Il n’y a pas de solution miracle pouvant contrer toutes les attaques cybercriminelles, mais il est possible de mettre en place plusieurs niveaux de sécurité qui fonctionnent ensemble pour se défendre contre une myriade de menaces.
La sécurité multicouche permet d’arrêter une brèche réussie dans une vulnérabilité d’une défense, en utilisant une conception ressemblant à celle d’un oignon.
Chaque couche s’associe à une autre pour former une sphère de sécurité complète et pleinement fonctionnelle. Ceci permet de protéger le réseau informatique interne ; les données qui y sont stockées et celles qui y transitent.
Il fut un temps où les entreprises dépendaient d’un solide pare-feu matériel qui établissait un périmètre pour protéger le réseau contre les attaques de l’extérieur.
Cependant, tout comme la stratégie de défense militaire a évolué afin de combattre les tactiques offensives avancées, et grâce aux innovations technologiques, les entreprises d’aujourd’hui ne doivent plus compter sur des solutions à objectif unique pour se protéger contre toutes les menaces web.
Les stratèges de la cybersécurité intègrent désormais plusieurs couches de défense pour combattre les menaces qui peuvent être lancées par des pirates qui ne cessent d’améliorer leurs méthodes d’attaque.
Ces derniers profitent des utilisateurs et de leurs appareils dans le monde numérique et mobile d’aujourd’hui.
Les professionnels de la sécurité informatique doivent donc penser à la sécurité des entreprises en utilisant des solutions de sécurité multicouches, de sorte que si une couche présente une brèche, les autres couches rempliront le rôle qui leur a été assigné pour stopper l’attaque.
Comment une stratégie de sécurité multicouche fonctionne-t-elle ?
Nous utiliserons l’exemple d’une attaque typique de ransomware pour illustrer le fonctionnement d’une stratégie de sécurité à plusieurs niveaux.
La principale méthode utilisée pour mener une attaque ransomware est le phishing.
Comme la plupart des entreprises ouvrent le port 25 pour le trafic entrant, un pare-feu traditionnel ne le bloquera pas au niveau du périmètre. L’outil le plus efficace pour lutter contre les attaques de phishing est une passerelle de sécurité pour la messagerie électronique.
Cependant, comme tous les outils, la passerelle de sécurité ne résiste pas à toute épreuve, car les experts en phishing adoptent sans cesse de nouvelles tactiques afin de permettre à leurs e-mails malveillants d’atteindre la boîte de réception de leurs cibles.
Une fois qu’un e-mail de phishing arrive à destination, l’utilisateur est amené à cliquer sur une URL intégrée ou à ouvrir une pièce jointe infectée par un malware. C’est là qu’un programme de formation des utilisateurs peut s’avérer très important pour qu’ils reconnaissent les liens à ouvrir ou les pièces jointes à télécharger.
Cependant, même un utilisateur bien formé et expérimenté peut toujours se laisser séduire par des approches d’ingénierie sociale inédites.
S’il effectue une telle action, la protection doit alors s’appuyer sur l’intelligence d’un système de filtrage du web, dont certains utilisent également un antivirus.
La dernière ligne de défense est une solution d’extrémité dédiée à empêcher les malwares de s’infiltrer et de prendre racine dans le dispositif ciblé par les pirates.
Si tout le reste échoue, la pratique régulière de la sauvegarde de toutes les données dont dépendent les employés devient nécessaire, car un seul virus comme WannaCry peut impliquer la destruction ou le blocage de tout dispositif sur lequel il est installé.
Comme l’illustre cet exemple, la sécurité multicouche se présente comme une solution que les entreprises devraient adopter de façon systématique. Les multiples couches de défense peuvent couvrir les défaillances de chaque composant d’un réseau informatique.
Bien que ces couches fonctionnent indépendamment, elles peuvent aussi travailler en collaboration pour protéger les dispositifs utilisés au sein d’une organisation. Le fait est qu’il peut toujours y avoir des vulnérabilités et que de nouvelles compositions de malwares ne cessent de voir le jour.
Voici maintenant les couches de sécurité essentielles que les entreprises et les particuliers devraient mettre en œuvre aujourd’hui.
Les couches de sécurité essentielles pour une meilleure sécurité web
1. Solution de sécurité des e-mails
La messagerie électronique est un outil favori et efficace que les attaquants peuvent exploiter.
C’est pourquoi près de 90 % des attaques ciblées aujourd’hui commencent par un e-mail malveillant. À noter que la sécurité des e-mails comporte de multiples facettes.
Les attaquants utilisent la messagerie électronique pour le phishing et les pièces jointes malveillantes destinées à leur donner le contrôle d’un ordinateur ciblé ou d’y télécharger des malwares. Vous pouvez utiliser différentes options pour le filtrage des e-mails.
