La cybersécurité est un sujet brûlant dans l'industrie informatique, car le secteur informatique est l'un des secteurs les plus fréquemment ciblés par les pirates malveillants et les rançongiciels. Les entreprises informatiques stockent et gèrent une multitude de données sensibles et précieuses appartenant à des tiers, des gouvernements, des établissements de santé et des entités juridiques, pour n'en nommer que quelques-uns, ce qui en fait une cible de choix.
Les préoccupations concernant la sécurité, la protection et la prévention des technologies de l'information sont considérables. Les questions de sécurité électronique sont une préoccupation majeure pour les organisations alimentées par des systèmes d'information. Les rançongiciels, les logiciels malveillants, les vulnérabilités du réseau et des fichiers sont importantes aujourd'hui, car les récents événements de piratage ont intensifié la sensibilisation du public aux conséquences catastrophiques qui peuvent survenir à la suite de failles de sécurité inattendues.
À propos du logiciel de cryptovirologie
Les logiciels cryptovirologiques, tels que les logiciels malveillants, les virus et les rançongiciels, infectent généralement l'infrastructure d'un utilisateur de l'une des trois manières suivantes. Le logiciel malveillant peut être inséré de manière malveillante via USB ou un support externe, infecté via un courrier indésirable ou de fausses pièces jointes, ou il peut être propagé à l'aide d'un logiciel d'exploitation tel que Eternal Blue. La méthode d'exploitation couramment utilisée est connue sous le nom de HeapSpraying - en injectant du shellcode dans des systèmes vulnérables, cela permet d'exploiter la machine en question.
Les récentes attaques de rançongiciels très médiatisées telles que les attaques WannaCry, NotPetya, WYSIWYE, Cryptowall et Mirai soulignent l'importance d'investir dans la protection de la cybersécurité. Les attaques ciblées peuvent se propager à travers un réseau comme une traînée de poudre et avoir le potentiel de causer des centaines de milliers de dollars de dommages; les organisations désespérées choisissent parfois de payer la rançon aux pirates pour obtenir les clés permettant de déverrouiller leurs fichiers critiques.
Mettre à jour vos systèmes d'information
Si ses systèmes d'information ne sont pas tenus à jour, des logiciels malveillants ou des rançongiciels pourraient potentiellement paralyser une entreprise. Les groupes de piratage ciblent les faiblesses des systèmes d'exploitation et du code d'application du système en recherchant les vulnérabilités qui permettent par inadvertance l'exécution de code malveillant. Une fois le code malveillant injecté dans le système d'exploitation hôte, les pirates pourraient potentiellement exploiter le système compromis.
Les experts en sécurité surveillent en permanence les dernières tendances en matière de vulnérabilités de sécurité ; Les éditeurs de logiciels disposent d'équipes de sécurité dédiées qui réagissent généralement très rapidement à toute faiblesse potentielle détectée dans leur code. Des correctifs, des mises à jour et des correctifs de micrologiciels sont régulièrement publiés pour combattre toute vulnérabilité potentielle identifiée du système. Les problèmes ont tendance à survenir uniquement lorsque l'utilisateur final n'agit pas pour protéger son système.
La plupart des systèmes d'exploitation pour utilisateurs à domicile tels que Windows 10 et Apple Macintosh sont configurés prêts à l'emploi pour se mettre à jour automatiquement sur Internet à des intervalles définis au cours du mois. Cependant, les systèmes informatiques d'entreprise sont généralement gérés par un serveur de sécurité central qui nécessite qu'un administrateur agisse, approuve et déploie les mises à jour de sécurité. Suite à ce processus, les correctifs sont programmés pour être publiés sur l'infrastructure de l'organisation.
Les outils de mise à jour, tels que Microsoft Windows Server Update Services (WSUS) et System Center Configuration Manager (SCCM), peuvent être utilisés par les administrateurs système pour envoyer des mises à jour de sécurité aux serveurs, aux ordinateurs portables clients et aux terminaux. Cependant, même avec de tels services, de nombreuses organisations ne parviennent pas à respecter un calendrier de correctifs régulier.
Que peut-il se passer si les mises à jour de votre infrastructure sont obsolètes ?
Cela peut se produire pour plusieurs raisons, telles qu'une capacité technique inadéquate ou une connaissance de l'équipe sur la façon de mettre à jour de manière professionnelle l'infrastructure informatique d'une organisation. Cela peut être dû à une approche de gestion du type "si ce n'est pas cassé, ne le réparez pas", ce qui entraîne un échec à corriger ou à déployer de manière proactive des mesures de sécurité jusqu'à ce qu'un problème survienne. D'autres fois, on peut craindre que les mises à jour de sécurité ne cassent des applications logicielles propriétaires.
Ces problèmes peuvent faire le jeu des groupes de piratage, car cela pourrait signifier qu'un nombre important de systèmes vulnérables au sein de l'organisation sont exploitables. Toutes les attaques majeures récentes de logiciels malveillants et de rançongiciels ont suivi un schéma similaire :le logiciel malveillant se propage sur un système via Internet et crypte les fichiers d'un utilisateur infecté. Ensuite, le malware affichera une demande de paiement en Bitcoin pour déverrouiller les données de l'utilisateur.
