Hygiène informatique en entreprise : les 5 points de vigilance

hygiene informatique en entreprise

Qui peut encore sérieusement douter des vertus d’une bonne hygiène informatique en entreprise ? L’actualité quotidienne regorge d’exemples de cyberattaques qui n’épargnent plus personne : de la PME locale aux grandes entreprises multinationales en passant les collectivités territoriales et les hôpitaux sans oublier évidemment les particuliers… Ces attaques entraînent des pertes massives de données sensibles (notamment dans les secteurs de la santé et de la banque), le détournement de millions d’euros et des préjudices importants dans le fonctionnement des organisations concernées (quelques semaines de travail perdues a minima).

Les modes d’attaque sont bien connus des spécialistes cyber : intrusion virtuelle ou physique, phishing, ransomware, usurpation d’identité… La plupart du temps, ces épisodes devraient être évités. Petites causes, grands effets : selon une étude réalisée par Verizon, 85% des violations de la cybersécurité sont le résultat d’erreurs humaines. Nous listons dans cet article les 5 principaux points de vigilance à prendre en considération en matière d’hygiène informatique en entreprise, que l’on soit utilisateur métier ou responsable d’une DSI.

Sommaire

Point de vigilance #1 : le mot de passe
Point de vigilance #2 : la mise à jour des applicatifs, des serveurs et des logiciels
Point de vigilance #3 : présence et obsolescence des protocoles
Point de vigilance #4 : les antivirus et les EDR
Point de vigilance #5 : le cloisonnement des réseaux
Conclusion

Point de vigilance #1 en hygiène informatique : le mot de passe

C’est assurément la vulnérabilité majeure : le mot de passe est à la fois la porte d’entrée préférée des cybercriminels et le B.A.BA en matière d’hygiène informatique. Lorsqu’ils sont cassés ou « crackés », les mots de passe des utilisateurs ou pire encore ceux des administrateurs de réseaux, permettent de fissurer simplement la sécurité d’une entreprise. Cela offre un large spectre d’attaques possibles qui, de plus, ne seront pas détectées tout de suite : prise de contrôle progressive d’un poste, d’un serveur ou du réseau, connaissance accrue d’un réseau d’entreprise et de ses failles, usurpations d’identité, menaces de ransomwares, attaques au président, vols/reventes de données stratégiques …

Dans son témoignage récent, Grégoire Aubry DSI d’Alsymex et RSSI d’Alcen, nous raconte comment une arnaque au président a été à l’origine de la fuite de fortes sommes d’argent au Mexique : « On demande à une intérimaire du service comptable de modifier en vitesse le RIB de l’un de nos fournisseurs afin de réaliser des opérations financières avec des montants très élevés. Les fonds sont transférés au Mexique, nous ne parviendrons jamais à remettre la main dessus. »  Cet épisode est à l’origine de la prise de conscience d’Alcen et notamment de l’adoption de la solution de cybersécurité et de conformité Make IT Safe.

Le talon d’Achille se situe plus particulièrement dans la construction du mot de passe. Plusieurs raisons à cela :

– les mots de passe sont prédictibles, car ils sont construits trop simplement (les classiques : « bonjour », « motdepasse », « azerty », « 1234 »…), en réutilisant le nom de la société ou encore en incluant le code postal du siège social de l’entreprise (exemple : « nom de la société123 » ou « nom de la société code postal »).

– certains mots de passe sont parfois utilisés simultanément pour accéder à différents comptes ou serveurs voire pour accéder à la fois à une messagerie professionnelle et à une autre personnelle. Autant dire que c’est l’effet domino garanti avec des conséquences risquées pour une entreprise. Afin de renouveler ses mots de passe – y compris ceux composés de chiffres, de lettres et de caractères interdits – il ne suffit pas de rajouter une virgule ou un point d’interrogation, car ils restent prédictibles.

De plus, ces mots de passe sont d’une complexité telle que l’utilisateur finit par les noter quelque part. Il est donc conseillé de construire ses mots de passe à partir de longues phrases intelligibles et facilement mémorisables comme par exemple : « lemercre10cestlejourdesenfantsdesministresetdugardedessceaux ».  

