Sélectionner une page

Comme Jean, suivez-vous le parfait parcours sécurité pour votre entreprise ?

Comme Jean, suivez-vous le parfait parcours sécurité pour votre entreprise ?

Bien conscient que 80 % des attaques informatiques visent les petites et moyennes entreprises, Jean, patron d’une PME florissante, sous-traitante d’un grand constructeur français, a décidé de prendre la sécurité de son SI au sérieux. Si les données que son entreprise détient ne sont pas d’une haute confidentialité, Jean sait aussi qu’il est en contact régulier avec des entreprises de plus grande envergure et que c’est bien par ses serveurs et ses ordinateurs que les hackers pourraient tenter de les atteindre. Par ailleurs, personne n’est à l’abri d’un blocage partiel ou total du système dû à une négligence. L’heure est donc venue de prendre les choses en main.

 

États des lieux sécurité: peut mieux faire

Voilà bien ce que redoute Jean. En tant que sous-traitant, la confiance de ses clients est le socle de ses affaires. Aussi n’a-t-il pas l’intention de faire de son entreprise une passerelle à exploits et autres ransomwares. Mais avec plusieurs sites distants répartis sur tout le territoire, il y a du pain sur la planche. De plus il faudra certainement arbitrer sur le budget à y consacrer, d’autant que l’équipe IT n’est pas très importante. Jusqu’ici le besoin de compétences supplémentaires ne s’était pas fait sentir. Après tout, ni l’informatique ni la sécurité informatique ne sont le business de Jean.

Après avoir contrôlé avec ses collaborateurs les solutions en place, Jean découvre d’abord que l’ensemble de ses sites n’a pas bénéficié de la même attention que le siège en terme de sécurité. Les uns n’ont tout simplement aucun pare-feu. D’autres profitent d’un pare-feu dont la configuration laisse franchement à désirer.  Les données sont échangées avec le siège depuis une box adsl non sécurisée. Les canaux wifi ne sont tout bonnement pas pris en compte en dehors de celui de la box. Le constat est sans appel : le moindre de ces sites est une porte d’entrée idéale pour pirates un peu attentifs.

De retour au siège, Jean poursuit sa descente aux enfers. La maison mère est, elle, dotée d’une suite globale antivirus, complétée d’un anti-ransomware mais dont plusieurs fonctionnalités ont été désactivées au fil du temps.

« C’est monnaie courante dans les PME et les ETI » souligne Lise Delage, senior sales engineer chez Sophos. « Pour traiter avec une solution classique tous les faux positifs, tous les types de menaces, procéder aux analyses, cela demande du temps. Or dans les entreprises de cette taille, c’est souvent la même personne qui installe un serveur, une imprimante et s’occupe de toute la sécurité informatique. » Et Sébastien Lacorre, channel account executive chez Sophos, de compléter « certaines fonctionnalités des antivirus classiques se montrent franchement délicates à administrer. Les entreprises préfèrent autant les désactiver ».

 

Prise de conscience et intransigeance

Mécontent, Jean ordonne la réactivation des systèmes de prévention d’intrusion (fonctionnalités HIPS), le contrôle des périphériques et la gestion des exclusions et demande un effort particulier sur le suivi des faux positifs. Quitte à former sa petite équipe sur l’ensemble de ces questions. 

Bien conseillé, il s’assure également que ses pare-feu communiquent parfaitement avec l’ensemble de ses solutions end-point.

De fil en aiguille, Jean prend également conscience que les utilisateurs de l’entreprise, lui y compris, n’ont peut-être pas les bons réflexes sécurité. Il engage alors une véritable politique de sensibilisation, de la complexité des mots de passe à la prudence à avoir dans la manipulation des mails et la navigation internet. Jean profite en outre du mouvement d’ensemble pour s’assurer que les ordinateurs portables restent bien sécurisés même en dehors du périmètre de l’entreprise.

