrôle, mais les utilisateurs finaux sont imprévisibles. Ils élargissent notre surface de menace à chaque utilisateur dispersé géographiquement, à chaque appareil personnel et à leur potentiel d'erreurs qui ont un impact sur notre sécurité.
Il est évident que les acteurs de la menace ciblent nos utilisateurs avec des résultats négatifs dans le monde réel. Mais ce qui est également évident, c'est que nous ne pouvons pas nous sortir de ce problème par la formation. Les entreprises du Fortune 100 investissent des sommes considérables dans la formation annuelle de sensibilisation à la sécurité des utilisateurs, et pourtant, elles subissent des violations. Se concentrer principalement sur la sécurisation de l'utilisateur final n'est donc pas une stratégie efficace.
Fait : vos utilisateurs sont un facteur de risque majeur : selon Verizon's 2022 Data Breach and Investigations Report35 % des infections par ransomware ont commencé par un courriel d'hameçonnage. Fait : Cette situation se produit en dépit d'une augmentation agressive des investissements dans la formation à la sensibilisation à la sécurité depuis de nombreuses années, qui devrait se poursuivre - Le marché de la formation à la sensibilisation à la cybersécurité devrait passer de 1 854,9 Le marché de la formation à la sensibilisation à la cybersécurité devrait passer de 1 854,9 millions de dollars en 2022 à 12 140,0 millions de dollars en 2027, avec un taux de croissance annuel moyen de 45,6 % entre 2022 et 2027. Fait : malgré tous ces investissements, les ransomwares (pour ne citer qu'un exemple de type d'attaque) devrait également connaître une croissance agressivemalgré les nombreux efforts déployés par les organisations, notamment pour former les utilisateurs finaux. Triste et inévitable réalité : nos utilisateurs vont toujours commettre des erreurs - nous sommes tous humains, après tout. Une enquête menée pour démontrer la nécessité d'une formation accrue en matière de sécurité a, à mon avis, prouvé son incapacité à mettre un terme à la cybercrise : quatre personnes interrogées sur cinq avaient reçu une formation de sensibilisation à la sécurité ; entre 26 et 44 % (selon l'âge) ont continué à cliquer sur des liens et des pièces jointes provenant d'expéditeurs inconnus. Ces faits nous amènent à conclure que la sécurité des organisations ne doit pas reposer essentiellement sur la sécurisation de l'utilisateur final, mais qu'elle doit en fait supposer qu'il y aura une brèche et commencer à sécuriser les systèmes en gardant cette hypothèse à l'esprit. "Former et prier" ne fonctionne tout simplement pas. Et, en fin de compte, même si un utilisateur final est victime d'une intrusion, l'ampleur des dommages systémiques causés par cette compromission ne devrait pas être possible si des mesures de sécurité adéquates sont employées et orchestrées correctement.
Devrions-nous former nos utilisateurs finaux ? Absolument, oui. Une sécurité solide nécessite une approche par couches, ce qui signifie que vous devez renforcer votre sécurité en vous efforçant de sécuriser chaque porte d'accès à vos systèmes organisationnels. Sans cette formation, nous assisterions probablement à des violations encore plus importantes. Mais nous devons commencer à envisager notre sécurité d'une manière qui permette d'éliminer le risque de l'utilisateur final de l'équation, sans compter sur lui pour faire le gros du travail. Pour de nombreuses organisations, cela nécessite des choix difficiles et un soutien important de la part des dirigeants.
Comment réduire les risques pour les utilisateurs ?
Les organisations doivent s'efforcer de bloquer l'accès et d'orchestrer les contrôles de sécurité. Les systèmes sont trop ouverts par défaut ; nous devons les rendre fermés par défaut, évaluer le risque de chacun d'entre eux, puis les autoriser en toute connaissance de cause. Les utilisateurs ne peuvent pas cliquer ou ouvrir ce à quoi ils n'ont pas accès, et dans les organisations que nous évaluons ou remettons en état après une violation, nous constatons que les employés et les systèmes ont un accès et une exposition aux risques bien plus importants que ce qui est nécessaire dans le cadre du travail. Les entreprises devraient renforcer l'orchestration de la sécurité au niveau de leur personnel, de leurs processus et de leur technologie afin que, si un acteur de la menace obtient un accès par un clic inapproprié (ou par tout autre vecteur), il existe des contrôles conçus pour arrêter le mouvement latéral de l'acteur de la menace et la collecte/escalade des informations d'identification. Voici quelques mesures spécifiques que les organisations peuvent prendre pour éliminer les risques encourus par les utilisateurs finaux :
Bloquer l'accès aux comptes de messagerie personnels : Les utilisateurs ne devraient pas être autorisés à accéder à leur messagerie personnelle ou à des sites de médias sociaux à partir d'appareils professionnels. Le courrier électronique personnel n'est pas protégé par les filtres de messagerie de l'entreprise, mais il est fortement ciblé par les acteurs de la menace ; les médias sociaux constituent un autre facteur de risque inutile qui devrait être fermé par défaut.