Vous pouvez par exemple bloquer tout message contenant une pièce jointe ou seulement ceux contenant des fichiers spécifiques comme les fichiers exécutables.
Pourtant, il est beaucoup plus difficile de lutter contre les attaques de phishing lorsque les pirates n’utilisent qu’un simple lien ou une simple demande d’information. L’éducation des employés et le filtrage de certains sites à l’aide du filtrage et de la surveillance du web sont deux options.
Le filtrage des e-mails empêchera de nombreux contenus malveillants de pénétrer sur un réseau.
Filtrage des e-mails
Traditionnellement appelé filtrage du spam, le filtrage des e-mails peut désormais bloquer plus que les spams qui distraient les travailleurs et qui réduisent leur productivité.
Il peut contrôler le flux de courrier et bloquer les spams, les virus, les malwares, les ransomwares et les liens vers des sites web malveillants. Il est préférable de choisir une solution qui intègre également une protection antivirus capable d’éliminer les pièces jointes contenant des malwares avant qu’elles ne pénètrent dans le réseau.
Les entreprises qui utilisent un filtre de messagerie électronique dans le cloud, comme celui d’Office 365, devraient envisager de compléter la protection très basique incluse dans ces packages par une solution tierce construite de A à Z pour protéger entièrement la boîte de réception des utilisateurs finaux.
Gestion des identités
L’adresse électronique est devenue la manière par défaut dont les utilisateurs s’identifient sur le web aujourd’hui.
En conséquence, les pirates informatiques lancent des attaques continues de bourrage d’identifiants de connexion en utilisant de grands réseaux de botnets.
Une fois que l’adresse électronique d’un utilisateur a été compromise, un pirate peut rechercher dans les messages sauvegardés les sites régulièrement consultés par sa victime. Il peut également utiliser ces adresses électroniques pour mener des attaques de spear phishing ou simplement lancer des attaques de phishing classiques qui peuvent ensuite avoir un impact sur la réputation de votre entreprise, à l’instar de la mise sur liste noire de votre adresse électronique.
La mise en œuvre d’un système d’authentification multifacteurs pour la messagerie électronique est ainsi devenue une nécessité afin de protéger l’usurpation des identifiants de connexion.
2. Filtrage des contenus web
Le filtrage des e-mails empêche les fichiers malveillants d’entrer sur le réseau d’une organisation, mais que se passerait-il si l’un de vos employés recevait un e-mail contenant un lien malveillant sur son compte privé auxquels il accède depuis son lieu de travail ?
Le filtrage de contenus web contribuera à protéger votre réseau contre les utilisateurs qui accèdent à des sites malveillants pendant les heures de bureau et lorsqu’ils utilisent le réseau de l’entreprise pour naviguer sur Internet.
Le filtrage de contenus peut également bloquer les sites sans rapport avec leur travail, comme les sites de jeux, lesquels peuvent aussi être utilisés pour des escroqueries.
Comme les solutions de sécurité de la messagerie électronique, le filtre de contenus web doit faire plus que bloquer les contenus offensants et les sites web improductifs.
Il joue désormais un rôle clé dans l’arsenal de sécurité d’un système de cyberdéfense à plusieurs niveaux. Si les utilisateurs peuvent se considérer comme ayant un accès sans entrave au web, cet accès est un point de vulnérabilité à haut risque pour divers problèmes, y compris la création des brèches, les poursuites judiciaires pour non-respect de normes d’utilisation de l’Internet et la baisse de la productivité.
Une solution moderne de filtrage du web doit faire plus que scanner les noms de domaine. Elle doit être capable de filtrer de manière granulaire les contenus malveillants afin de bloquer les sites malveillants, les malwares, les virus, les publicités malveillantes et les ransomwares.
Que vous gériez une PME ou un café, si votre entreprise fournit un accès web à certains utilisateurs, vous devrez les protéger par un filtrage web étendu qui est à la fois axé sur le contenu et la sécurité.
3. Filtre DNS
Au lieu d’utiliser uniquement le filtrage de contenu web, vous pouvez ajouter le filtrage DNS à vos couches de sécurité. Le filtre DNS bloque l’accès aux sites pendant la phase de consultation du serveur de noms de domaine.
Cette couche, ajoutée au filtrage de contenu, arrête le trafic malveillant avant même qu’il n’ait une chance d’atteindre le réseau interne.
En effet, la connexion au serveur est coupée lors de la phase de contrôle DNS d’un site en comparant l’adresse IP qui lui est associée avec une liste noire d’adresses IP.
Que votre entreprise emploie des travailleurs à distance qui utilisent le Wi-Fi public pour mener à bien leurs activités ou une école qui met à la disposition des étudiants des portables personnalisés pour leurs études, vous devez protéger tous les appareils de votre entreprise, qu’ils soient sur place ou hors site.
