Alors que le nombre de cyberattaques continue d’augmenter, de nombreuses agences fédérales et gouvernements d’états cherchent des moyens de revoir leurs transformations numériques afin de prospérer. Ces agences et gouvernements veulent utiliser les progrès technologiques pour améliorer leurs mécanismes de défense sur le territoire national, continuer à servir leurs électeurs et accomplir des missions plus efficaces. Cela est possible en raison de l’évolution du monde numérique. Cependant, les menaces constantes utilisent également la technologie pour évoluer. De nombreuses organisations ont du mal à faire face à ces menaces puissantes. Il est peut-être impossible d’éliminer complètement les cyberattaques, mais les organisations envisagent différentes stratégies pour minimiser le risque de celles-ci.
Que sont les cyberattaques?
Les intrus lancent des cyberattaques afin de voler des données. Les intrus recherchent des informations qui peuvent compromettre les principaux avantages d’une organisation par rapport à un concurrent, semer la peur dans l’esprit des citoyens et détruire l’économie d’un pays. La plupart de ces informations sont stockées électroniquement à travers différents documents, propositions et rapports. Les intrus essaieront de collecter ces informations en ciblant les administrateurs système et réseau, les cadres supérieurs et tout utilisateur ayant accès à ces informations sensibles.
Formes de cyberattaques
Logiciel malveillant
Les intrus peuvent identifier un utilisateur et lui envoyer un e-mail de phishing contenant un lien hypertexte vers des informations frauduleuses. Le malware est normalement livré dans un fichier RAR ou zip. Dans certains cas, des intrus peuvent développer un site Web frauduleux que l’utilisateur peut consulter. Une fois le malware attaché, les intrus ont accès aux informations chaque fois qu’un utilisateur démarre son ordinateur ou se connecte à son compte.
Réseaux frauduleux
Une fois que les intrus ont accès au compte d’un utilisateur, ils peuvent corrompre d’autres ordinateurs de l’organisation dans leur quête de données confidentielles. C’est souvent un problème pour les organisations sans réseau solide. Les intrus ont souvent accès aux fichiers Microsoft Office, aux bases de données et à toutes les données stockées sur des fichiers PDF. Toutes les organisations qui n’utilisent pas un système d’authentification complexe sont également à risque.
Ransomware
Les intrus utilisent un ransomware pour crypter les données, puis en restreindre l’accès jusqu’à ce qu’une somme financière soit payée. Les ransomwares sont suffisamment puissants pour supprimer les sauvegardes et même empêcher les ordinateurs de fonctionner du tout.
Extraction de données
Les intrus peuvent utiliser différents fichiers pour crypter une copie des données d’une organisation. Ils infiltrent souvent le pare-feu et, dans certains cas, peuvent accéder à un réseau privé virtuel. Une fois que les intrus ont accès au réseau, ils peuvent compromettre plusieurs ordinateurs à la fois.
Stratégies d’atténuation pour aider à minimiser les menaces
Conseils par e-mail
Les intrus peuvent utiliser une adresse e-mail frauduleuse pour nuire au processus métier d’une organisation en lui nuisant financièrement. Une fois que les intrus ont accès au réseau, ils peuvent créer un compte de messagerie frauduleux, puis compromettre des adresses légitimes en envoyant des e-mails malveillants ou, dans certains cas, en modifiant des informations financières, telles que des numéros de compte bancaire. Cela permet aux intrus de recevoir des paiements non autorisés.
Les organisations peuvent créer un système de politique d’expéditeur pour analyser les e-mails entrants. Tous les e-mails qui ne proviennent pas d’un serveur qui a été approuvé par l’organisation doivent être rejetés. Les organisations devraient également envisager d’ajouter une technologie d’authentification et de reporting à leur domaine. Tous les employés qui gèrent des transferts d’argent devraient être mandatés pour suivre un cours sur les e-mails de phishing. Toutes les informations de contact d’employés spécifiques doivent rester privées.
Logiciel antivirus
Les logiciels antivirus sont utiles car ils permettent de détecter les données corrompues à l’origine des chevaux de Troie, des virus informatiques et des logiciels espions. Les entreprises peuvent utiliser un logiciel antivirus pour analyser la force d’un fichier avant de le télécharger, ce qui facilite grandement la localisation d’un fichier frauduleux. Certains des logiciels antivirus les plus récents incluent des évaluations de réputation.