Filtrer le trafic HTTPS à l'aide d'une inspection approfondie des paquets : Plus de 80 % de l'Internet et 90 % du commandement et du contrôle sont cryptés ; si une organisation ne procède pas à une inspection approfondie des paquets du trafic HTTPS sortant (ce qui n'est pas le cas de la plupart d'entre elles), elle passe à côté de la majeure partie de l'Internet et de la plupart des activités des acteurs de la menace - ainsi, les pare-feu et les filtres Web ne font pratiquement rien !
Bloquer par défaut tous les ports de sortie autres que HTTP (80) et HTTPS (443) sur les sous-réseaux/VLAN des utilisateurs : Les utilisateurs ne devraient pas pouvoir accéder à l'internet par d'autres ports que ceux nécessaires à la navigation. Il est évident que certaines applications organisationnelles nécessitent d'autres ports vers l'internet que les ports 80 et 443 ; cependant, ces ports ne devraient être ouverts que par exception avec des champs d'application de source, de port et de destination - si possible, inspectés de manière intensive par le contrôle du périmètre.
Bloquer par défaut l'accès à l'internet aux sous-réseaux/réseaux locaux virtuels (VLAN) des non-utilisateurs : Les serveurs et les réseaux de gestion/administration et d'imprimantes, par exemple, ne devraient pas avoir accès à l'internet, quels que soient les ports ou les protocoles. Ces réseaux ne doivent pouvoir accéder à l'internet que par les ports spécifiques nécessaires aux applications qui y sont exécutées. Tous les ports et protocoles doivent être bloqués par défaut et autorisés de manière sélective uniquement lorsque cela est nécessaire pour les fonctions de l'application.
Exiger que tout le trafic de l'utilisateur soit inspecté et filtré en permanence, quel que soit l'endroit où se trouve le point d'extrémité : Souvent, le trafic des utilisateurs n'est pas inspecté avec la même intensité lorsque l'utilisateur travaille à domicile (ou dans un café). L'organisation doit donc mettre en œuvre des contrôles pour obliger tout le trafic des utilisateurs à passer par les mêmes filtres et inspections, quel que soit l'endroit où il se trouve.
Les applications ne doivent pas être accessibles à partir d'appareils non approuvés par des identifiants connus et sans MFA, quel que soit le réseau : Les utilisateurs ne doivent pas pouvoir accéder aux applications fournies par l'organisation sans être sur des dispositifs approuvés par l'organisation avec des informations d'identification correctes et l'AMF. Les utilisateurs doivent être tenus de présenter leurs informations d'identification et d'AFM, en interne et en externe, au moins une fois par jour, c'est-à-dire que les jetons de session doivent expirer au moins une fois par jour (de préférence tous les jours).
Interdire tous les systèmes de partage de fichiers et les coffres-forts de mots de passe, sauf ceux approuvés par les services informatiques : Les acteurs de la menace utilisent souvent des systèmes de partage de fichiers courants pour exfiltrer des données, et les coffres-forts de mots de passe basés sur le cloud sont une mine de trésors pour les pirates. Les services informatiques devraient choisir des systèmes approuvés et vérifiés sur le plan de la sécurité et interdire tous les autres. Cela devrait devenir un paradigme de fonctionnement de l'organisation : "Choisir un outil et bloquer tous les autres".
