Il existe de nombreuses façons de télécharger des ransomwares sur les réseaux d’entreprises, mais le plus souvent, cela se fait via le protocole RDP (Remote Desktop Protocol), via les téléchargements par « drive-by » ou par le biais du courrier électronique.
Explications.
Attaques RDP
Les pirates peuvent faire des scans sur les ports RDP de votre entreprise pour découvrir ceux qui sont ouverts. Ceux-ci peuvent ensuite être attaqués par le biais des tactiques de la force brute, permettant ainsi aux pirates de deviner des mots de passe faibles.
Les cybercriminels ajoutent également à leur liste de mots de passe les informations provenant de violations de données qui se sont produites auparavant.
La meilleure façon de vous défendre contre cette méthode de distribution de ransomware est de désactiver complètement le RDP.
Cependant, ce protocole est souvent nécessaire pour la gestion à distance ou l’accès à distance à des bureaux virtuels. Si le RDP ne peut pas être désactivé, d’autres mesures doivent être prises pour le rendre aussi sûr que possible.
L’utilisation de mots de passe forts est importante pour bloquer les tentatives de détection des mots de passe par la force brute. Pour ce faire, vous devriez suivre les conseils de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) sur la création de mots de passe complexes.
Ceux-ci doivent être uniques et ne doivent pas être utilisés sur une autre plateforme en ligne. Une authentification à deux facteurs doit également être mise en place pour empêcher l’utilisation des identifiants de connexion volées.
Vous devez vous assurer que vous utilisez les dernières versions de logiciels pour vos serveurs et vos périphériques. Les connexions RDP aux ports d’écoute RDP ne doivent être autorisées que par le biais d’un VPN sécurisé et, idéalement, une passerelle RDP doit être utilisée.
En outre, vous devez limiter le nombre de personnes autorisées à se connecter à un bureau à distance. Enfin, vous devez utiliser la limitation de débit pour bloquer les utilisateurs après un certain nombre de tentatives infructueuses de saisie de mot de passe correct.
Téléchargements de ransomwares par « drive-by »
Les téléchargements par « drive-by » se produisent sur des sites web contrôlés par des pirates informatiques, qu’il s’agisse de leurs propres sites ou de sites non sécurisés ayant été compromis.
Des scripts malveillants ajoutés aux sites web pouvant télécharger des ransomwares et d’autres malwares peuvent infecter l’appareil d’un utilisateur lorsque celui-ci visite la page web malveillante.
Cela signifie que cette méthode d’attaque ne nécessite aucune interaction de l’utilisateur, hormis la visite du site web malveillant.
Mais l’infection peut également se produire via un clic sur un lien malveillant dans un e-mail, via une redirection ou par le biais d’une simple navigation sur le web.
Un filtre web tel que WebTitan est l’une des meilleures défenses contre les téléchargements de ransomwares par « drive-by ». WebTitan est une solution de filtrage DNS qui empêche les utilisateurs finaux de visiter des sites web connus pour être malveillants.
S’ils tentent de visiter un site web malveillant connu, ils seront dirigés vers une page de blocage locale, plutôt que de se connecter au site web.
WebTitan peut également être configuré pour bloquer les téléchargements de fichiers à risque, tels que les fichiers exécutables.
Attaques de ransomwares basées sur le courrier électronique
Souvent, les ransomwares peuvent aussi être livrés via le courrier électronique. Il peut s’agir d’un lien hypertexte intégré au message et qui pointe vers un site web où un téléchargement par « drive-by » peut avoir lieu. En outre, l’e-mail peut contenir des scripts malveillants dans des pièces jointes.
La protection contre les attaques par courrier électronique nécessite une approche approfondie, car aucune solution unique ne peut assurer une protection totale contre toutes les attaques lancées via les e-mails.
Une solution avancée de sécurité du courrier électronique telle que SpamTitan doit être mise en œuvre. SpamTitan scanne tous les courriels entrants et sortants et utilise diverses techniques comme l’apprentissage-machine pour identifier et bloquer les courriels potentiellement malveillants.
SpamTitan intègre deux moteurs antivirus qui détectent les variantes connues de malwares et une sandbox pour analyser les fichiers suspects à la recherche d’actions malveillantes. Le sandboxing vous protège contre les variantes de malwares et de ransomwares jamais vus auparavant.
