Sécurité web : comment bien renforcer votre chaîne de sécurité ?

Entreprises et collectivités publiques : comment bien vous protéger des nouvelles cyber menaces ?

 

En matière de sécurité web, les entreprises comme les collectivités publiques sont confrontées à un vrai dilemme : d’une part, elles font face constamment à de nouvelles cyber menaces et nombreuses failles de sécurité et d’autre part, les DSI font l’objet de pressions pour « optimiser leur budget » ce qui les conduit à ne pas pouvoir toujours mobiliser les moyens de sécurité adéquats…

L’année 2017 a pourtant été marquée par des cyberattaques d’ampleur mondiale dont on ne peut que constater la sophistication de plus en plus élaborée. Si ce contexte de prolifération des malwares a le mérite d’accélérer la prise de conscience des directions générales en matière de sécurité web, elle complique ardemment la tâches des DSI et fait peser une menace économique bien réelle sur les entreprises.

Accenture avait d’ailleurs publié en octobre dernier, à l’occasion des Assises de la sécurité 2017, une nouvelle étude estimant qu’en moyenne une entreprise subit 130 violations de sécurité par an (étude menée auprès de 2 182 spécialistes de la sécurité IT, issus de 254 organisations à travers le monde : à lire sur IT Channel.

2017 n’a donc fait que confirmer l’urgence de renforcer sa chaîne de sécurité web !

 

Cyberattaques, failles et ransomwares : quel état des lieux de la sécurité web en 2018 ?

En matière de sécurité web et de protection des systèmes d’information dans les entreprises  comme dans le secteur public, il y aura un avant et un après vendredi 12 mai 2017. En effet, la cyber attaque mondiale WannaCry est sans doute l’évènement qui a le plus marqué les esprits l’an dernier puisque le ransomware a infecté en quelques jours plus de 230.000 ordinateurs dans 150 pays et touché des milliers d’entreprises, allant de PME à des groupes majeurs comme Renault.

Mais la rançon financière exigée par ces ransomwares comme on peut le voir dans la capture écran ci-dessous pour WannaCry ne représente malheureusement qu’une petite partie des dégâts économiques causés par ces programmes malveillants (malwares) qui pullulent sur internet.

Sécurité web : les dégâts économiques du ransomware Wannacry

Ces cyber attaques mondiales ont donc profondément marqué les esprits et l’heure est plutôt à la prise de conscience globale autour de la cybersécurité comme l’avait rappelé Guillaume Poupard, Directeur de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), en Octobre dernier lors des Assises de la sécurité à Monaco.

En l’espace de quelques mois, les débats sur les malwares, ransomwares, cryptolockers, phishing et autres virus ont quitté les bureaux du RSSI (Responsable de la Sécurité du Système d’Information) ou de la DSI pour investir ceux des directions générales qui s’impliquent désormais plus activement afin de s’assurer que toutes les mesures adéquates sont prises pour protéger l’entreprise des cyber menaces. Renforcer l’efficacité de sa chaîne de sécurité web est donc une manière de soutenir l’activité de l’entreprise aujourd’hui puisque les actualités nous montrent constamment que personne n'est à l'abri d'une cyber attaque.

"Dans ce contexte, quelles sont les bonnes pratiques pour ce protéger efficacement ?"

 

 

Cybersécurité : comment renforcer sa chaîne de sécurité web ?

Comme le rappelle à juste titre l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), il y a des règles de base à respecter en matière de sécurité sur internet, mais plus largement, il est question pour les DSI de savoir comment renforcer efficacement leur chaîne de sécurité web puisqu’ils sont garants du bon fonctionnement informatique de leur organisation et doivent s’assurer de protéger intégralement le système d’information.

