… et la PME se trouva fort dépourvue lorsque la bise (hackeuse) fut venue

Pratique
Par · 14/08/2015

Voici quelques mois, Microsoft Belgique et The Security Factory (société anversoise spécialisée en sécurité) rédigeaient conjointement un “security cookbook”, petit guide ou “livre de recettes” à destination des PME. Thème: comment implémenter une sécurité informatique de bonne facture sans devoir se transformer en spécialiste hyper-pointu.

L’idée n’est pas de couvrir la totalité des aspects qu’implique la sécurité informatique – ce serait d’ailleurs impossible – mais plutôt de donner quelques outils et bons conseils de base. Le “cookbook” se limite donc à 7 principes de base, avec, pour chacun d’eux, une explication sur les connaissances qu’elle requiert, sa traduction en chiffres (combien cela impliquera-t-il en termes d’investissement) et les avantages concrets de la bonne pratique.

Evidemment, ce guide n’est pas totalement neutre et moins encore universel. Les auteurs n’évitent en effet pas le travers de parler pour leur propre chapelle. Des conseils et mesures sont par exemple destinés spécifiquement à la mise en oeuvre et à la gestion de sécurité dans le cadre d’une implémentation Office 365/Azure. Mais sans doute y a-t-il moyen d’appliquer quelques préceptes à d’autres environnements et solutions…

Recettes pour PME

Pourquoi ce guide? Bruno Schröder, directeur technologique de Microsoft Belgique et co-auteur du Cookbook, s’en explique.

En 2014, Microsoft et la FEB avaient élaboré un guide consacré à la cybersécurité à destination des grandes entreprises. Ce guide présentait 15 mesures globales. A l’occasion d’un roadshow organisé cette année avec CBC Banque, nous avons voulu proposer un guide orienté sécurité qui soit plus spécifiquement destiné au monde des PME.”

En partant du constat que “les incidents de sécurité ont 80% de causes communes. La faiblesse principale demeure, encore et toujours, l’usage des mots de passe.” Constat? “Les compétences de base en la matière ne sont pas assez répandues.”

Deuxième cause de “faille”: le statut d’administrateur. “Il ne faut pas oublier que pour réussir dans leur entreprise, pour “craquer” un système, les hackers ont besoin de privilèges réservés aux administrateurs. Raison pour laquelle il est impératif de créer des comptes administrateur distinct, avec des droits, privilèges, mot de passe strictement distincts. Si un simple utilisateur a recours à un mort de passe administrateur pour des tâches qui ne relèvent que de son statut d’utilisateur, un hacker pourra se faire passer pour un administrateur…”

Des victimes trop consentantes

En quoi les PME sont-elles plus vulnérables?

“Du côté des grands comptes, une politique de mot de passe est souvent mise en oeuvre, avec des adaptations fréquentes, par exemple dans la longueur ou la composition des mots de passe. Du côté des PME, rares sont celles qui le font. Parce qu’elles ne disposent pas toujours d’informaticiens et parce que l’IT est considérée comme quelque chose qui doit être le plus simple possible…”

Le “cloud” est-il une alternative? Procure-t-il davantage de sécurité ou implique-t-il, au contraire, de nouveaux risques auxquels les PME doivent apprendre à faire face?

“L’un des atouts essentiels du cloud est en effet de garantir une utilisation plus sécurisée [des ressources informatiques] que ce qui est possible dans le cadre d’une PME normale. Toutefois, le point faible demeure l’identifiant de l’utilisateur. Il est en effet facile d’être considéré comme un utilisateur autorisé. Là encore, il est donc important de veiller à la gestion des mots de passe et des identifiants utilisateur.”

Bruno Schröder: “L’IT est désormais omniprésente. Idem pour les virus. Il faut dès lors proposer des conseils pratiques qui couvrent un maximum les besoins de tous. Et il faut que tous apprennent à se protéger. Utiliser un bon mot de passe devrait être aussi familier que le fait de regarder à gauche et à droite quand on traverse une rue…” Question de pallier aux risques quotidiens.

Mise en garde complémentaire de la part de Bruno Schröder: “dans le cadre d’un cloud public, il est très simple de deviner les mots de passe.” Autrement dit: gare à la simplicité.

Gare aussi aux nouvelles dimensions que peuvent prendre les attaques de hackers. Le cloud leur donne une nouvelle arme pour mener leurs attaques non ciblées. “Ils ne visent plus quelqu’un en particulier mais, par exemple via la technique des cryptolockers, visent tout simplement tout le monde…”

La parade? Chiffrer les données et prévoir des clés pour que les personnes ou destinataires autorisés puissent les déchiffrer. Solution que Bruno Schröder estime efficace “dans la mesure où les PME, en tant que telles, ne sont pas des cibles privilégiées des hackers.”

Le contenu du “cookbook”

Deux parties dans ce guide: 3 mesures à effet rapide, peu coûteuses, et 4 autres, impliquant davantage de moyens et de connaissances, davantage axées vers une “sécurité durable”.

Au rayon “mesures simples”, le guide passe en revue la manière de choisir un ou plusieurs mots de passe et aménager une politique de mots de passe au sein de la PME.

Autre mesure recommandée: le choix de comptes séparés pour les gestionnaires système qui, rappellent les auteurs, “sont aussi, à certains moments, de simples usagers”.

C’est tout l’enjeu du contrôle d’accès aux données “critiques”, du genre “bot for your eyes”. Les gestionnaires système étant, par principe, autorisés à reconfigurer des applications, le système d’exploitation, à modifier et gérer les comptes utilisateurs, une stricte ségrégation doit être opérée pour éviter que ceux qui portent deux casquettes puissent effectuer des opérations non autorisées. “Veillez dès lors à ce que les administrateurs système disposent d’un compte séparé qui soit exclusivement utilisé pour des tâches d’administration système.”

De même, dans le cadre de ces tâches, le guide recommande de prévoir des ordinateurs spécifiquement et exclusivement dédiés à ce rôle, qui ne puissent dès lors être utilisés par de simples utilisateurs.

A rebours, il faut veiller à ce que les administrateurs système ne puissent pas s’identifier sur les ordinateurs des utilisateurs lambda. Et cela passe par la définition de règles de groupe.

Dans la partie consacrée à des mesures plus complexes à mettre en oeuvre “mais débouchant sur des avantages importants à considérables en matière de sécurité”, les auteurs du guide expliquent quatre principes:

– déploiement de principes d’authentification reposant sur plusieurs données

– politique plus stricte en matière de mot de passe

– déploiement d’un serveur sécurisé ne servant qu’à la maintenance sécurisée de l’ensemble de l’environnement IT et des systèmes critiques

– formation des utilisateurs à la gestion des mots de passe.

Ce guide a été distribué aux participants d’un roadshow organisé par Microsoft en Wallonie.

L’initiative devrait être reconduite par Microsoft qui envisage de produire d’autres guides, couvrant d’autres thématiques liées à la sécurité IT, en collaboration avec des partenaires locaux. Exemple de thème qui pourrait être traité: comment réagir en cas d’attaque.