De l'importance de la sécurité des terminaux en entreprise

Un point de terminaison (endpoint) est principalement un système ou un appareil d'utilisateur final qui est connecté à un réseau. Il peut s'agir d'un ordinateur physique ou virtuel, de terminaux de point de vente (POS), de guichets automatiques et même d'un kiosque publicitaire qui, s'il a accès à un réseau, est considéré comme faisant partie du réseau.

Les pirates informatiques avaient principalement l'habitude de franchir les technologies de périmètre telles que les pare-feu, pour accéder à un réseau ciblé. Depuis peu, le paysage des menaces a évolué avec ce que nous considérons comme un périmètre. Avec l'émergence du BYOD et du Cloud, les pirates ont commencé à cibler les points de terminaison vulnérables pour accéder au réseau de l'entreprise.

Étant donné que les points de terminaison devraient être le dernier obstacle pour la plupart des violations survenues, les adversaires sont conscients des nouvelles opportunités qu'ils offrent. Ainsi, les attaques de point de terminaison sont devenues beaucoup plus sophistiquées. 

La réponse logique serait donc une posture de sécurité furtive et stricte des terminaux qui permettra de réduire le risque global de compromission complète du réseau. Pour protéger les points de terminaison de votre entreprise et le réseau connecté y afférant, des éléments d'action clés vous ont été répertorié ci-dessous :

1. Exécuter un logiciel antivirus mis à jour et corrigez-le régulièrement

    Le logiciel antivirus est un ensemble de programmes/fonctionnalités conçus pour détecter, prévenir et supprimer les virus, les vers, les chevaux de Troie, les logiciels publicitaires, etc.

2. Patcher régulièrement le système d'exploitation et les logiciels installés

    Un correctif est un ensemble de modifications/mises à jour d'un programme informatique ou de ses données de prise en charge conçues pour mettre à jour, corriger ou améliorer le programme. Il est recommandé que les logiciels soient toujours à jour. Les vulnérabilités logicielles pouvant aider les pirates à posséder une infrastructure entière, la gestion des correctifs est extrêmement cruciale.

3. Utilisation d'une solution d'analyse dynamique avancée pour les fichiers inconnus (sandbox)

    Jusqu'à ces dernières années, l'analyse statique était suffisante pour limiter les menaces potentielles, mais aujourd'hui, il est difficile de déterminer l'intention d'un fichier/programme inconnu sans l'analyser dans un environnement simulé et voir ce qu'il fait.

4. Tout consigner (logs)

    Des attaques bien menées ne laissent pas beaucoup de trace, il faut donc s'assurer que les journaux sont activés dans tout l'environnement. Ceci facilitera l'analyse après l'attaque.

5. Avoir un contrôle adéquat de vos appareils d'entreprise 

    Il est crucial de déployer des solutions pour gérer et maintenir le contrôle sur les appareils de l'entreprise afin d'empêcher l'utilisation abusive des actifs par les employés et d'éviter que des appareils non approuvés se connectent au réseau de l'entreprise.

6. Chiffrer les disques durs sur tous les actifs de l'entreprise

    Le chiffrement de lecteur est un must dans la situation où, par exemple, si un ordinateur portable est volé, les pirates peuvent en apprendre beaucoup sur le réseau et les environnements d'entreprise, en particulier de nos jours où le contournement des mots de passe est possible et l'accès aux données est une victoire facile pour les adversaires.

7. Avoir une politique complète de contrôle des applications

    Les solutions de contrôle des applications aideront à traiter les fichiers/programmes qui ne sont pas identifiés comme une menace potentielle (ou un virus) par les outils des fournisseurs de sécurité, mais qui peuvent aider les pirates lorsqu'ils attaquent votre réseau. Par exemple, des outils tels que certutil, PowerShell et WMIC.

8. Disposer d'une capacité à isoler le problème

    Il est recommandé que les organisations aient la capacité d'isoler un point de terminaison du réseau. Ainsi, en cas d'attaque active, disposer d'outils pour prendre en charge l'isolation serait utile pour corriger les points de terminaison (virtuels/physiques) qui sont attaqués.

9. Capacité anti-ransomware

    Les ransomwares ont été l'une des principales préoccupations des RSSI ces dernières années. Ainsi, il est recommandé de déployer une solution de sécurité qui pourrait également détecter d'éventuels ransomwares (à l'aide de leurres) dans l'environnement et empêcher les attaques. 

10. Sensibilisation

    Le maillon le plus faible est l'humain dans toute organisation, chaque organisation doit avoir des formations de sensibilisation et de sécurité pour éduquer tous les employés. Étant donné que 91% des cyberattaques dans l'entreprise commencent généralement par un e-mail de phishing, les employés doivent savoir sur quoi cliquer.

 

Lieben AHOUANSOU
Analyste en cybersécurité