La formation des utilisateurs finaux est également importante pour s’assurer qu’ils puissent reconnaître les courriels malveillants au cas où ils en recevraient un dans leurs boites de réception. Une solution de filtrage du web, quant à elle, permet de s’assurer que toute tentative de visite d’un site web malveillant via un lien hypertexte dans un courriel ou dans une pièce jointe est bloquée avant le téléchargement d’un ransomware.
Les ransomwares peuvent être utilisés en tant que charge utile secondaire
Plusieurs concepteurs de ransomwares utilisent des malwares de base pour livrer d’autres charges utiles. Les acteurs de la menace derrière le ransomware DoppelPaymer utilisaient par exemple le cheval de Troie bancaire Dridex pour livrer leurs charges utiles malveillantes, tandis que le gang derrière l’attaque de ransomware Ryuk utilisait le cheval de Troie TrickBot.
Même si ces infections de malwares de base sont découvertes et supprimées, les pirates informatiques peuvent toujours avoir accès à vos systèmes.
Ces infections sont souvent considérées comme relativement insignifiantes et lorsque de nouvelles variantes de malwares sont découvertes, les menaces qu’elles représentent ne sont pas correctement étudiées.
Pourtant, même si les chevaux de Troie peuvent être supprimés, d’autres malwares peuvent continuer à se propager latéralement avant de déployer leurs charges utiles de ransomwares.
Dans le cas de TrickBot, une fois qu’il est téléchargé, ce ransomware se met au travail en récoltant des données telles que des fichiers de mots de passe, des cookies et d’autres informations sensibles.
Suite à cela, un tunnel inversé (reverse shell) s’ouvre au ransomware Ryuk, lequel va effectuer une reconnaissance du réseau et tenter d’obtenir des identifiants d’administrateur. Il utilise ensuite PSExec et d’autres outils Windows pour déployer le ransomware sur tous les appareils connectés au réseau ciblé.
C’est exactement ce qui s’est passé lors de l’attaque contre la société d’e-Discovery, Epiq Global. L’infection initiale du TrickBot s’est produite en décembre 2019. L’accès a été fourni aux développeurs de Ryuk qui ont déployé le ransomware le 29 février 2020. Avant le déploiement de Ryuk, ils ont compromis les ordinateurs des 80 bureaux d’Epiq dans le monde.
TrickBot et les autres chevaux de Troie sont principalement livrés par le biais de courriels de phishing. SpamTitan vous aidera à vous protéger contre ces chevaux de Troie et bien d’autres téléchargeurs de ransomwares.
En matière de cybersécurité et de travail à domicile, les directeurs des systèmes d’information (DSI) et les équipes informatiques sont confrontés à un défi : comment garantir aux travailleurs à distance le même niveau de protection que celui dont ils bénéficient lorsqu’ils sont au bureau ?
Pour les aider, nous avons compilé un ensemble de bonnes pratiques en matière de cybersécurité pour les travailleurs à domicile. L’objectif est d’aider les équipes informatiques à se préparer à une augmentation massive du télétravail.
Les protections contre les attaques cybercriminelles pour les travailleurs distants ne seront pas aussi bonnes que celles dont bénéficient les travailleurs au bureau, lesquelles sont beaucoup plus faciles à mettre en œuvre et à maintenir. Les équipes informatiques devront donc enseigner aux télétravailleurs les meilleures pratiques en matière de cybersécurité pour le travail à distance.
Les appareils que ces derniers vont utiliser devront être configurés pour accéder aux applications et aux ressources de travail de l’entreprise, en toute sécurité. Avec autant d’employés qui doivent travailler à distance, cela constitue un défi majeur pour les DSI et les équipes informatiques.
La pandémie du coronavirus a obligé les entreprises à augmenter rapidement le nombre de télétravailleurs et cela augmente le risque d’erreurs.
En outre, les tests pourraient ne pas être aussi rigoureux que nécessaire étant donné la pression du temps que subissent les travailleurs du département informatique. Par ailleurs, ils risquent d’être épuisés en raison de l’auto-isolement des travailleurs.
La formation du personnel aux technologies de l’information est un domaine qui pourrait poser problème. De nombreux employés vont travailler à domicile pour la première fois et devront utiliser de nouvelles méthodes et applications qu’ils ne connaîtront pas. Le manque de familiarité peut facilement conduire à des erreurs.
Même si vos ressources sont limitées, vous devriez donc enseigner les meilleures pratiques en matière de cybersécurité aux travailleurs à domicile. Gardez à l’esprit que les télétravailleurs ne seront pas toujours conscients des mesures à prendre pour travailler en toute sécurité en dehors du bureau.
