Comment se protéger des cyberattaques les plus courantes ?
De plus en plus nombreuses et sophistiquées, les cyberattaques représentent un danger majeur pour les entreprises et professionnels de l’IT. Mais, pour l’emporter dans la bataille contre la cybercriminalité, les organisations doivent d’abord comprendre comment elles sont attaquées. La plupart des cybermenaces sont encore liées à des erreurs humaines ou à des failles déjà connues, mais non corrigées. Face aux attaques informatiques, la politique de sécurité doit donc être aussi bien préventive que réactive. Découvrez dans cet article comment se protéger des cyberattaques les plus courantes.
Comment empêcher les cyberattaques ?
La cybercriminalité repose sur l’exploitation des vulnérabilités, mais également de la méconnaissance des menaces pesant sur les systèmes d’information. Pour endiguer les cyberattaques les plus courantes, il faut donc déjà comprendre ce qu’elles sont et comment elles fonctionnent.
Identifier les types de cyberattaques les plus courantes
Les cyberattaques les plus utilisées contre les entreprises et organisations (de tous secteurs) sont :
les malwares ou logiciels malveillants qui incluent les ransomwares, chevaux de Troie et les spywares ;
les attaques par déni de service distribué (DDoS) ;
les phishing ou hameçonnages ;
les attaques par injection SQL et par script intersite XSS.
Les malwares sont des fichiers hostiles qui vont exploiter des terminaux informatiques. Le fonctionnement de ces programmes diffère selon leur type, mais ils reposent tous sur des techniques d’évasion et d’obscurcissement pour tromper à la fois les utilisateurs et les systèmes de sécurité.
Les attaques DDoS consistent à envoyer de nombreuses requêtes sur une interface afin de la saturer (on parle alors de flood attaque) ou de la faire tomber en panne par un « débordement de tampons » qui pousse une machine à consommer toutes les ressources de CPU, mémoire ou disque dur disponibles.
Les attaques par injection SQL ou par XSS sont des méthodes d’exploitation des failles de sécurité de sites web. Ce sont d’ailleurs les 2 types vulnérabilités applicatives les plus répandus sur les sites internet.
Enfin, le phishing ou hameçonnage fait partie des techniques dites d’ingénierie sociale. Il vise à obtenir les accès ou identifiants d’un utilisateur en le manipulant. Généralement, le fraudeur se fait passer pour un membre de l’entreprise ou d’un organisme connu dans un mail où il incite le destinataire à lui communiquer des données personnelles.
Comment empêcher ces cyberattaques ?
Les cyberattaques les plus courantes reposent sur 2 piliers : les vulnérabilités non corrigées d’un système d’information et le manque de sensibilisation voire de formation des utilisateurs.
Pour prévenir les attaques informatiques, la politique de sécurité doit donc inclure :
des évaluations régulières des risques de sécurité (audits du SI, analyses des risques, simulations d’attaques, etc.) ;
un respect strict des actions de mises à jour et maintenance ;
l’installation et la maintenance d’outils de sécurité performants (firewall, solutions EDR ou MDR) ;
la définition d’une politique du moindre privilège ;
l’instauration de procédures de gestion de mots de passe avec une authentification multi facettes (AMF) ;
une surveillance stricte et continue des accès physiques et en ligne ;
un inventaire régulier des ressources et équipements accédant aux réseaux pour limiter le shadow IT ;
une sensibilisation et une formation de tous les collaborateurs ;
une veille sur l’évolution des cyberattaques ;
la rédaction de documentation pour recenser les cyber incidents ayant touché le SI et surtout les actions correctrices et moyens mis en place pour les stopper.
Malgré ces bonnes pratiques, les attaques informatiques peuvent atteindre le système d’information. En cybersécurité, le risque zéro et la protection à 100 % n’existent pas. La politique de sécurité doit donc intégrer à la fois des mesures préventives et curatives pour se prémunir des menaces informatiques.
Comment se protéger contre les menaces informatiques ?
Au-delà des actions préventives, se protéger contre les menaces informations passent par 2 axes : limiter la propagation du virus, ransomware, ver, etc., et assurer une reprise après incident rapide pour ne pas impacter lourdement l’activité de l’organisation.
Limiter la propagation des cyberattaques
En cas de cyberattaque sur un ordinateur, un objet connecté ou un serveur, la première mesure à prendre est de débrancher la machine ou à défaut de l’isoler complètement du réseau. Il faut aussi immédiatement bloquer les accès à distance et mettre en sûreté une copie des sauvegardes importantes, dont les journaux (logs) retraçant l’attaque.
Ces logs serviront à qualifier l’alerte et à affiner son signalement pour prendre des décisions sur sa gestion, alerter des responsables (RSI, DSI, etc.) ou des prestataires externes en cybersécurité.
L’objectif est de déterminer :
la description précise de l’incident ;
le type d’attaque et si possible l’identité des hackers ;
les données en danger (sensibles, personnelles, etc.) ;
le périmètre concerné ;
les différents sous-systèmes touchés et leurs liens ;
le cheminement de l’attaque (sa propagation) ;
les obligations contractuelles ou réglementaires.
Pour connaître ces obligations, vous pouvez notamment consulter le site gouvernemental du CERT-FR, rubrique : les bons réflexes en cas d’intrusion sur un système d’information.
L’analyse des logs vous permettra aussi d’obtenir toutes les preuves techniques nécessaires pour un dépôt de plainte. Cette plainte doit intervenir avant la restauration du système afin que l’attaque puisse être constatée, d’où l’intérêt d’avoir des systèmes de sauvegarde pour ne pas paralyser l’entreprise durant cette période.
Enfin, la dernière étape consiste à remettre en état le système en suivant le PRA (Plan de Reprise d’Activité) ou les politiques de sauvegarde et restauration. Dès que le système est préinstallé, faites une analyse antivirus complète pour vérifier qu’il ne reste aucune trace, accès ou logiciels malveillants.
Gérer l’après cyberattaque
La gestion de la cyberattaque ne s’arrête pas à la restauration du système. Après l’incident les responsables informatiques et experts en cybersécurité doivent gérer les obligations légales de communication et tirer parti de l’attaque pour s’assurer qu’elle ne se reproduira pas.
D’après le RGPD (Règlement Général sur la Protection des Données), tous les organismes doivent obligatoirement notifier à la CNIL des violations de données personnelles qui auraient pu survenir pendant l’attaque. Il est également fortement recommandé de prévenir tous les collaborateurs de l’organisation qui pourraient subir les conséquences de l’attaque informatique comme les clients, fournisseurs, autres sites d’une entreprise, etc.
Une fois l’attaque passée, l’entreprise reste plus vulnérable, il faut donc être très vigilant et renforcer la sécurité de l’ensemble du système informatique et pas seulement de l’équipement touché. Cela inclut ;
un changement de tous les mots de passe ;
une analyse voire une redéfinition des politiques d’accès ;
de nouvelles actions d’information et de sensibilisation si l’attaque provient d’une erreur humaine ou d’un phishing ;
l’application des patchs, maintenances et mises à jour correctives si la cyberattaque a révélé des failles ou vulnérabilités.
Ces actions permettront de restaurer la sécurité du SI et de renforcer sa résilience face aux cyberattaques. Et vous en tant qu’expert IT avez vous d’autres conseils et retours d’expériences pour se protéger des cyberattaques les plus courantes ?
N’hésitez pas à nous les partager en commentaires ou sur le forum Free-Work !
Sources et liens utiles :
À qui s ’adresser pour notifier les incidents de cybersécurité (CNIL)
Commentaire
Connectez-vous ou créez votre compte pour réagir à l’article.