Modifier la configuration des macros Microsoft Office
Les intrus peuvent utiliser les macros Microsoft Office pour diffuser des codes frauduleux tout en évitant le filtrage. Les organisations devraient envisager de modifier les paramètres pour empêcher les macros d’accéder à Internet. Les organisations peuvent également choisir d’autoriser les macros dans des emplacements certifiés. Les organisations peuvent également modifier le gestionnaire de pièces jointes pour empêcher les utilisateurs de couper des informations. Il est avantageux d’utiliser Microsoft Office Macro uniquement sur une base nécessaire. Les utilisateurs inexpérimentés de l’organisation doivent être interdits d’utiliser la plate-forme jusqu’à ce qu’ils obtiennent plus d’informations. Les organisations peuvent également modifier les paramètres de configuration de sécurité pour empêcher les intrus d’exécuter une macro malveillante.
Systèmes de contrôle industriels
Les systèmes de contrôle industriels utilisent des technologies telles que des capteurs électroniques pour surveiller les équipements industriels afin de s’assurer qu’ils fonctionnent correctement. Une partie de la technologie est vulnérable aux cybermenaces qui continuent d’évoluer au fil du temps. C’est pourquoi il est important de disposer de solutions de sécurité solides. Les organisations devraient veiller à ce que la technologie soit protégée. Les organisations devraient envisager de bloquer l’accès au réseau aux environnements technologiques non opérationnels. Assurez-vous que chaque code lancé dans l’environnement a été approuvé. Tout problème de sécurité doit être résolu rapidement pour protéger les actifs. Les organisations peuvent également utiliser la signature de code et la liste blanche.
Patcher
Les applications telles que les navigateurs Web, Java et Adobe sont vulnérables car des intrus peuvent introduire des codes frauduleux susceptibles d’endommager une organisation. Une fois la menace identifiée, l’application est immédiatement exposée à un risque élevé. La menace doit être éliminée dès que possible. Les organisations doivent garder un œil sur les logiciels installés sur chaque ordinateur. Ils peuvent ajouter un algorithme qui les informe que de nouveaux correctifs ont été installés sur les applications. Il est important d’utiliser la dernière version du logiciel pour chaque application. Bien que cela comporte des risques, certaines organisations devraient envisager de tester les correctifs avant de les lancer.
Éliminer les comptes d’administrateur local
L’élimination de ces comptes empêchera les intrus d’accéder facilement au réseau. Les organisations peuvent également attribuer des mots clés spéciaux à chaque compte. Cela empêche les intrus d’accéder même s’ils devaient pirater un administrateur. L’alternative consiste à s’assurer que l’administrateur dispose d’un mot de passe complexe extrêmement difficile à identifier. Microsoft a développé un outil pour aider les organisations et les administrateurs à créer des mots de passe complexes.
Chasse
La chasse est une stratégie que les organisations utilisent pour apprendre certaines des tendances d’un intrus. Les organisations doivent analyser si elles ont le personnel et les fondations en place pour exécuter le plan. La chasse fonctionne mieux avec d’autres mesures de sécurité telles que l’exploitation des journaux. La stratégie de chasse doit s’aligner sur les points de vue de l’organisation. Une stratégie de chasse efficace permet aux organisations de s’adapter aux techniques et tactiques d’un intrus.
Renforcement des applications utilisateur
Le durcissement des applications utilisateur peut réduire la force des attaques de surface. Les intrus tentent de créer du contenu frauduleux et d’exploiter une faiblesse de sécurité que le renforcement des applications utilisateur peut empêcher. Les organisations peuvent ajuster leurs navigateurs Web et désactiver les publicités et codes non autorisés. Les organisations peuvent également désactiver les fonctionnalités supplémentaires sous forme PDF ou Microsoft Office. Analysez des applications comme ActiveX, Adobe Flash et Java. Désinstallez les applications inutiles. Coupez toutes les publicités Internet. Les intrus utilisent souvent des publicités malveillantes pour inciter les internautes à accéder à leurs sites Web frauduleux. Les organisations doivent s’assurer qu’elles utilisent un navigateur Web à jour.
Liste blanche
Les organisations doivent mettre sur liste blanche les applications clés pour empêcher les intrus de publier des programmes et des scripts malveillants. Ils doivent également mettre en liste blanche différents serveurs, en particulier ceux liés à l’authentification des utilisateurs. Cela empêchera les intrus d’accéder à des mots de passe sensibles. Les programmes non approuvés ne devraient pas pouvoir s’exécuter, qu’ils aient ou non une extension de fichier. L’organisation peut utiliser la liste blanche pour bloquer tout répertoire de profil utilisateur douteux. Si Windows Script Host n’est pas une application importante, supprimez-la. L’organisation doit être prudente lors de la mise en liste blanche des fichiers du système d’exploitation. Certaines des applications de liste blanche peuvent être compromises et utilisées par des intrus. Envisagez de ne mettre en liste blanche que quelques applications à la fois. Les organisations peuvent également mettre en place un système d’inventaire qui utilise la fonction de liste blanche pour empêcher l’exécution de programmes non autorisés. Device Guard est une application de liste blanche qui utilise la virtualisation pour bloquer les logiciels malveillants et les intrus.