D’autres mots de passe vulnérables sont ceux présents par défaut sur le matériel constructeur, (routeur, box, imprimante…) ou des solutions logicielles installées sur les postes et fournies avec un mot de passe comme « admin ». Généralement, le mot de passe pour un modèle de périphérique ou de matériel est accessible depuis la documentation. Il est donc prioritaire de les modifier.

Point de vigilance #2 en hygiène informatique : la mise à jour des applicatifs, des serveurs et des logiciels

Des failles plus ou moins critiques apparaissent régulièrement au niveau des applications, des serveurs et des logiciels utilisés par les entreprises. Ces failles révèlent des vulnérabilités susceptibles de compromettre durablement un réseau et de mettre en péril l’économie d’une entreprise en cas d’exploitation par des personnes malintentionnées.

La nature de la technologie est telle que l’on trouve très facilement des vulnérabilités qui sont médiatisées et qui doivent être obligatoirement corrigées par des patches. Les failles continueront logiquement de proliférer, mais il est important de réaliser une veille technologique et d’installer des mises à jour régulièrement. Il est nécessaire de faire preuve de réactivité face aux très grosses failles en qualifiant leur gravité et en priorisant la remédiation des failles les plus problématiques.

La question de ces mises à jour concerne l’environnement Windows bien sûr, mais également toutes les technologies présentes sur les serveurs Apache, TomCat, WebSphere ainsi que les applicatifs permettant d’héberger des applications sur un réseau et de partager des fichiers.

Point de vigilance #3 en hygiène informatique : présence et obsolescence des protocoles

Autre point de cybersécurité important à surveiller : la détection et le remplacement des protocoles de sécurité obsolètes. Il est fréquent de retrouver, sur les réseaux des entreprises, d’anciens protocoles de chiffrement qui sont toujours actifs. L’absence d’historique concernant les protocoles est très problématique, puisqu’il arrive que personne n’ait conscience de l’activité d’un protocole désormais à risques.

Ces protocoles obsolètes constituent des failles béantes dont pourraient profiter des cybercriminels, à commencer par le protocole TLS, l’une des solutions répandues pour la protection des flux de réseau. Les protocoles TLS obsolètes – ou bien ne répondant pas aux normes actuelles – sont susceptibles d’exposer les organisations à des risques d’exposition et de décryptage de données sensibles.

La menace est plus bien plus importante lorsque le chiffrement TLS est totalement absent, comme par exemple dans les interfaces d’administration en http. Et, malheureusement, ce cas de figure est fréquent. Cela rend les systèmes d’information particulièrement vulnérables aux menaces cyber. Les flux d’informations ne sont pas sécurisés et circulent en clair : identifiants, mots de passe et données. Il est primordial de s’assurer que tout est chiffré selon les règles de l’art.

Point de vigilance #4 en hygiène informatique : les antivirus et les EDR

hygiene informatique en entreprise antivirus et edr

L’antivirus est un logiciel déployé sur chaque ordinateur du réseau d’entreprise. Profondément ancré dans le noyau d’un système informatique, l’antivirus est omnipotent : il détecte toutes les menaces et dispose des droits pour répondre efficacement à la présence d’une menace. Les fichiers qui transitent sur le disque dur interne sont passés au crible de l’antivirus. Ce dernier est capable de détecter un fichier malveillant grâce à la reconnaissance par signature, qui identifie une menace présente dans sa base de données.

Mais, au moyen de méthodes plus ou moins complexes, il est possible de modifier la signature d’un antivirus : ce dernier n’est alors plus reconnu par le système qui l’héberge. Ces manipulations neutralisent les antivirus. D’ailleurs, l’éditeur Symantec estime que l’efficacité des antivirus a baissé aujourd’hui à 49%.

En complément de l’antivirus et pour sécuriser un ordinateur, de nouvelles formes de protection informatique ont été conçues, à commencer par les EDR (Endpoint Detection and Response) : ce sont des logiciels proactifs, qui ont pour mission de détecter les comportements malveillants (programmes, fichiers ou actions) agissant sur un ordinateur. Ces EDR ont la capacité de mettre en échec les attaques ‘zero-day’, attaques inconnues des éditeurs qui n’ont pas de réponse à offrir puisqu’il n’existe pas de correctif disponible au moment de l’attaque. De plus, les EDR garde en mémoire dans un journal les comportements malveillants, journal qui peut être exploité en cas d’incident de sécurité pour retrouver la source d’un piratage. C’est un gain de temps énorme dans l’investigation d’un incident par rapport aux serveurs non équipés d’EDR.