Mesures à prendre par les équipes informatiques pour améliorer la cybersécurité des travailleurs à domicile
Voici quelques-unes des principales mesures que les équipes informatiques doivent prendre pour améliorer la sécurité des employés qui doivent désormais travailler à domicile.
Veiller à ce que les VPN soient fournis et mis à jour
Les télétravailleurs ne devraient pas pouvoir accéder à leur environnement de travail s’ils n’utilisent pas un réseau privé virtuel (VPN).
Un VPN garantira que tout le trafic est chiffré et que les données ne peuvent pas être interceptées en transit.
Les VPN d’entreprise devraient être utilisés, car ils sont plus robustes et offrent une plus grande sécurité. Assurez-vous qu’il y a suffisamment de licences pour tous les travailleurs et que vous disposez d’une bande passante suffisante.
Vous devez également veiller à ce que le VPN fonctionne avec la dernière version du logiciel et que les dernières mises à jour soient appliquées, même si cela implique un certain temps d’arrêt pour effectuer les correctifs.
La raison est que les vulnérabilités du VPN font souvent l’objet d’une attaque cybercriminelle.
Mise en place de pare-feu pour les travailleurs à distance
Il est fort probable que vous disposiez déjà d’un pare-feu au bureau, mais les travailleurs à distance doivent également bénéficier d’une protection similaire.
Des pare-feu logiciels doivent être mis en place pour protéger les appareils des travailleurs à distance. Les routeurs domestiques peuvent avoir des pare-feu intégrés.
Demandez aux employés d’activer les pare-feu matériels s’ils en ont sur leur routeur domestique et assurez-vous que les mots de passe sont définis de manière à empêcher les personnes non autorisées de se connecter à leur réseau Wi-Fi domestique.
Appliquer la règle du moindre privilège
Les travailleurs à distance introduisent de nouveaux risques, et comme une grande partie de vos collaborateurs doivent désormais faire du télétravail, ce risque devient considérable.
En effet, les télétravailleurs sont la cible de cybercriminels et d’attaques par le web et via le courrier électronique. En cas d’infection par un malware ou de vol de justificatifs d’identité, les dommages peuvent être limités si vous veillez à ce que les travailleurs n’aient accès qu’aux ressources absolument nécessaires à l’exercice de leurs fonctions.
Si possible, limitez l’accès aux systèmes et aux données sensibles de votre entreprise.
S’assurer que des mots de passe forts sont définis
Pour vous protéger contre les attaques par la force brute, assurez-vous que les bonnes pratiques en matière de mots de passe sont respectées.
Utiliser un gestionnaire de mots de passe pour aider vos employés à créer des mots de passe complexes et à s’en souvenir.
Mettre en œuvre l’authentification multifactorielle
L’authentification multifactorielle doit être mise en œuvre sur toutes les applications auxquelles peuvent accéder les travailleurs à distance.
Cette mesure garantira que si les identifiants de connexion sont compromis, l’accès au système ne sera pas accordé à moins qu’un deuxième facteur d’authentification ne soit fourni par vos employés.
S’assurer que les dispositifs des travailleurs à distance sont équipés d’un logiciel antivirus
Un logiciel antivirus doit être installé sur tous les appareils autorisés à se connecter aux réseaux de travail de votre organisation et les solutions choisies doivent être configurées pour se mettre à jour automatiquement.
Permettre les mises à jour automatiques de Windows
Le travail à distance rend plus difficiles la surveillance des appareils des utilisateurs distants et l’application des mises à jour.
Comme solution, vous devriez vous assurer que Windows est configuré pour se mettre à jour automatiquement en dehors des heures de bureau.
Demandez aux travailleurs de laisser leurs appareils allumés pour permettre les mises à jour.
Utiliser des solutions de sauvegarde en ligne (Cloud-Based Backup)
Pour prévenir la perte accidentelle de données et pour se protéger contre les attaques de ransomwares, toutes les données doivent être sauvegardées.
Si vous utilisez des sauvegardes dans le cloud, les données pourront être restaurées à partir du service de sauvegarde en cas de perte de données.
Enseigner les meilleures pratiques en matière de cybersécurité aux travailleurs à domicile
Tous les télétravailleurs doivent savoir comment accéder à leur environnement de travail en toute sécurité lorsqu’ils travaillent en dehors du bureau.
Renforcez les meilleures pratiques informatiques auprès des travailleurs à domicile, offrez une formation sur l’utilisation des VPN et sur les choses à faire et à ne pas faire en matière de cybersécurité lorsqu’ils travaillent à distance et expliquez-leur les procédures de signalement des problèmes.