Reste la partie sandboxing, un élément complémentaire de la protection anti-malware qui ne doit pas être négligé non plus. Fort de conseils utiles, Jean envisage cette option qui lui permet de soumettre à l’analyse le comportement des fichiers inconnus qui transitent par les serveurs de l’entreprise. C’est une façon automatique et simple d’aider les collaborateurs à déjouer les nombreuses tentatives d’intrusion comme les mails malicieux de facturation par exemple.

 

L’attention portée aux nouveaux types d’attaques

Le travail effectué est d’ores et déjà payant. Mais Jean n’a peut-être pas réalisé qu’il disposait d’une suite de sécurité dite traditionnelle. Celle-ci est très adaptée pour sa vitesse de détection vis-à-vis notamment d’anciens virus, que l’on voit revenir, et efficace dans le contrôle des périphériques, des applications et plus généralement pour la réduction de la surface d’attaque. Il a donc tout à fait raison de la conserver et de veiller à ses mises à jour.

En revanche, elle ne peut rien face à de nouvelles attaques, à la fois plus virulentes et plus ciblées, comme les vulnérabilités 0-day qui ne peuvent être reconnues par la base de signatures ou les exploits. Lise Delage et Sébastien Lacorre rappellent à ce titre que « ces vulnérabilités n’existaient pas la veille, disparaîtront à coup sûr le lendemain, et contre lesquelles aucun correctif n’est connu. Seuls les antivirus Next-Gen permettent de s’en prémunir par le biais notamment d’IA » . Or, comme dans une majorité de PME, mais également nombre d’ETI et de grands comptes, Jean n’a pas adapté sa sécurité à l’extrême créativité des pirates.

Pour l’ensemble de sa nouvelle politique sécurité, Jean s’est appuyé sur les résultats d’une analyse de risques préalable. En effet, il doit encore arbitrer sur le budget à consacrer à ses nouvelles solutions de sécurité au regard de plusieurs paramètres, comme le coût de la perte en cas d’attaques réussies, leur degré de récurrence ou encore les multiples impacts concomitants (image, confiance, amende RGPD…). A ce titre, une suite Next-Gen devra participer au retour sur investissement ou pourrait à défaut, être privilégiée sur une sandbox.

 

La simplicité : le mot d’ordre face aux malwares, aux exploits et aux vulnérabilités

Une chose est sûre, la sécurité de l’entreprise doit être simple à mettre en œuvre pour être efficace.

« Cela est et reste le mot d’ordre chez Sophos. Nous le constatons régulièrement chez nos clients, seules les solutions qui n’exigent pas des équipes de lourdes configurations sont pleinement exploitées et protègent efficacement l’entreprise » souligne Sébastien Lacorre. Jean l’a bien compris en constatant dans son propre système la désactivation des fonctionnalités les plus complexes. Pour être maîtrisée et utilisée à 100 % de ses capacités, une suite de sécurité doit donc être simple, à tous les niveaux. C’est pourquoi aujourd’hui certaines suites sont pré-configurées et administrables via des consoles cloud intuitives, sans efforts de configuration requis. « Extrêmement performantes, elles garantissent à l’entreprise que l’ensemble des fonctionnalités est activé par défaut. Dès lors, toute modification d’un paramètre est un choix actif et conscient de l’entreprise. Il ne peut plus y avoir d’oubli », le confirme Lise Delage pour Sophos.

Cette simplicité d’usage répond aussi aux problématiques RH des PME, dont les équipes IT réduites ne peuvent consacrer leurs journées à l’administration de la sécurité. Elles disposent dorénavant de tableaux de bord dynamiques et de reporting leur permettant de comprendre rapidement le comportement d’un virus sur le système et les mesures correctives à apporter.

Peut-être est-il temps pour Jean d’opter pour une solution globale qui facilitera le quotidien de son staff IT et qu’il pourra faire évoluer librement. L’essentiel reste pour lui de protéger son activité en maintenant une politique de sécurité aussi ingénieuse et évolutive que peuvent l’être les pirates informatiques.

About The Author

Nuno Ventura

Responsable BU sécurité

Sebastien Lacorre

Channel Account Executive chez Sophos

Recevez par mail les articles et actualités de Au coeur des InfrasJe m'inscris à la Newsletter