5. Point de vigilance #5 en hygiène informatique : le cloisonnement des réseaux

Le cloisonnement des réseaux constitue également l’un des points à privilégier en matière de cybersécurité. Il est fréquent, au sein des entreprises, de pouvoir se connecter à l’ensemble du réseau depuis une salle de réunion par exemple. C’est dangereux, surtout lorsque l’on accueille des personnes extérieures à l’entreprise. Les administrateurs doivent posséder leurs propres réseaux, avec leurs propres accès aux interfaces d’administration. Il existe des zones d’accès à la donnée très sensible : tout le monde ne devrait pas être capable de joindre les bases de données d’applications de paie par exemple.

Il convient donc de réaliser la segmentation et le cloisonnement du réseau d’entreprise afin de créer des sas hermétiques. De sorte qu’en cas de présence d’un logiciel malveillant sur le réseau, il ne puisse pas se propager sur l’ensemble du parc informatique. La propagation de ce virus sera beaucoup moins dommageable et plus facilement détectable s’il est présent dans une partie bien circonscrite du réseau et déclenchée par un utilisateur non-administrateur.

Conclusion

Vous l’aurez compris : dans le contexte actuel d’augmentation permanente du risque cyber, l’hygiène informatique en entreprise est l’affaire de tout le monde et donc de chacun. Bien évidemment, certains publics – DSI, RSSI, DPO – sont a priori plus sensibles que d’autres à la cybersécurité, encore faut-il que l’entreprise dispose de ces compétences en interne. Nous sommes tous et toutes des utilisateurs métiers, l’on soit comptable, DRH, DAF, personnel d’accueil ou responsable de clientèle. Et donc, un devoir de vigilance s’impose, qui passe plus particulièrement par la surveillance de ces 5 points :

  • le mot de passe
  • la mise à jour des applicatifs, des serveurs et des logiciels
  • la présence et l’obsolescence des protocoles
  • les antivirus et les EDR
  • le cloisonnement des réseaux

Le facteur humain constitue la pierre angulaire de toute cyberstratégie réussie et en même temps le maillon faible ciblé par les cybercriminels. Comme l’expliquait récemment Ludovic de Carcouët, CEO de Digitemis, l’écosystème des entreprises est désormais constitué de cercles de confiance et de méfiance, à la fois internes et externes, qui inclut les tiers (fournisseurs, filiales, sous-traitants…). Le meilleur moyen de garder un niveau de cybersécurité satisfaisant reste en premier lieu de réaliser une démarche de sensibilisation régulière et convaincante auprès de tous les acteurs de l’entreprise, et ce afin de les responsabiliser.

>> En complément de cet article, retrouvez le guide d’hygiène informatique publié par l’ANSSI

Je partage

Mathieu Boisseau

Après des expériences passionnantes au sein de Digitaleo (Rennes) et d'Articque (Tours), j'ai rejoint Digitemis afin de créer des contenus experts optimisés SEO et dédiés à la cybersécurité.

Derniers articles

miniature article interet legitime europe

La notion d’intérêt légitime au cœur d’un débat européen

En 2020, l’Autorité de Protection néerlandaise a sanctionné une société de diffusion de matchs de football pour violation des règles de protection des données personnelles. Cette décision a provoqué un débat européen autour de la notion d’intérêt légitime. Alice Picard, notre juriste consultante Protection des Données, revient dans le détail sur les ressorts de ce débat.

Lire l'article
edito digitemis par ludovic de carcouet avril 2022

L’édito de Digitemis, par Ludovic de Carcouët (juin 2022)

Cyber humanum est : l’édito de Ludovic de Carcouët, CEO de Digitemis (juin 2022). L’édition 2022 du Forum International de la Cybersécurité (FIC) qui s’est déroulée à Lille la semaine dernière a montré que le facteur humain demeure le socle d’une politique cyber efficace et ambitieuse. L’humain reste le meilleur garant de la solidité et de la continuité d’un écosystème grâce à son savoir-faire, à sa réflexion, à ses compétences, à sa capacité d‘innovation et de réponse aux problématiques technologiques qui se posent. Il est le plus à même de réguler son rapport à la machine et de doser son usage.

Lire l'article