De la même manière que l’on réparti ses logiciels entre Cloud public et Cloud privé (en choisissant des serveurs de messagerie en Cloud public mais en installant ses logiciels applicatifs et ses bases de données dans des Cloud privés), tous les RSSI (Responsable de la Sécurité du Système d’Information) et DSI s’accordent sur le fait qu’il est important d’utiliser différentes solutions complémentaires pour construire sa chaîne de sécurité web autour d’une véritable pyramide de la cybersécurité ! L’objectif est de retenir la meilleure solution par fonction : il faut dissocier et isoler chaque besoin de sécurité afin de choisir ce qu’il y a de mieux dans chaque domaine et ainsi créer plusieurs couches additionnelles de cybersécurité… Une solution de cybersécurité qui prétend « tout faire » ne peut pas « tout bien faire » et cela constitue inévitablement un point de faiblesse dans la chaîne de sécurité web

 

La pyramide des besoins en cybersécurité selon Olfeo

La pyramide des besoins en cybersécurité selon Olfeo

 

 

L’importance du Proxy et du filtrage des contenus dans la sécurité web

En termes de sécurité web, le filtrage URL par le Proxy  est essentiel et notamment sa « granularité » car la finesse et la précision du filtrage vont permettre de se prémunir de nombreuses failles de sécurité…

Les entreprises comme les collectivités publiques ont besoin d’un maximum de souplesse aujourd’hui dans leur moteur de filtrage web, aussi bien pour responsabiliser les utilisateurs que pour interdire d’éventuels comportements à risques. Il est donc important de pouvoir mettre en place des politiques de filtrage des flux web qui respectent les besoins des différents utilisateurs, groupes d’utilisateurs et services de l’entreprise et qui s’appuient pour cela sur des catégories adaptées à la législation et à la culture de son pays.

 

Faut-il fonctionner en liste blanche pour les flux web et les flux applicatifs ?

Les cyber attaques sont de plus en plus sophistiquées et se « cachent » désormais dans des flux web cryptés ou des flux applicatifs apparemment anodins. Si cela renforce encore une fois la nécessité de multiplier les solutions de sécurité pour augmenter les chances de détection, cela pose aussi la question de pouvoir fonctionner en mode « liste blanche » ?

Comme cela est souvent rappelé dans les bonnes pratiques de l’ANSSI, travailler en mode « liste blanche » n’autorise que les flux vers des sites web et/ou des applicatifs préalablement autorisés et bloque l’inconnu considéré comme potentiellement dangereux. La liste blanche constitue ainsi le meilleur mécanisme de protection contre les cyber menaces aujourd’hui car les concepteurs de ransomwares ayant compris que les Proxy pour entreprises ont des listes de sites potentiellement dangereux de plus en plus précises et mises à jour en temps réel, ils utilisent désormais des URL éphémères créées à la volée. Seul le fonctionnement en liste blanche est capable d’interdire les flux vers ces URL et ce, pour une charge machine minimale…

 

Sécurité Web : comparez le coût de la protection à celui d’une cyber attaque !

Tout cela conduit inévitablement à une hausse des budgets informatiques liés à la sécurité web. Le Syntec Numérique estime d’ailleurs que la part du budget informatique consacré à la sécurité peut varier de 5 à 20 % suivant le secteur d’activité.  Mais est-ce que finalement ces hausses de coûts ne sont pas minimes comparés aux risques encourus ?

Peut-être moins médiatisé que WannaCry mais encore plus dévastateur, il est important de se rappeler que Petya ou NotPetya a également été une cyber attaque mondiale sans précédent et dont les impacts financiers ont été beaucoup plus graves. En France, le groupe Saint Gobain a été particulièrement touché et a dû renouer avec des méthodes de travail d’antan 3 jours après l’attaque : stylos, commandes papier sur carnets à souches et utilisation des adresses email personnelles car le système d’information de l’entreprise est resté totalement « offline » plusieurs semaines. La conséquence financière pour Saint Gobain est énorme et a été évaluée à une perte de 250 millions d’euros sur les ventes et de 80 millions d’euros sur le résultat d’exploitation pour son exercice 2017 comme on pouvait le lire dans cet article du Monde Informatique

Dans ces conditions, on comprendra aisément qu’il ne faut pas attendre « de se faire peur » pour débloquer des budgets et enrichir ses solutions de sécurité web afin de « redonder » ses outils et ainsi bien filtrer en amont tous les flux potentiellement dangereux. Le surcoût logiciels et matériels restera assurément inférieur aux coûts potentiels des conséquences d’une attaque…