Filtrage des e-mails
Le filtrage des e-mails empêche les ordinateurs d’être corrompus à la suite d’e-mails frauduleux. Les organisations doivent envisager de mettre en liste blanche différents types de pièces jointes. Cela est considéré comme plus efficace que d’essayer de bloquer un grand nombre de fichiers. Bloquez tous les fichiers qui ne peuvent pas être inspectés avant de les ouvrir. Bloquez tous les e-mails envoyés depuis un serveur autorisé. Les organisations peuvent utiliser un logiciel de désarmement qui remplace les pièces jointes par quelque chose de plus sûr. Pensez à enregistrer toutes les pièces jointes Microsoft Office et à les analyser tous les mois. Bloquez tous les e-mails entrants avec des hyperliens d’internautes cachés.
bac à sable
Les intrus qui tentent d’envoyer des informations via un environnement sandbox ne pourront pas s’infiltrer dans le réseau d’une organisation. Les organisations peuvent établir un bac à sable sur une application, puis s’appuyer sur le système d’exploitation pour les aider. Une autre stratégie consiste à établir des applications dans un environnement virtuel alternatif. Les organisations peuvent utiliser le cloud pour établir ce système. Les organisations qui choisissent cette stratégie devraient améliorer leur approche de sécurité. Cela est nécessaire pour empêcher un intrus d’atteindre les données confidentielles de l’organisation dans l’environnement virtuel. Le sandboxing supprimera également toute preuve médico-légale.
Sauvegardes
Les organisations qui sauvegardent régulièrement leurs données sont moins susceptibles que les données soient endommagées ou chiffrées à la suite d’un intrus utilisant des logiciels malveillants. Tout changement de logiciel et de configuration doit également être sauvegardé pendant quelques mois. Les utilisateurs doivent éviter de mettre des informations dans des zones de stockage public. Faites confiance aux serveurs de fichiers et aux services de stockage de l’entreprise. Assurez-vous que toutes les données de sauvegarde sont stockées hors ligne pour empêcher les intrus de les trouver. Ajoutez une authentification en deux ou trois étapes à toutes les données de sauvegarde. Les organisations doivent également vérifier régulièrement le processus de restauration.
Filtrage de contenu Web
Lorsque les organisations filtrent leur contenu Web, elles réduisent les chances que les intrus puissent mettre en œuvre avec succès des logiciels malveillants. Les utilisateurs doivent mettre en liste blanche différents sites Web et contenus Web qui ont une bonne réputation. Les organisations doivent restreindre tout accès aux réseaux et domaines cachés, ainsi qu’aux adresses IP frauduleuses. Autorisez uniquement certains utilisateurs à afficher des types de contenu spécifiques. Restreindre les sites Web que le filtre de contenu Web ne reconnaît pas. Bloquez Flash et Java ou restreignez l’accès à des fins très spécifiques. Vérifiez tout le trafic Internet et les fichiers Microsoft Office. Éliminez toutes les publicités qui tentent de s’exécuter dans la passerelle. Les intrus essaient souvent d’utiliser des publicités corrompues. Restreignez toutes les connexions réseau aux réseaux masqués. Bloquez les intrus qui essaient d’utiliser des adresses IP au lieu de noms de domaine pour accéder aux sites Web. Sachez que des intrus peuvent tenter d’utiliser des sites Web classiques pour lancer des attaques de logiciels malveillants.
Restreindre l’accès Internet direct
Les ordinateurs d’entreprise ne doivent pas avoir de connectivité Internet directe. Les organisations doivent utiliser un pare-feu pour s’assurer que les utilisateurs doivent utiliser un serveur DNS et un serveur proxy légitime. Le pare-feu empêchera les intrus de s’infiltrer dans les ordinateurs de l’entreprise. Le pare-feu facilite également la détection des logiciels malveillants. Les utilisateurs doivent passer par des ports approuvés et adhérer au protocole. Les organisations doivent également envisager de créer un proxy qui décrypte le contenu suspect. Les ordinateurs qui utilisent un périphérique sans routage peuvent identifier les logiciels malveillants.