Le filtrage web DNS basé dans le cloud est donc devenu une solution de choix pour de nombreuses organisations. Grâce à l’insertion d’un simple code client sur les appareils de votre entreprise, les utilisateurs seront contraints d’interagir avec un DNS désigné, quel que soit l’emplacement de l’appareil. De cette manière, la connexion va être bloquée avant même qu’un code HTML malveillant ne soit accessible, ce qui empêche le démarrage de la session web.
4. Protection des points d’extrémité (endpoints)
Les points d’accès (ou points d’extrémité) peuvent soit représenter de véritables vulnérabilités, soit constituer une couche essentielle pour sécuriser vos données.
Un antivirus et un antimalware doivent donc être installés sur tout appareil où des données sont stockées, y compris les tablettes et les Smartphones.
Comme les attaquants modifient constamment leurs tactiques pour éviter la détection par les antivirus, il est difficile de se défendre contre les attaques de type « zero day », dans lesquelles les cybercriminels tentent d’exploiter une faille de sécurité dans un logiciel avant que votre entreprise ne la découvre et ne puisse appliquer des patchs pour corriger les éventuelles vulnérabilités.
Cependant, grâce à une sécurité multicouche, vos points d’accès peuvent être utilisés pour empêcher la prolifération de malwares connus, de ransomwares, etc.
Vous pouvez également utiliser les serveurs hébergés dans des centres de données ou en interne pour sécuriser les points d’extrémité. Cette solution est généralement plus difficile à pirater pour un attaquant, mais c’est aussi un trésor de données qui pourrait valoir des millions d’euros lorsqu’elles sont vendues sur le marché noir. Par conséquent, l’installation de logiciels antimalwares sur vos serveurs est essentielle pour la sécurité de votre organisation.
Si beaucoup assimilent la protection des points d’extrémités à une protection antivirus ou antimalwares, le concept est aujourd’hui beaucoup plus large. Avec la prolifération des appareils mobiles qui suivent les utilisateurs hors site et la croissance des programmes BYOD, le processus de sécurisation d’un appareil informatique est bien plus difficile qu’il y a dix ans.
La fonction principale de la sécurité des points d’extrémité est la protection antivirus. Traditionnellement, les applications antivirus s’appuyaient sur des signatures connues pour lutter contre les malwares.
Bien que cette méthode ait été très efficace à une époque où les souches de malwares se comptaient par milliers, les antivirus basés sur les signatures ne peuvent pas être suffisamment étendus pour sécuriser un dispositif étant donné qu’un nouveau type de malware est lancé toutes les 4,2 secondes.
Les solutions de sécurité d’aujourd’hui doivent être capables de surveiller rapidement le comportement des fichiers suspects et d’autres anomalies. En d’autres termes, la protection contre les malwares doit être intelligente.
En plus de l’utilisation d’un antivirus, la sécurité des points d’extrémité nécessite également l’application d’autres pratiques de sécurité.
- Utilisation d’une liste blanche des applications : grâce à l’avènement de l’informatique, les utilisateurs s’attendent à pouvoir télécharger toutes les applications qu’ils souhaitent sur leurs appareils. Le problème est que l’on ne peut pas faire confiance à tant d’applications aujourd’hui. Le verrouillage des appareils par le biais de listes blanches d’applications est une pratique de plus en plus répandue dans de nombreuses entreprises.
- Contrôle d’accès au réseau : les entreprises doivent pouvoir s’assurer que les appareils qui se connectent à leurs réseaux répondent aux mêmes normes de sécurité que leurs propres appareils. Les systèmes NAC (« Network Access Control ») garantissent que tout dispositif non autorisé est entièrement corrigé et protégé par une protection des points d’extrémité. Si ce n’est pas le cas, le dispositif peut être mis en quarantaine.
- Effacement à distance : de nos jours, de nombreux périphériques hébergent des informations sensibles sur leurs disques locaux ou détiennent des informations d’identification en cache pour le stockage dans le cloud. Les entreprises doivent donc être en mesure d’effacer à distance les contenus de ces dispositifs en cas de perte ou de vol afin d’éviter que des données sensibles ne soient compromises.
5. Stratégies de sauvegarde et application des correctifs
Bien que les sauvegardes et la gestion des correctifs ne soient pas des outils de sécurité en soi, ils jouent tous deux un rôle essentiel dans un plan de sécurité global. Les entreprises victimes d’une attaque de ransomwares ont pu éviter de payer des rançons grâce à une stratégie de sauvegarde bien conçue et éprouvée et elles ont pu récupérer leurs données en toute sécurité. C’est pourquoi les auteurs des ransomwares tentent actuellement de cibler également les sauvegardes afin de contrecarrer les efforts de récupération. Une stratégie de sauvegarde 3-2-1 peut par exemple être d’une grande utilité en cas d’attaque.