Commencez à activer les fonctions de sécurité (ne pensez pas que les paramètres par défaut assureront votre sécurité).: Les outils et plateformes de sécurité tels que les pare-feu et les systèmes de détection et de réponse (EDR) sont dotés de nombreuses fonctions de sécurité qui ne sont pas activées (ou qui sont trop ouvertes) dans leurs paramètres par défaut. Par exemple, de nombreux pare-feu modernes peuvent empêcher de nombreuses méthodes utilisées par les acteurs de la menace ; cependant, les fonctions du pare-feu sont rarement toutes activées. Ils autorisent souvent par défaut TOUS les ports TCP/UDP vers l'extérieur, alors que la plupart des utilisateurs n'ont besoin que des ports TCP 80 (HTTP) et TCP 443 (HTTPS). Les acteurs de la menace utilisent cela à leur avantage - c'est un autre exemple où chaque système doit être évalué et bloqué ou autorisé de manière sélective et intentionnelle en fonction des besoins.
Les outils EDR offrent également de fortes capacités de protection ; cependant, les organisations n'activent souvent pas toutes les fonctionnalités de ces applications pour tirer le meilleur parti de l'investissement. En outre, elles ne complètent souvent pas ces solutions par d'autres contrôles superposés, bien que la documentation de ces entreprises le leur conseille.
Les obstacles à cette approche
Il y a plusieurs raisons pour lesquelles le blocage et l'orchestration ne sont pas effectués au niveau requis aujourd'hui, et qu'au lieu de cela, ce sont les utilisateurs qui assument la plus grande part de responsabilité dans les violations. Tout d'abord, les utilisateurs (et les dirigeants) peuvent être impopulaires - le blocage de l'accès aux sites personnels, la limitation de l'accès aux plateformes préférées et le ralentissement de l'accès aux systèmes induit par le filtrage/l'inspection peuvent provoquer l'insatisfaction des utilisateurs. En outre, la direction anticipe et craint ce mécontentement des utilisateurs. Certains des outils nécessaires sont également coûteux. Mais il s'agit d'un exercice éducatif, qui nécessite l'adhésion de la direction de l'organisation.
Les services informatiques doivent exprimer les problèmes et les solutions en des termes que les dirigeants peuvent entendre et comprendre. Ils doivent être en mesure de présenter les risques réels et les résultats d'un échec à leur hiérarchie et à leur conseil d'administration, afin que les contrôles appropriés et les coûts associés puissent être alloués. Les utilisateurs peuvent alors être informés des raisons pour lesquelles ces contrôles sont nécessaires, du haut en bas de l'échelle ; ainsi, la sensibilisation à la sécurité peut passer à l'étape suivante, de "ne cliquez pas et voici pourquoi" à "nous bloquons la plupart des choses par défaut, et voici pourquoi". Ou, si après avoir été sensibilisés, les dirigeants choisissent toujours de ne pas faire d'investissements plus agressifs dans les outils et les processus, ils ont maintenant leur peau dans le jeu, en assumant personnellement le niveau de risque qu'ils choisissent d'accepter pour l'organisation.
Souvent, les équipes informatiques manquent de personnel, sont surchargées de travail et se concentrent sur les opérations quotidiennes de l'entreprise. Elles ne peuvent pas atténuer les risques qu'elles ne peuvent pas voir, informer sur les menaces qu'elles ne connaissent pas ou activer des outils sur lesquels elles ne sont pas formées. Ils ne disposent pas toujours des données, des compétences cybernétiques ou de l'influence nécessaires pour bloquer, orchestrer ou obtenir l'adhésion nécessaire à la protection totale de l'entreprise. Ils ne sont pas non plus au cœur des brèches chaque jour, comme nous, les intervenants en cas d'incident, qui assistons au carnage. Les équipes qui n'ont pas cette visibilité devraient envisager des évaluations approfondies de leurs contrôles, de leurs configurations et de leur orchestration par des entreprises qualifiées et expertes (telles que Athena7). Dans certains cas, les organisations devraient envisager de faire appel à des entreprises de sécurité gérées externes et qualifiées, telles que Grypho5pour mettre en œuvre, orchestrer, gérer, surveiller et établir des rapports sur des contrôles spécifiques tels que les sauvegardes, les pare-feu et les points d'extrémité.
Une chose est sûre : quelle que soit la formation dispensée, les utilisateurs commettront toujours des erreurs. Nous ne pouvons et ne devons pas laisser un seul clic continuer à mettre les organisations en danger de manière aussi considérable. Il est essentiel de réduire au minimum les possibilités qu'ont les utilisateurs de cliquer en premier lieu, puis de s'assurer que, lorsqu'ils le font, de nombreux contrôles en couches sont en place pour interrompre la progression de la chaîne d'attaque.