Cybersécurité : Comment sécuriser votre réseau informatique d'entreprise

Dans cet article, nous vous présentons les bases pour sécuriser votre réseau informatique d'entreprise.

1. Protégez en amont vos courriels du phishing

La réception d'emails et l'ouverture de pièces jointes par les salariés de votre entreprise constitue l'une des principales vulnérabilités de votre système informatique. Il s'agit d'un point faible à ne pas négliger, car un employé non averti ou distrait peut tout à fait ouvrir une pièce jointe malveillante contenant un malware et infecter ainsi tout le réseau. Une telle erreur peut avoir des conséquences désastreuses, telle que le cryptage de tous vos fichiers sur les serveurs.

Les principales menaces par email

De façon générale, les tentatives d'infections, d'arnaques, et de corruption de vos fichiers par courriel sont quotidiennes et envoyées de façon automatisée par les pirates. À ces envois automatisés s'ajoute le social engineering « manuel » qui consiste en des tentatives de tromperie par téléphone ou par courriel afin de soutirer des informations critiques.

Voici une liste non exhaustive des dangers :

• Ransomware : Pièce jointe déployant un ransomware sur votre réseau lors de son ouverture, cryptant les fichiers de votre société sur les serveurs et sur les postes clients de façon à les rendre inutilisables, puis exigeant le paiement d'une rançon en échange du décryptage des fichiers

• Malware : Pièce jointe contenant un malware capable de détruire ou de voler des données

• Cheval de Troie : Pièce jointe contenant un trojan

• Usurpation d'identité : Des arnaqueurs peuvent se faire passer pour une entreprise potentiellement cliente et demander des devis pour du matériel avec un règlement sous un certain délai (ils ne paient pas à la commande)

• Fraude financière : Demande frauduleuse de règlement de factures ou de loyers pour récupérer les numéros des cartes bancaires de l'entreprise

Solutions de protection email

Il est donc très important de bien protéger les boîtes mail de vos collaborateurs, en filtrant les malwares, les ransomwares, et les tentatives de scam en amont. Plusieurs solutions existent sur le marché pour éliminer ces menaces avant même qu'elles n'arrivent sur les logiciels de messageries (par exemple Microsoft Outlook) des salariés de l'entreprise. Certaines solutions proposent par exemple un filtrage intelligent des courriels et une sauvegarde des emails pour Microsoft Office 365.

On peut citer les solutions suivantes : Vade Secure Cloud, Sophos Email, FortiMail, Cisco Secure Mail, Forcepoint Email Security, SonicWall Hosted Email Security, Trustwave MailMarshal...

2. Protégez vos sites Web des attaques

Que votre site Internet soit hébergé en interne sur votre réseau ou bien sur un serveur externe (chez un hébergeur ou sur le cloud), il est indispensable de bien le protéger des attaques. En effet, celles-ci sont incessantes, même si votre entreprise n'est pas spécialement ciblée, car des bots tentent quotidiennement d'attaquer des sites Web en scannant leurs failles et en tentant des attaques automatisées.

Types d'attaques courantes

Il se produit tous les jours des tentatives automatisées de :

• Injection SQL : injection de requêtes SQL dans l'URL d'un site Internet pour accéder à la base de données ou l'altérer

• Attaques par déni de service (DOS) : pour surcharger votre site Web et le rendre indisponible

• Attaques XSS : injection de contenu dans vos pages Web

• Tentatives de connexion : à l'interface d'administration des sites Web (typiquement en ajoutant /admin dans l’URL du site).

A partir du moment où l’adresse de votre site Internet peut être trouvée par les bots (par exemple par le biais des moteurs de recherche), vous êtes concernés par ce danger. Être une petite structure peu connue ne vous épargnera absolument pas de ces attaques massives et automatisées !

Web Application Firewall (WAF)

L'une des protections possibles consiste à mettre en place un Web Application Firewall (WAF). Le WAF protège votre site Web des attaques même si celui-ci présente des vulnérabilités. Par exemple, si le code source de votre site Web présente des vulnérabilités aux attaques par injection SQL, celles-ci seront quand même stoppées en amont par le WAF.

Le WAF peut être implémenté :

• En software : en l'installant sur le système d'exploitation de votre serveur

• En hardware : lorsqu'il est paramétré sur votre pare-feu physique

3. Centralisez votre solution antivirus

Outre la mise en place d’un WAF, il est également recommandé de protéger son serveur par un antivirus. Ce n’est pas toujours le cas chez certains hébergeurs ! Il y a parfois des surprises lorsqu’on effectue un scan des fichiers d’un serveur Web, avec par exemple des fichiers malveillants qui ont été injectés sur le site.

