Blog

La menace Cyber était déjà présente avant le confinement, elle l’est encore aujourd’hui et elle continuera de se développer par la suite. De nombreuses entreprises ont déjà pu s’armer et s’organiser en conséquence mais nous constatons au quotidien que ce n’est pas encore suffisamment généralisé, indépendamment de la taille ou du budget des structures auditées.

Afin de continuer à faire circuler l’information sans trop paraphraser ou s’approprier le travail de la communauté sécurité, nous tâchons de valoriser les ressources existantes via une approche globale.

Rappeler aux utilisateurs les bonnes pratiques standards

Si ce n’est pas encore fait, on peut sensibiliser les utilisateurs via un simple mail ou encore via son extranet d’entreprise s’il est déjà à disposition et qu’il a déjà fait l’objet d’une revue de sécurité. Cette sensibilisation servira encore après la crise.

Différents visuels sont mis à disposition par l’État :

• https://www.cybermalveillance.gouv.fr/medias/2020/03/bannieres_teletravail_cybersecurite.zip
• https://www.ssi.gouv.fr/particulier/precautions-elementaires/infographies-2/
• https://www.cybermalveillance.gouv.fr/medias/2019/11/memo_appareils_mobiles.pdf

On peut citer également deux outils de chiffrement qui ont leur place sur les postes de travail (toujours en surveillant les correctifs de sécurité) :

• https://www.7-zip.org/download.html
• https://www.zedencrypt.com/download

En synthèse, quelques directives qui peuvent être communiquées aux usagers :

• Se méfier du phishing en étant vigilants sur les demandes téléphoniques inhabituelles et en ne cliquant pas sur les liens des mails reçus si vous n’êtes pas sûr de l’émetteur et de la légitimité de l’échange. Même quand les liens fournis semblent fiables ou que l’interlocuteur est connu, il faut rester vigilant sur la cohérence de la demande ou du type d’information.
• Limiter l’accès aux sites Web qui ne semblent pas sérieux ou ne correspondent pas à vos habitudes professionnelles (même si généralement un outil de filtrage Web est fourni par l’entreprise).
• Ne pas installer de logiciels sans l’approbation (ou l’intervention) de l’équipe support de l’entreprise et utiliser uniquement les moyens de communication officiellement mis à votre disposition.
• Même si le matériel fourni est « chiffré », toujours s’assurer de ne pas le laisser trainer (lors de la promenade quotidienne avec son téléphone pro ou autre par exemple) et ne pas tenter d’enlever les mécanismes de protection en place même si « c’est plus pratique ».
• Ne pas envoyer de données confidentielles en clair dans les mails. Toujours utiliser les outils informatiques fournis par votre entreprise. Si vous ne disposez pas d’outil dédié en ligne fourni par votre équipe informatique pour ce type d’échanges à risque, préférez l’utilisation d’outils comme 7-zip ou Zed avec l’envoi d’un mot de passe robuste par SMS.
• Ne pas utiliser de clés USB ou médias amovibles sur la machine professionnelle et si possible s’assurer qu’au moins un antivirus à jour est activé et qu’un firewall est actif.
• Ne jamais donner vos identifiants même quand l’interlocuteur prétend faire partie du service informatique.
• Remonter les anomalies ou doutes aux équipes informatiques de votre entreprise via la boîte mail ou l’outil dédié mis à votre disposition.

Rappeler également aux personnes plus techniques les bonnes pratiques

Que vous fassiez partie de l’équipe sécurité, que vous soyez administrateur, architecte, chef produit ou encore DSI ; un rappel des bonnes pratiques générales peut permettre de gagner du temps et d’éviter les erreurs en période de crise. Cela permet également de s’approprier différents réflexes techniques qui, même s’ils ne sont pas implémentés tout de suite, permettront d’orienter les conceptions ou évolutions d’architecture en cours et ainsi anticiper la suite.