En utilisant le rançongiciel WannaCry comme exemple spécifique, il ciblait un exploit dans le protocole de partage réseau Samba du système d'exploitation Windows Server. Cela permettait aux pirates de copier un fichier d'exploit sur le disque système de l'utilisateur infecté, où le fichier restait inactif jusqu'à ce qu'il soit activé par un déclencheur envoyé sur Internet. Lors de l'activation, le malware procéderait au cryptage de tous les fichiers utilisateur et rendrait l'ordinateur inutilisable. Une fenêtre contextuelle apparaîtrait alors sur l'écran de l'utilisateur pour exiger le paiement.
Microsoft était au courant de cette exploitation des mois avant la diffusion mondiale de l'épidémie WannaCry. Les équipes de sécurité des produits Microsoft ont rapidement corrigé l'exploitation et publié un bulletin de sécurité invitant les utilisateurs à mettre à jour immédiatement. De nombreux utilisateurs, entreprises et organisations mondiales n'ont pas agi sur la base de ces informations, ce qui les a rendus vulnérables aux attaques.
Heureusement, lorsque WannaCry est sorti en mai 2017, de nombreuses organisations qui avaient déjà investi dans un produit antivirus (AV) à jour ont été sauvées; les agents antivirus ont identifié les fichiers de signatures de logiciels malveillants et ont rapidement mis en quarantaine les fichiers WannaCrypt bien avant que le code malveillant ne puisse être exécuté.
Cependant, les utilisateurs qui n'avaient pas corrigé le système d'exploitation ou n'avaient pas installé de produit antivirus, ou ceux dont l'antivirus était obsolète, ont été infectés en masse à l'échelle mondiale par le rançongiciel WannaCry. Même aujourd'hui, WannaCry continue de se répandre sur Internet; parmi les victimes les plus médiatisées figurent Boeing, le British National Health Service (NHS) et Telefonica communications,
Comme mentionné précédemment, de nombreuses organisations ont eu la chance d'éviter les attaques de rançongiciels grâce à une suite antivirus moderne. Mais que peut-on faire d'autre pour se protéger contre ces vulnérabilités et exploits ? Nous avons élaboré un plan pour ce que nous considérons comme des bonnes pratiques en matière de cybersécurité qui peuvent être utilisées pour vous aider à faire face à la prochaine vague de menaces.
Votre plan de cybersécurité
Tout d'abord, il est important de vous assurer que vous disposez d'une stratégie de sauvegarde moderne et fréquemment testée. Les sauvegardes sont le plan d'urgence pour préserver toutes vos données importantes, donc si le pire devait arriver, vous avez la possibilité de restaurer vos systèmes à partir de sauvegardes. Avoir une copie de sauvegarde légitime et fonctionnelle de vos données est essentiel. Les données peuvent être répliquées vers un autre emplacement pour une protection supplémentaire, et de nombreux fournisseurs de services gérés peuvent offrir des services de protection des données garantis.
Ensuite, nous vous recommandons de créer un calendrier de correctifs structuré et régulier pour toute votre infrastructure informatique. Cela inclut toutes les ressources informatiques basées sur Windows, Linux et VMware, ainsi que le microcode des plates-formes matérielles pour le stockage, la mise en réseau et les communications. De nombreuses entreprises choisissent de déléguer cela à un petit groupe de spécialistes qui gèrent les produits de services de mise à jour, comme WSUS et SCCM. Ces plates-formes gérées de manière centralisée peuvent être configurées pour diffuser toutes les mises à jour de manière contrôlée et planifiée.
Une quantité raisonnable de travail manuel sera toujours nécessaire, mais la majorité des mises à jour peuvent être planifiées automatiquement. Il convient de noter que certains des systèmes les plus sensibles, tels que les serveurs de base de données principaux, les contrôleurs de domaine Active Directory d'entreprise ou les serveurs hôtes de sauvegarde doivent être corrigés manuellement, et vous pouvez même envisager de prendre un instantané de vos machines virtuelles et systèmes de stockage en tant que option de restauration, en particulier si vos systèmes n'ont pas été mis à jour depuis longtemps.
L'éducation et la formation des employés sont l'une des principales défenses contre toutes les formes de logiciels malveillants. Les concepts de sécurité et la connaissance des dernières tendances en matière de menaces devraient être proposés dans les formations obligatoires initiées par toutes les organisations. Communiquer ce que sont les rançongiciels, les logiciels malveillants, les virus, l'hameçonnage et l'usurpation d'identité peut éclairer les employés sur les dangers de ces menaces, ce qui peut à son tour contribuer à faire appliquer un mantra de sensibilisation à la sécurité dans l'ensemble de l'entreprise.
Une autre défense clé consiste à investir dans des services techniques et des dispositifs matériels conçus pour intercepter les menaces de cybersécurité à la source. Des produits tels qu'un système de protection contre les intrusions (IPS) peuvent analyser le trafic réseau et alerter en cas de problèmes suspects. Nous avons déjà discuté de l'importance des produits antivirus, mais l'externalisation de ces responsabilités à un fournisseur de services de gestion peut soulager le casse-tête de s'assurer que tous les responsables de produits et agents sont à jour et conformes.
À propos d'Atlantic.Net
Avez-vous besoin de sécuriser l'environnement d'hébergement et l'infrastructure informatique de votre organisation ? Les professionnels des services gérés d'Atlantic.Net peuvent vous aider à configurer des services de sauvegarde, des solutions de sécurité, etc. Contactez Atlantic.Net dès aujourd'hui pour plus d'informations sur la façon dont nos experts peuvent vous aider.