Afin d'être certain que tous les ordinateurs de votre entreprise soient protégés par un antivirus à jour, centralisez votre solution antivirus sur un serveur de déploiement. Vous pourrez ainsi monitorer le statut de tous les postes clients de votre entreprise : date de dernière mise à jour, dernières menaces éliminées, planification des scans automatisés, etc. De nombreuses solutions existent sur le marché : Trend Micro, Malwarebytes, Avast, etc.

Fonctionnalités essentielles d'un antivirus

Il est primordial que tous les postes (clients et serveurs) de votre réseau soient protégés et à jour. Typiquement un antivirus vous permettra de :

• Bloquer la navigation sur les sites Internet malveillants (phishing et scam)

• Analyser les pièces jointes reçues sur la messagerie

• Supprimer les infections par ransomware

• Bloquer les virus

• Supprimer les chevaux de Troie

• Être alerté si un mot de passe lié à vos adresses email a fuité

Protection des appareils mobiles

Vous devez protéger également tous les téléphones mobiles de votre société. En effet, si un collaborateur a par exemple installé son compte email pro sur son téléphone portable personnel, ce dernier doit impérativement être protégé par un antivirus afin de prévenir les risques de vol de données et de courriels professionnels.

Un antivirus pour téléphone mobile permettra entre autres de :

• Vérifier que les réseaux WIFI auxquels se connecte le portable sont sécurisés

• Assurer une confidentialité via une connexion VPN

• Bloquer les virus, ransomwares, et malwares

• Protéger l'accès aux caméras du mobile

4. Sauvegardez vos fichiers de façon à pouvoir les restaurer rapidement

Il est essentiel d'être en mesure de restaurer vos fichiers rapidement, afin de ne pas perdre plusieurs journées d'exploitation en cas de perte ou de cryptage de vos fichiers. Par exemple dans le cas d'une demande de rançon, pouvoir restaurer rapidement tous les fichiers de tous les postes vous épargnera bien des soucis.

L’une des méthodes possibles consiste tout simplement à utiliser la restauration des versions précédentes sous Windows (sur les postes clients et les serveurs). Mais il est nécessaire de l’avoir correctement paramétré sur tous les postes en sélectionner l’emplacement pour les copies des fichiers et en prévoyant suffisamment d’espace disque.

En plus des versions précédentes de Windows (qui ne font qu’une copie locale de vos fichiers), vous pouvez également prévoir une sauvegarde de vos fichiers sur le cloud afin de conserver une sauvegarde externalisée qui vous sera particulièrement précieuse dans le cas où vos machines et sauvegardes locales seraient inutilisables.

Vous pouvez programmer des sauvegardes locales sur un jeu de supports amovibles que vous devrez emporter hors des locaux de l’entreprise par sécurité. Ceci vous permettra de disposer en local d’une sauvegarde physique de vos fichiers.

Types de sauvegardes à mettre en place

1. Sauvegarde locale : Utilisation de la restauration des versions précédentes sous Windows (sur les postes clients et les serveurs)

2. Sauvegarde cloud : Prévoir une sauvegarde de vos fichiers sur le cloud afin de conserver une sauvegarde externalisée

3. Sauvegarde physique : Programmer des sauvegardes locales sur un jeu de supports amovibles que vous devrez emporter hors des locaux de l'entreprise par sécurité

5. Changez les paramètres par défaut de vos équipements réseaux

Sur tous vos appareils réseaux (pare-feu, box Internet, switch, caméras, etc.) personnalisez dans la mesure du possible :

• Le login

• L'adresse IP de l'appareil sur le réseau local

• Le mot de passe

Bonnes pratiques de sécurisation

• Ne laissez pas les identifiants par défaut

• Supprimez les comptes utilisateurs ne présentant pas d'utilité

• Limitez les droits des utilisateurs n'ayant pas besoin d'un accès administrateur complet

• Mettez à jour régulièrement le firmware de vos équipements réseaux

6. Mettez en place des procédures d'authentification MFA

Afin de sécuriser l'accès à vos serveurs et à votre messagerie, mettez en place des procédures de double authentification. Vous pouvez le faire entre autres pour Microsoft 365 et pour vos serveurs.

Fonctionnement de l'authentification multi-facteurs

L'authentification multi-facteurs (MFA) consiste à exiger de l'utilisateur qu'il s'authentifie par au moins deux moyens (deux facteurs) :

1. La procédure de login classique

2. La saisie d'un code à 6 chiffres généré par une application telle que Microsoft Authenticator

Cela vous permettra de protéger l'accès à vos machines et données, même si un pirate parvient à s'authentifier via la procédure de login classique. Néanmoins, la MFA n'est pas la panacée : il est impératif d'effectuer des mises à jour régulières de vos systèmes afin que les hackers ne puissent pas exploiter des failles connues, et de ne pas tomber dans les pièges du phishing.