Prendre connaissance de ces éléments peut être chronophage. Il convient de s’imprégner des notions clés dans un premier temps pour avoir du recul et participer à la construction du plan d’action. Ensuite on peut rentrer dans le détail de chaque sujet au moment de l’implémentation. Les « règles » fournies dans les guides sont là pour ça (R1, R2…) et permettent de construire une TODO.

Quelques ressources clés standards pour les administrateurs et architectes :

• https://www.ssi.gouv.fr/uploads/2017/01/guide_hygiene_informatique_anssi.pdf
• https://www.ssi.gouv.fr/uploads/2012/09/np_teleassistance_notetech_v1.1.pdf
• https://www.cnil.fr/fr/authentification-par-mot-de-passe-les-mesures-de-securite-elementaires
• https://www.cnil.fr/fr/5-arguments-pour-adopter-le-gestionnaire-de-mots-de-passe

Reprendre le contrôle sur la surface d’attaque

1. Préambule

Après avoir « prévenu » les utilisateurs et s’être imprégné (ou réimprégné) des bonnes pratiques, il faut construire son plan d’action.

2. Préparer son plan d’action et la cartographie

Comme le rappellent les techniques de survie, il ne faut pas prendre le risque de créer un suraccident. En premier lieu, ne laissez pas des tiers accéder à votre SI dans « l’urgence de la crise » sans s’assurer que les bonnes pratiques de base sont appliquées (cf. le guide fourni plus haut sur les bonnes pratiques d’administration par exemple).

Quelques étapes clés :

• On ne peut pas efficacement protéger ce que l’on ne connaît pas. Faites un schéma général à jour et dressez un inventaire rapide et simple des adresses IPs publiques exposées qui vous appartiennent et/ou hébergent vos services.
• Il faut compléter cette liste avec les portails Web le cas échéant et les applicatifs Métier de tout type eux-aussi exposés sur Internet. Les interactions ou tunnels avec des tiers doivent apparaître également, notamment les accès de maintenance ou de support aux utilisateurs.
• Associez à cet inventaire « théorique » les composants du SI qui constituent ces chaînes de services et les mesures de protection qui vont avec afin de les comparer aux bonnes pratiques listées dans les ressources fournies plus haut.
• Après avoir listé les exigences clés, la suite devient plus fluide ; elles permettent d’avoir une vue d’ensemble de son niveau de maturité et ainsi prendre conscience des principaux risques décrits dans les guides. Vous devez, en cible, avoir un inventaire plutôt technique associé à au moins une cinquantaine de bonnes pratiques et un statut : traité, non traité, non applicable et à faire.
• Dans cette démarche, le fait d’identifier les chaînes de services et composants critiques pour l’entreprise est indispensable mais il ne faut toutefois pas tomber dans le piège de faire l’impasse sur le reste (notamment la partie interne également qu’il faudra traiter un jour ou l’autre).

En complément, pour préparer son inventaire :

• https://www.ssi.gouv.fr/uploads/2018/11/guide-cartographie-systeme-information-anssi-pa-046.pdf

3. Surveiller les bulletins de sécurité de son périmètre

Après avoir constitué un référentiel ou un inventaire simple regroupant l’ensemble des types de composants que vous gérez, inscrivez-vous aux bulletins de sécurité et autres news spécialisées afin d’être informé rapidement lors de la publication d’une faille majeure pour ces mêmes composants. Cela est valable pour les composants d’infrastructure mais aussi pour les périmètres Web ou les services généraux hébergés par des tiers.

Quelques liens pour le suivi standard des vulnérabilités et bulletins :

• https://www.cert.ssi.gouv.fr/
• https://www.microsoft.com/en-us/msrc/technical-security-notifications?rtc=1
• https://www.cvedetails.com/
• Et autres listes de diffusion des éditeurs (par mail ou autre).

