Avec la recrudescence des cyberattaques contre les systèmes d’informations d’organisations sensibles, telles que l’hôpital de Corbeil-Essonnes récemment, il devient évident que ces structures restent l’une des cibles privilégiées des hackers. Dès lors, les opérateurs d’importance vitales (OIV), considérés comme indispensables au bon fonctionnement de la France selon l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), doivent adapter leur cybersécurité afin de renforcer leur cyber-résilience.
Parmi les différentes obligations détaillées par l’Anssi, les OIV sont notamment tenus de protéger leurs systèmes d’information d’importance vitale (SIIV). Cette réglementation implique la mise en place de solutions de « détection des événements susceptibles d'affecter la sécurité de leurs systèmes d'information ». Bien qu’il n’existe pas de mesure de sécurité unique et optimale qui puisse couvrir tous les problèmes de cyberdéfense, quelques pratiques sont à mettre en place pour combler les lacunes au sein des stratégies de sécurité IT de ces organismes.
Déployer l’authentification multifacteur (MFA)
La première étape pour renforcer la cyber-hygiène des organismes critiques réside dans la mise en place d’une stratégie de prévention. Son objectif est de rendre l’infrastructure IT la plus résiliente possible aux cybermenaces. Au sein de cette politique, le déploiement d’outils, dits « résistants au phishing », ou aux attaques de type « Man-in-the-middle », est primordial. Cela inclut par exemple l’authentification multifacteur (MFA). Ces technologies permettront aux entreprises de protéger les identifiants de leurs utilisateurs, qui constituent une porte d’entrée pour les hackers. Selon une étude Verizon, plus de 80% des compromissions seraient ainsi dues à des identifiants volés : une fois que les cybercriminels disposent du nom d’utilisateur et du mot de passe d’un employé, ils peuvent s’infiltrer dans les réseaux de l’organisation, pour y extraire des données sensibles ou déployer des logiciels malveillants.
Par ailleurs, lorsqu’un compte est compromis, les hackers usurpent bien souvent l’identité de la victime initiale pour compromettre d’autres comptes. De cette manière, les cybercriminels peuvent accéder rapidement à des comptes dits « à privilèges », qui sont dotés des droits nécessaires pour apporter des modifications au système. Le déploiement d’une politique de sécurité globale, qui impose l’utilisation de MFA et informe les utilisateurs sur les cyber-risques liés aux pratiques d’authentification de base, telles que la combinaison mot de passe/identifiants, est ainsi essentielle. Les employés doivent également être associés à tout projet de sécurité et être dûment sensibilisés à la sécurité. Chacun doit prendre conscience qu’il peut lui-même être le maillon faible de la chaîne et devenir ainsi la cible privilégiée des hackers.
Aussi, la MFA permet de mettre un terme à ces pratiques criminelles, car elle oblige l’utilisateur à prouver son identité par le biais d’étapes de vérifications supplémentaires. Ces dernières viennent s’ajouter au simple mot de passe à usage unique (OTP) ou aux identifiants de base, qui ne suffisent plus à garantir une sécurité optimale des comptes. Cependant, toutes les solutions MFA ne se valent pas et une solution matérielle, telle qu’une clé de sécurité, est conseillée aux OIV car, contrairement aux autres méthodes, elle ne peut pas être interceptée par les cybercriminels. Les cybercriminels se retrouvent ainsi piégés et leurs tentatives de connexion demeurent infructueuses, même si certaines données d’accès ont été volées préalablement. En outre, l’authentification multifacteur est peu coûteuse et facile à déployer, ce qui favorise son adoption par les utilisateurs.
Cybersécurité : Miser sur une approche Zero Trust
Les activités numériques au sein des organisations critiques sont soumises, à juste titre, à des exigences de sécurité particulièrement strictes. Tous les utilisateurs qui disposent d’un accès aux ressources du système doivent ainsi être traités avec la même rigueur, car les dirigeants ne sont pas les seuls à avoir accès aux données sensibles. Les employés des services financiers ou des ressources humaines peuvent également accéder à ces informations, qui ne doivent en aucun cas tomber entre de mauvaises mains. Même les commerciaux, qui traitent presque exclusivement avec les clients de leur entreprise, accèdent régulièrement à un vaste trésor de données contenant d’innombrables informations personnelles. Les cybercriminels ayant compromis ces types de comptes risquent de se déplacer ensuite latéralement dans la structure IT de l’entreprise et d’obtenir ainsi des accès de plus en plus étendus.
Pour empêcher ces escalades de privilèges, il convient de favoriser une approche de type « zero trust ». Selon celle-ci, l’entreprise doit limiter la confiance accordée à ces utilisateurs. S’ils ne procèdent pas à l’authentification attendue,, alors leurs accès aux ressources critiques de l’organisation seront restreints. En complément d’une politique « zero trust », il est recommandé d’adopter le concept de « assume breach ». En appliquant cette stratégie, les responsables de la cybersécurité doivent constamment être préparés à faire face à une éventuelle compromission et entretenir leurs mesures de sécurité avec autant de diligence que si une cyberattaque était déjà en cours.
Bien que les responsables IT cherchent constamment la méthode miracle, il n’existe pas de solution unique et simple pour protéger les systèmes des OIV. Toutefois, pour obtenir un impact maximal avec peu d’efforts organisationnels et un coût moindre, une authentification multifacteur est le moyen le plus efficace de sécuriser les opérations critiques, tout en appliquant les recommandations de l’Anssi et en respectant le RGPD et toute autre réglementation spécifique à un secteur particulier. Par ailleurs, le déploiement d’une approche zero trust permettra de limiter les accès aux informations sensibles, et par extension, de réduire les vulnérabilités de l’organisation.