La mise à jour de tous vos périphériques informatiques et de votre infrastructure réseau est un processus de sécurité essentiel, car les attaques impliquant des exploits de type « zero day » et des logiciels obsolètes sont monnaie courante. Un correctif approprié aurait facilement pu empêcher certaines des attaques les plus dévastatrices basées sur des malwares au cours de l’année dernière. L’application de correctifs va au-delà du processus d’exécution des mises à jour de Windows. Les routeurs, les commutateurs et même les objets connectés tels que les caméras et les capteurs sont tous vulnérables aux attaques de malwares. Un système automatisé de gestion des correctifs analysera votre réseau en temps réel à la recherche de correctifs manquants et enverra des notifications aux administrateurs.
Une architecture de sécurité à plusieurs niveaux nécessite une planification
La sécurité multicouche ne consiste pas simplement à superposer de nouveaux outils de sécurité sur une infrastructure existante. C’est une architecture qui nécessite un plan bien conçu. Une approche fragmentaire de la mise en œuvre des outils de sécurité peut introduire des complexités inhibitives dans la gestion des systèmes. Ironiquement, ces complexités peuvent créer des opportunités pour les pirates informatiques. Par conséquent, il est important pour les responsables informatiques et les cadres du niveau C d’inventorier leurs actifs et leurs processus commerciaux afin de définir leur exposition aux risques cybercriminelles.
Dans les environnements d’entreprise hybrides actuels, l’approche de la sécurisation des ressources dans le cloud est différente de celle des ressources sur site. Quelle que soit sa conception, les services informatiques doivent s’assurer que l’ensemble de la pile technologique est sécurisé. Il est également important que ces services informatiques ne cloisonnent pas leurs fonctions de sécurité et que tout le personnel travaille en collaboration les uns avec les autres pour établir des pratiques de sécurité, gérer l’infrastructure des systèmes et surveiller les alertes.
La sécurité multicouche est-elle difficile à mettre en œuvre ?
Une approche multicouche est beaucoup plus efficace qu’une grande plate-forme de sécurité, mais elle doit être correctement mise en œuvre. Tous les composants doivent pouvoir fonctionner ensemble et non les uns contre les autres, ce qui peut être délicat si vous achetez plusieurs solutions à différents fournisseurs individuels.
Lorsque vous adoptez une solution de sécurité à plusieurs niveaux, vous aurez beaucoup plus de données, d’alertes et de surveillance à contrôler, mais tout cela vous donne une vue d’ensemble dans votre quête pour sécuriser complètement votre réseau. Lorsqu’une couche échoue, l’autre devrait bloquer le trafic suspect. Plusieurs couches peuvent éviter une attaque, et vous verrez alors de multiples alertes. Cela peut sembler fastidieux, mais c’est essentiel pour une défense solide.
Certaines des plus grandes violations de données sont le résultat d’une défaillance de la sécurité. En 2016, une vague d’attaques par des ransomwares a paralysé les systèmes technologiques des hôpitaux et certains ont même été contraints d’utiliser les papiers et les crayons pour pouvoir poursuivre leurs activités. Les ransomwares étaient envoyés via les e-mails et plusieurs niveaux de sécurité ont échoué ou n’ont tout simplement jamais été mis en place, notamment les filtres des e-mails, les filtres de contenus et les applications antimalwares. Malheureusement, si ces organisations avaient mis en place la sécurité multicouche, les utilisateurs finaux n’auraient pas ouvert les e-mails de phishing qui étaient ensuite utilisés pour permettre le téléchargement de contenus malveillants
Pourquoi la sécurité à plusieurs niveaux est-elle plus importante que jamais ?
Votre organisation est sous la menace constante et imprévisible d’une attaque. Les cybercriminels ne sont pas près de disparaître. Leurs méthodes deviennent de plus en plus sophistiquées à mesure qu’ils évoluent pour contourner les nouvelles solutions et normes de sécurité. Alors que les auteurs de malwares modifient leurs techniques pour échapper à la détection, la sécurité multicouche devient plus importante que jamais pour réduire la probabilité d’une attaque réussie et pour arrêter une attaque même si l’une de vos couches de sécurité informatique échoue.
La mise en œuvre de cette approche ne sera pas toujours simple, elle nécessitera une planification et une expertise. Mais si vous vous appuyez sur une seule couche de sécurité, sachez que ce n’est pas le choix le plus judicieux dans le paysage actuel des menaces. Votre organisation devrait se concentrer sur les données sensibles qu’elle protège et mettre en place des couches de sécurité autour de celles-ci. Vos clients et vos employés vous en remercieront.