4. S’assurer que les postes nomades et téléphones sont sous contrôle

Sans pouvoir être exhaustif, plusieurs étapes importantes sont résumées ci-dessous :

• Assurez-vous que vous permettez aux utilisateurs de bien séparer leurs activités personnelles des activités professionnelles (aussi bien pour respecter les bonnes pratiques RGPD que pour garantir l’étanchéité entre les deux environnements techniques).
• Utilisez si possible pour les postes de travail « nomades », des solutions dites « End Point» ou « XDR », ou encore « MDM » pour les mobiles.
• Ces solutions, selon les modules proposés, contribuent à :
  • Contrôler les supports amovibles particulièrement dangereux ;
  • Filtrer les sites Web accessibles ;
  • Isoler le PC portable du réseau domestique ou d’un Wifi illégitime avant et pendant sa connexion au réseau de l’entreprise ;
  • Challenger le niveau de mise à jour et de sécurité du poste ;
  • Avoir potentiellement la main sur l’équipement en cas de vol ou incident majeur de sécurité.
• Prévoyez un mécanisme d’accès VPN à l’entreprise avec authentification forte (TOTP, SmartToken…) et, idéalement, uniquement des flux autorisés pour initialiser le tunnel avant d’accéder aux services de l’entreprise (pas de connexion à Internet en direct en parallèle de l’accès au SI de l’entreprise).
• Ne pas oublier également les mécanismes de chiffrement pour les PCs portables (avec code PIN au démarrage, puce TPM récente, BitLocker ou équivalent) et les mobiles (chiffrement natif avec mot de passe Android/iOS).
• Proscrire les droits « administrateurs » pour les comptes utilisés au quotidien sur les systèmes, même quand « c’est plus pratique » (toute exécution de code malveillant aurait, de fait, des droits généralement critiques sur le système).

Pour aller plus loin, des ressources liées à la sécurité des postes et infrastructures nomades

• https://www.ssi.gouv.fr/uploads/2018/10/guide_nomadisme_anssi_pa_054_v1.pdf
• https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/recommandations-securite-informatique-teletravail
• https://www.ssi.gouv.fr/uploads/IMG/pdf/uefi-pci-bootkits_sstic_article_fr.pdf
• https://www.ssi.gouv.fr/uploads/2015/03/NP_ConfigMateriel.pdf

5. Cartographier et réduire la surface d’attaque

Une cartographie technique de la surface d’attaque externe peut ensuite être initiée pour s’assurer qu’il n’y a pas de services ou mécanismes illégitimes exposés sur Internet au regard de ce que vous avez déjà inventorié. Cela inclut notamment les services Web, services d’infrastructure et autres « préprod » ou « recettes » à risque qu’il faut garder sous contrôle et généralement ne pas exposer directement au public. A cela s’ajoute également les services « que l’on va bientôt enlever» ou qui « n’auraient pas dû être là » ou encore « je crois qu’on s’en sert encore » ou « c’est quand même plus pratique » – alias Shadow IT mais pas que.

Le faire dans cet ordre (Revue des bonnes pratiques, Inventaire puis Cartographie) permet d’avoir un regard plus critique et incisif sur les services illégitimes qui sont remontés par cette cartographie.

Ci-dessous un résumé d’autres points clés à s’approprier détaillés dans les ressources fournies :