Définir les procédures à suivre pour le traitement d’un incident de sécurité
Les membres de l’équipe informatique sont également susceptibles de travailler à distance, il est donc essentiel que chacun soit conscient de son rôle et de ses responsabilités.
En cas d’incident de sécurité, les travailleurs doivent disposer de procédures claires à suivre pour garantir une résolution rapide et efficace de l’incident.
Mettre en place un filtre web
Un filtre web vous protégera contre les attaques de malwares lancées via le web en bloquant l’accès aux sites web malveillants.
Il permet également d’empêcher le téléchargement de malwares et l’installation des systèmes informatiques parallèles. Envisagez également d’appliquer des contrôles de contenu pour limiter les activités des employés sur les appareils appartenant à l’entreprise.
À noter que les attaques de malware par « drive-by » ont augmenté et le nombre de domaines malveillants enregistrés ces dernières semaines a grimpé en flèche.
Utiliser des canaux de communication chiffrés
Lorsque vous devez communiquer avec des télétravailleurs, assurez-vous de disposer de canaux de communication sécurisés à utiliser pour que les informations sensibles ne puissent être interceptées.
Utilisez le chiffrement pour le courrier électronique et les communications par SMS sécurisées, comme Telegram ou WhatsApp.
S’assurer que les contrôles de sécurité de la messagerie électronique sont suffisants
L’une des meilleures pratiques de cybersécurité les plus importantes pour les travailleurs à domicile est de faire très attention en ouvrant les e-mails.
Le phishing et les attaques de malwares via la messagerie électronique ont considérablement augmenté pendant la pandémie du coronavirus.
Veillez donc à ce qu’une formation soit dispensée pour aider les employés à identifier les e-mails de phishing et les autres menaces diffusées via la messagerie électronique.
Il est indispensable de renforcer la sécurité de la messagerie électronique pour garantir le blocage d’un plus grand nombre de menaces. Si vous utilisez Office 365, l’ajout d’une solution tierce de sécurisation des e-mails vous offrira une bien meilleure protection.
Il est peu probable qu’Exchange Online Protection (EOP) vous offre le niveau de protection dont vous avez besoin contre le phishing et les menaces de malwares du type « zero-day ».
Mais vous devriez également envisager de mettre en place une solution tierce de sécurisation des e-mails, dotée de fonctions de protection contre la perte de données, pour vous protéger contre les menaces internes.
Surveiller les accès non autorisés
Si un grand nombre de dispositifs se connectent à votre environnement de travail, cela permet aux cybercriminels de cacher beaucoup plus facilement leurs activités malveillantes.
Assurez-vous donc que la surveillance est renforcée, en mettant en place un système de détection des intrusions capable d’identifier les comportements anormaux des utilisateurs.
Pour plus d’informations sur le renforcement de la sécurité de la messagerie électronique et du filtrage du web, et pour protéger les travailleurs à distance pendant la pandémie du coronavirus, contactez TitanHQ dès aujourd’hui.
Une campagne utilisant des alertes sur les certificats de sécurité périmés pour tromper les internautes peu méfiants et les inciter à télécharger des malwares a été détectée. Les alertes ont été diffusées sur plusieurs sites web légitimes, mais qui ont été compromis par des cybercriminels.
Lorsque les visiteurs arrivent sur les sites web compromis, ils reçoivent un message d’erreur qui leur indique que le certificat de sécurité numérique a expiré et qu’ils doivent en télécharger un mis à jour. Le téléchargement et l’exécution du fichier entraînent l’installation d’un malware sur l’appareil de l’utilisateur.
Cette tactique de distribution de malwares n’est pas nouvelle. Les cybercriminels utilisent cette méthode depuis des années pour tromper les utilisateurs et les amener à télécharger des malwares sous le guide d’un navigateur ou d’une mise à jour Flash, mais c’est la première fois que des messages d’erreur de certificats de sécurité de sites web expirés sont utilisés pour la distribution de malwares.
Le message d’erreur NET::ERR_CERT_OUT_OF_DATE est transmis par une iframe qui est superposée au site web à l’aide d’un script jquery.js. L’avertissement correspond à la taille de la page d’origine. C’est donc tout ce que le visiteur voit lorsqu’il arrive sur le site web.
S’il veut voir le contenu, il est invité à mettre à jour son certificat de sécurité pour permettre la connexion au site web. Le contenu du message est chargé à partir d’une ressource web tierce, mais l’URL affichée est celle du site web légitime sur lequel l’utilisateur a navigué.