 

Découvrez des retours d'expériences concrets des DSI et RSSI dans la gestion des cyber menaces partagés lors de la table ronde du Connect Day Olfeo 2017 :

 

3 principes fondamentaux pour renforcer votre chaîne de sécurité web

Les témoignages de RSSI et DSI durant la table ronde nous permettent de dégager 3 conseils concrets pour renforcer votre sécurité web :

 

En matière de sécurité web, il ne faut pas mettre tous ses œufs dans le même panier

Tous les experts se rejoignent sur l’importance de répartir la sécurité web sur plusieurs environnements et plusieurs solutions comme nous l’avons déjà évoqué avec la pyramide des besoins de la cybersécurité. En matière de sécurité web, la redondance est donc un principe fondamental : si une menace arrive à passer à travers un 1er équipement de sécurité, le second qui scrutera le réseau de manière différente la détectera. Comme l’authentification à double facteurs est devenue aujourd’hui indispensable dans de nombreux domaines, utiliser le meilleur équipement de sécurité dans chaque catégorie l’est tout autant.

Le marché de la sécurité IT s’est d’ailleurs parfaitement aligné avec ce constat puisqu’il existe aujourd’hui de nombreux experts dans chaque catégorie des outils de sécurité web avec notamment plusieurs acteurs français très innovants qui apportent également une garantie de souveraineté nationale importante. L’association nationale HEXATRUST recense ces solutions de cybersécurité « made in France ».

 

Donner un juste accès aux ressources est la base de la cybersécurité

Si l’on ne peut pas tout stopper, il faut essayer de tout détecter afin de pouvoir tout « endiguer » : l’accès aux ressources doit être contrôlé afin d’être capable d’identifier clairement ce à quoi chaque utilisateur à le droit d’accéder, les réseaux doivent être scindés, etc. Lors d’une cyberattaque, la 1ère réaction est d’isoler immédiatement tous les outils informatiques et d’interdire aux machines de communiquer entre elles afin de contenir la propagation du virus ou du malware et ainsi protéger les données.

 

Agir sur le facteur humain pour renforcer sa contribution à la sécurité

Le facteur humain reste aujourd’hui un maillon faible de la cybersécurité du fait que les comportements n’évoluent pas aussi rapidement que la sophistication des menaces. Dans la majorité des attaques, l’entreprise est mise en danger essentiellement par des utilisateurs qui ne se sentent pas toujours responsables.

Mais la bonne pratique est désormais de mettre le facteur humain au service de la sécurité web ne serait-ce qu’en augmentant les actions de sensibilisation, en communiquant sur les cyber menaces pour que les utilisateurs comprennent que les ransomwares ont beaucoup d’imagination en termes d’ingénierie sociale et que chacune de leurs actions peut avoir un impact global énorme !
Chaque individu peut devenir un élément plus proactif de la sécurité web sous réserve d’une meilleure pédagogie et de la mise en place d’outils de sécurité web adaptés qui lui permettront de mieux identifier les principaux signaux d’alerte qui peuvent cacher une cyberattaque .

C’est en tout cas la conviction que nous partageons chez Olfeo où nous agissons quotidiennement pour déployer la sécurité positive  qui repose sur 3 piliers majeurs que sont : l'expertise technologique, la conformité légale & culturelle et le facteur humain. L’association de ces 3 piliers est véritablement le meilleur moyen de vous protéger contre les nouvelles menaces du web tout en accompagnant l'évolution des nouveaux usages.

En termes de sécurité web, si l’on ne devait retenir qu’une chose ce serait que « ça n’arrive pas qu’aux autres ! ». Entreprises et collectivités publiques doivent donc prendre toute la mesure de la situation et renforcer sans plus tarder leur chaîne de sécurité web face aux nouvelles cyber menaces.

 

Téléchargez notre guide d’expert pour vous aider dans cette démarche :

Ressources

Guide d'expert
Protection contre les cybermenaces
accéder à toutes les ressources
En visitant ce site, vous acceptez l'utilisation de cookies. Nous utilisons des cookies pour améliorer votre navigation sur notre site. En savoir plus.Ok