En ce moment, les présages d’oiseaux de mauvais augure sont légion. Comme quoi des hackers s’en prendraient à n’importe quel système informatique, à partir du moment où celui-ci présente une faille. Vous vous dites : cela n’arrive qu’aux autres. Ou, il faut arrêter de dramatiser ! Je suis au regret de vous dire que vous allez devoir revoir votre position… Cela dit, vous n’êtes pas non plus au bord du précipice.
Hackers et cibles de prédilection, mythes et légendes
On préfèrerait que cela n’arrive jamais. Une attaque, un cryptolocker, une rançon demandée par des hackers, cela paraît parfois déconnecté de la réalité. Quand on n’a pas connu cela, on se berce d’illusions, de croyances qui nous rendent aveugles à la dure réalité de la malveillance informatique.
Ces idées que l’on se fait
« Je ne crains rien, nous sommes une PME, personne ne s’intéresse à nos données ». Et pourtant, vous entendez de plus en plus de PME ciblées par une cyber attaque. Chaque faille est trouvée par les hackers, ils s’y engouffrent, peu importe la taille du poisson qu’ils ont ferré.
« J’ai un bon anti-virus, nous sommes protégés » : la 1ère action des hackers quand ils trouvent une faille, c’est de désactiver les antivirus. Bien sûr, les antivirus sont indispensables (jamais nous ne dirons le contraire !) car ils détournent une grande partie des virus qui sont lancés en masse dans le réseau pour contaminer votre système. Mais ils ne font pas tout.
« Nous réalisons des audits de sécurité régulièrement, tout va bien ». A l’instant T de votre audit, vous pouvez être totalement clean. Et en refaire un 2 mois plus tard. Mais entretemps ? L’audit n’est pas une protection, c’est juste une solution de rectification si jamais vous avez été attaqué. Son intérêt ? Si un hacker s’est installé confortablement dans votre système, il sera repéré et délogé.
L’équilibre usage-sécurité
Vous l’aurez compris, le plus compliqué va être de trouver le bon équilibre entre les contraintes liées à la sécurité, et les usages du quotidien. Bien sûr, on privilégie les usages, car qui a du temps à perdre dans sa journée à retenir des mots de passe, les changer, verrouiller sa session ?…
Il ne faut pas voir les choses ainsi. Ce n’est pas sécurité vs productivité. Car quelques minutes perdues chaque jour ne sont rien face à l’ampleur d’un cryptolocker. Imaginez vos données inaccessibles, une rançon exorbitante, vos données vendues au plus offrant ? Quel est le prix du fruit de votre travail ?
Mais comment font-ils exactement ?
Les pirates informatiques ont des techniques très efficaces testées et éprouvées. Durant longtemps nous avons vu des grosses entreprises prises pour cible essentiellement. Mais aujourd’hui nous voyons des hôpitaux se faire crypter, des PME qui se croyaient à l’abri par leur discrétion sur le marché. Pourquoi ? Parce que les hackers ne vont pas là où il y a l’argent, mais là où il y a la faille. Un serveur AD mal protégé et le pirate s’engouffre discrètement, s’installe et récupère les données personnelles pour : les revendre, les crypter, vous demander une rançon.
Zero Day : The day after Tomorrow
C’est un terme que vous entendrez peut-être pour qualifier une vulnérabilité des systèmes. Le jour 0 = le jour où l’on découvre une nouvelle faille de sécurité. Il se peut que des hackers utilisent pendant un moment des failles en toute impunité, jusqu’au moment où on les découvre et que l’on produise une solution pour les stopper (Mises à jour de logiciels, blocage…). Le Zero Day est le jour où l’on découvre cette faille et que l’on commence à chercher des solutions pour la contrer.
Une mauvaise configuration et c’est le drame
Les crypto et autres ransomwares sont capables de repérer les configurations mal finalisées. Un port ouvert, un PC non protégé, la moindre fenêtre de tir, même lucarne est finalement trouvée. Car les hackers ne viennent pas faire le tour de la maison discrètement pendant la nuit. Ils déploient des outils qui tentent d’entrer partout, à coups de milliers d’essais à la seconde et sur n’importe quel réseau. Jusqu’à trouver la faille. Et là ils passent à la 2nde étape : infiltrer le réseau, se servir, vous faire tout perdre.
Hackers et pirates informatiques : les contrer avec de bonnes habitudes
Il ne suffit pas de bons outils. Bien sûr c’est indispensable d’avoir un firewall, un antivirus, une sauvegarde, mais cela ne fait pas tout. Cela ne protège pas des failles que les hackers traquent à longueur de temps jusqu’à les trouver.
Protéger son infrastructure
Les réseaux « faillibles » sont connus par le biais de sites tels que Shodan. les hackers peuvent trouver en quelques clics une requête sur un accès non protégé et lancer une attaque dessus. Une fois dans le système, les pirates ont plusieurs solutions : soit prendre un max d’infos et partir, soit s’installer discrètement et collecter sur le long terme tout ce dont ils ont besoin.
- La solution ? Restreindre les ouvertures de ports sur les routeurs et firewalls, utiliser un VPN.
Restreindre les accès utilisateurs
Vous vous dites sans doute que c’est tout de même un peu drastique de limiter ce que vos collaborateurs peuvent ou non faire sur leur propre PC de travail. Et la confiance dans tout ça ? En réalité, ce n’est pas une question d’implication de vos utilisateurs mais plutôt une protection d’une faille souvent utilisée. Un virus sur un seul PC peut infecter tout un système, se répandant comme une trainée de poudre. Alors, même si c’est mal pris, protégez les PCs. C’est indispensable.
- les solutions ? Appliquer une politique de mots de passe fiable, crypter les disques durs des PCs utilisateurs, protéger les endpoints et ne pas mettre l’utilisateur administrateur de son propre PC. Pour aller plus loin: vous pouvez contrôler les ports USB.
Répartir les connaissances
Et enfin, le risque ultime, qui permet le plus souvent aux hackers de se promener tranquillement dans une infrastructure jusque dans ses moindres recoins, est de laisser les droits à une seule et même personne. Un seul administrateur, qui a accès avec un minimum d’identifiants et de mots de passe, à tout votre réseau. Une fois le profil administrateur cracké, c’est la porte ouverte aux hackers, qui ne rencontrent plus aucun obstacle.
- la solution ? Le tier-model : l’administrateur de domaine n’est pas le même que l’administrateur des serveurs d’applications, qui n’est pas le même que celui du parc PC.
En bonus, quelques idées pour se prémunir des hackers
Pour faire les choses vraiment bien, vous pouvez aussi :
- Mettre en place une sauvegarde indépendante et offline. Car le hacker va, en 1er lieu, supprimer les sauvegardes qu’il trouve, afin de vous empêcher d’avoir cette solution de repli pour récupérer vos données cryptées.
- Former vos utilisateurs. Qu’ils perdent leurs mauvaises habitudes et prennent les bons réflexes : mots de passe, navigation web, mises à jour… La sécurité commence par là.
Si vous souhaitez découvrir presque en vrai comment se déroule une attaque informatique, vous pouvez regarder ce webinar. Notre cher expert Sylvain Cortès réalise plusieurs démos pour vous prouver à quel point c’est facile de s’infiltrer dans un réseau faillible. Et on vous explique ensuite plus en détail les solutions que je vous ai exposées ci-dessus.
Bon visionnage !
Rétroliens/Pings