• Des outils classiques comme nmap peuvent permettre d’avoir cette visibilité depuis l’extérieur (et en interne aussi bien sûr) sous réserve que vous soyez habilité à scanner ces adresses publiques :
• Certains services n’ont pas du tout leur place sur Internet. Dans la mesure du possible, en dehors des sites Web « Corporate» isolés du SI ou les services d’infrastructure classiques sous-contrôle (messagerie, dns…) ; les services exposés doivent idéalement se limiter aux services VPNs robustes dédiés aux utilisateurs et aux connexions inter-sites.
• C’est également le cas pour les mécanismes d’administration sécurisés dans le cadre du télétravail ou des astreintes potentielles :
  • Donc pas de RDP Windows exposé sur Internet ou tout type d’accès « temporaire » de ce type, de même pour les bases de données et autres services laissant transiter les données en clairs.
  • Se méfier également des limites du « filtrage par IP source » lorsque les environnements ne sont pas sous contrôle ou que vous disposez d’un grand nombre de sites physiques.
• De manière générale, les accès VPN IKEv2 IPSEC avec clé de chiffrement robuste et authentification forte (pour les postes de travail également) doivent rester le choix par défaut. Certaines passerelles spécialisées dans les accès à distance exposés sur Internet ont leur place également (VPN TLS/SSL).
• Vous pouvez ensuite définir une politique de flux stricts pour accéder aux ressources « internes ». Se rappeler également que créer un accès VPN robuste pour ensuite donner un accès complet au SI (ou presque) n’est pas beaucoup mieux. Il faut s’assurer que seuls les flux nécessaires et suffisants vers l’intérieur du SI sont autorisés.
• Continuez de lutter contre les comptes par défaut ou déploiements de systèmes dans l’urgence, y compris pour l’interne qui reste un vecteur d’attaque faisant suite à la compromission d’un poste, par exemple.
• Centralisez les comptes d’accès et mécanismes d’authentification afin d’avoir de la visibilité sur les comptes, groupes, profils et habilitations au sein du SI.
• Il est primordial, comme pour les chaînes de services Web évoquées plus loin, de bien respecter les standards de cloisonnement réseau. Par exemple le fait que les flux doivent toujours aller d’une zone de sécurité élevée vers une zone de sécurité plus faible et jamais l’inverse (sauf exception à justifier, avec un durcissement très avancé des composants concernés).
• Continuez d’appliquer, à chaque moment, le principe de « droit d’en savoir » et « KISS – Keep It Simple and Secure » ; en clair n’autorisez que ce qui est nécessaire et suffisant en passant par des relais apportant une « rupture protocolaire » (aka proxy ou reverse proxy ou waf ou etc).

Un exemple basique de commande nmap :

• nmap -vv -Pn --script-args http.useragent='Mozilla/5.0 (Windows NT 10.0) Edge/12.10136' -T2 --max-retries 1 -sV -sT --top-ports 5000 <RESEAU-CIBLE-CIDR>

• Pour plus d’exemples et des explications : https://owasp.org/www-pdf-archive/Analysing_Networks_with_NMAP.pdf
• En remarque : C’est à adapter, le but ici est juste de montrer que c’est accessible sans être spécialisé en sécurité offensive. Il faut néanmoins éviter de le faire sur des équipements réputés sensibles et être plus modéré sur les scans UDP.

Pour aller plus loin, des ressources liées au cloisonnement du SI :

• https://www.ssi.gouv.fr/uploads/2015/02/guide_admin_securisee_si_anssi_pa_022_v2.pdf
• https://www.ssi.gouv.fr/uploads/2012/01/anssi-guide-passerelle_internet_securisee-v2.pdf
• https://www.ssi.gouv.fr/uploads/IMG/pdf/2011_12_08_-_Guide_3248_ANSSI_ACE_-_Definition_d_une_architecture_de_passerelle_d_interconnexion_securisee.pdf
• https://nmap.org/

6. Focus sur les portails Web

Après avoir fait une première cartographie du Système d’Information exposé sur Internet, il est possible de faire le « tri » en identifiant les différents types de services remontés par le scan nmap, notamment ceux qui hébergent des applicatifs Web. Même si on arrive à réduire la surface d’attaque générale via les étapes précédentes, la protection des applicatifs (Web, mais pas que) reste un sujet dense qui nécessite un travail de fond.

