Simple Steps for Attack Surface Reduction
Mis à jour :
Réduire la Surface d’Attaque par des Paramètres par Défaut Forts
Pour contrer les cyberattaques de plus en plus sophistiquées, une approche proactive basée sur des configurations de sécurité robustes dès le départ est essentielle. En adoptant une mentalité de “sécurité par défaut”, il est possible de neutraliser de nombreuses menaces avant même qu’elles n’atteignent le réseau. Cette stratégie vise à simplifier la gestion de la sécurité, à réduire la complexité et à renforcer la résilience face aux menaces évolutives.
Points Clés et Vulnérabilités :
- Cybercriminalité à But Lucratif : La nature de la cybersécurité a évolué, passant d’une nuisance à une entreprise criminelle générant des milliards.
- Nécessité de Prévention : Les cadres de sécurité tels que NIST, ISO, CIS et HIPAA fournissent des orientations, mais une mise en œuvre claire et actionnable est souvent manquante.
- Objectif : Frustrer les acteurs de la menace et bloquer un maximum d’attaques sans aliéner l’équipe informatique.
Mesures de Réduction de la Surface d’Attaque :
- Authentification Multi-Facteurs (MFA) :
- Recommandation : Imposer l’utilisation de la MFA sur tous les comptes à distance, y compris les plateformes SaaS (Office 365, G Suite), les registrars de domaines et les outils d’accès à distance. Éviter la MFA par SMS.
- Approche “Refuser par Défaut” (Deny-by-Default) :
- Recommandation : Implémenter une liste blanche d’applications (Application Allowlisting) qui bloque toutes les applications par défaut, n’autorisant que celles explicitement approuvées.
- Vulnérabilité ciblée : Ransomware, applications malveillantes, outils d’accès à distance non autorisés (ex: AnyDesk).
- Configuration Sécurisée (Quick Wins) :
- Recommandation :
- Désactiver les macros Office.
- Utiliser des économiseurs d’écran protégés par mot de passe.
- Désactiver SMBv1 (protocole obsolète utilisé dans des attaques comme WannaCry).
- Désactiver la fonction de journalisation des frappes au clavier de Windows (keylogger).
- Recommandation :
- Contrôle du Comportement du Réseau et des Applications (Organisations) :
- Recommandation :
- Supprimer les droits d’administrateur local des utilisateurs.
- Bloquer les ports inutilisés et limiter le trafic sortant. Fermer les ports SMB et RDP sauf si strictement nécessaire et autoriser uniquement les sources de confiance.
- Empêcher les serveurs d’accéder à Internet sauf si requis.
- Contrôler les comportements des applications (ex: empêcher Word de lancer PowerShell) via des outils comme ThreatLocker Ringfencing™.
- Sécuriser le VPN en limitant l’accès à des IP spécifiques et en restreignant les accès utilisateurs.
- Recommandation :
- Contrôles de Données et Web Renforcés :
- Recommandation :
- Bloquer les clés USB par défaut ; autoriser uniquement les clés gérées et chiffrées si nécessaire.
- Limiter l’accès aux fichiers par les applications ; elles ne devraient accéder qu’aux fichiers nécessaires.
- Filtrer les outils non approuvés (applications SaaS ou cloud non vérifiées).
- Suivre l’activité des fichiers (qui fait quoi avec les fichiers, sur les appareils et dans le cloud).
- Recommandation :
- Surveillance et Patching Continus :
- Recommandation :
- Appliquer régulièrement les correctifs de sécurité pour tous les logiciels, y compris les applications portables.
- Utiliser des outils de détection automatisée des menaces (EDR) et envisager des services de détection et de réponse managées (MDR) pour une surveillance 24/7.
- Recommandation :
En appliquant ces principes de sécurité par défaut, les organisations peuvent considérablement réduire leur surface d’attaque, simplifier la gestion de la sécurité et renforcer leur posture globale de défense.