Quelques objectifs clés qui permettent d’avancer sur le sujet :

• Le durcissement du socle technique hébergeant les applicatifs.
• Le respect des bonnes pratiques OWASP/CWE dans le cycle de développement (notamment le fait d’avoir des fonctions ou classes factorisées dédiées à la sécurité, des mécanismes d’authentification avancée, une protection avancée des sessions, des entrées/sorties de fichiers ou d’APIs sous contrôle, des frameworks bien configurés, etc).
• Un cloisonnement réseau pertinent en fonction des rôles des composants et de la criticité des données manipulées (aka cloisonnement vertical et horizontal, voire même de la micro-segmentation).
• Une politique de gestion des comptes (services et utilisateurs) avec une granularité fine et une volonté de contrôler les escalades de privilèges et mécanismes de « pivoting » après compromission éventuelle d’un composant (aka « mouvement latéral »).
• Les scans de vulnérabilités : ils sont nécessaires et complémentaires des Tests d’Intrusion d’intrusion et des opérations Red Team, sans toutefois pouvoir les remplacer (même un peu).

Queqlues ressources liées au durcissement de Systèmes ou Services :

• https://www.cisecurity.org/cis-benchmarks/
• https://www.ssi.gouv.fr/uploads/2016/01/linux_configuration-fr-v1.2.pdf
• https://insights.sei.cmu.edu/sei_blog/2017/02/six-best-practices-for-securing-a-robust-domain-name-system-dns-infrastructure.html

De même coincernant le durcissement des échanges TLS/SSL :

• https://www.ssi.gouv.fr/uploads/2017/07/anssi-guide-recommandations_de_securite_relatives_a_tls-v1.2.pdf
• https://www.ssi.gouv.fr/uploads/2018/01/guide_preconisations-pare-feux-zone-exposee-internet_anssi_pa_044_v1.pdf
• https://www.owasp.org/index.php/Testing_for_Weak_SSL/TLS_Ciphers,_Insufficient_Transport_Layer_Protection_(OTG-CRYPST-001)
• https://www.ssi.gouv.fr/uploads/2016/08/np_nettoyage-politique-pare-feu.pdf

Les fameuses bonnes pratiques de développement :

• Sécurité applicative en général
  • https://cwe.mitre.org/
• Sécurité Web en général
  • https://owasp.org/www-project-web-security-testing-guide/assets/archive/OWASP_Testing_Guide_v4.pdf
  • https://owasp.org/www-project-api-security/
• Sécurité des Applications mobiles
  • https://owasp.org/www-project-mobile-security/

Pour conclure et s’approprier les autres points de contrôle

Au-delà des bonnes pratiques et références principalement techniques rappelées et relayées dans cet article, il convient de travailler sur la durée pour pouvoir maintenir une démarche d’amélioration continue et limiter les impacts en cas d’intrusion. Les bonnes pratiques organisationnelles et les référentiels associés (analyses de risques, dossiers de sécurité, politiques, procédures, processus, PCA/PRA, SMSI, normes et frameworks de sécurité…) restent par conséquent indispensables et font partie du dispositif complet :

• https://www.ssi.gouv.fr/uploads/2016/05/cyberedu_module_4_cybersecurite_organisation_02_2017.pdf
• https://www.ssi.gouv.fr/uploads/2019/11/anssi_amrae-guide-maitrise_risque_numerique-atout_confiance.pdf
• https://www.nist.gov/document/2018-04-16frameworkv11core1xlsx
• https://attack.mitre.org/

De nombreux points n’ont pas pu être abordés ici (comme la traçabilité, la détection d’intrusion, les composants de sécurité venant renforcer la sécurité par design, les risques de sécurité des infrastructures Windows, les spécificités du Cloud, les contraintes cryptographiques plus avancées, les spécificités de la gestion des identités et des accès, le Wifi, l’IoT et tous les protocoles de communication radio et/ou industriels qui nécessitent des mécanismes de durcissement spécifiques).

Néanmoins, les guides et référentiels mis en avant doivent permettre de s’acculturer et s’organiser en conséquence même lorsque l’on n’a pas, sur le papier ou en pratique, la force de frappe et l’expérience des sociétés les plus matures sur le sujet.