La manière dont les acteurs de la menace ont compromis les sites web n’est pas claire. Souvent, les sites web sont compromis en utilisant des tactiques de force brute pour deviner des mots de passe faibles. Il est également possible d’utiliser des kits d’exploitation pour cibler les vulnérabilités qui n’ont pas été corrigées.
D’ailleurs, on ne sait pas comment les gens sont redirigés vers les sites web malveillants. En général, le trafic est envoyé vers les sites web compromis par des escroqueries de phishing ou des publicités web malveillantes (malvertising), mais les visiteurs pourraient simplement atterrir sur ces sites en faisant une simple recherche sur Google.
Étant donné que les alertes apparaissent sur des sites web légitimes, les utilisateurs peuvent penser que les messages sont authentiques. L’un des sites web compromis est le site officiel d’un zoo. Kaspersky Lab a également identifié un autre site appartenant à un concessionnaire de pièces automobiles légitime. La campagne est active depuis au moins deux mois.
La protection contre cette méthode de diffusion de malwares nécessite une combinaison de solutions de sécurité. Un logiciel anti-virus à jour est indispensable pour garantir que tout fichier téléchargé sur un ordinateur professionnel est analysé dans le but de détecter les malwares.
Une solution de filtrage du web telle que WebTitan assurera également une protection en empêchant les utilisateurs de visiter des sites web compromis qui sont utilisés pour distribuer des malwares et en bloquant également les téléchargements les fichiers susceptibles d’être malveillants.
Contactez TitanHQ dès aujourd’hui pour en savoir plus sur le filtrage du web et sur la manière dont vous pouvez protéger votre entreprise contre les attaques lancées via le web.
De nombreuses campagnes de phishing ont été détectées, utilisant le nouveau coronavirus comme appât. Récemment, une nouvelle variante de ransomware appelée CoronaVirus a été détectée et analysée par MalwareHunterTeam.
Le ransomware CoronaVirus est distribué par un site web malveillant et il se fait passer pour un logiciel appelé WiseCleaner. Cet outil peut être utilisé pour nettoyer le registre et supprimer les fichiers dupliqués ainsi que les fichiers indésirables des ordinateurs.
WiseCleaner est un outil logiciel légitime, mais le site web utilisé dans cette campagne est un faux.
On ignore actuellement comment le trafic vers le site web a été généré. Les campagnes de ce type utilisent généralement de la publicité malveillante diffusée via les réseaux publicitaires et qui redirige les utilisateurs vers des sites web malveillants. Ces publicités sont affichées sur de nombreux sites web légitimes qui utilisent des réseaux publicitaires tiers pour générer des revenus supplémentaires.
Si un internaute essaie de télécharger WiseCleaner à partir du site web malveillant (le site web authentique étant wisecleaner.com), un fichier nommé WSHSetup.exe sera téléchargé. L’exécution de ce fichier téléchargera deux charges utiles malveillantes : le ransomware CoronaVirus et le cheval de Troie Kpot.
Le cheval de Troie Kpot est un voleur d’informations qui dérobe une variété d’informations d’identification sur différentes sortes d’applications comme Skype, Steam, Discord, VPN, la messagerie électronique ainsi que les mots de passe FTP.
Le cheval de Troie Kpot vole des informations telles que les références bancaires qui ont été enregistrées dans les navigateurs et peut également voler des porte-clés cryptographiques.
Le fichier exécutable tente également de télécharger d’autres fichiers, bien qu’actuellement seuls deux fichiers aient été téléchargés. En effet, les pirates semblaient vouloir télécharger un cocktail de malwares.
Lorsque CoronaVirus est téléchargé et exécuté, il chiffre une série de fichiers différents. Les fichiers chiffrés sont renommés à l’aide de l’adresse électronique de l’attaquant, mais l’extension de fichier d’origine est conservée. Une note de rançon est déposée dans chaque dossier où les fichiers sont chiffrés.
Il est intéressant de noter que la demande de rançon est très faible. Les attaquants ne font payer que 0,08 Bitcoin, soit environ 512 euros, pour fournir les clés permettant de déchiffrer les fichiers. Cela dit, il semble donc que la « rançon » n’est pas l’objectif principal de la campagne. Il s’agit plutôt de distribuer le cheval de Troie Kpot, d’autres charges utiles et des malwares potentiellement malveillants. Le ransomware CoronaVirus n’est peut-être qu’une diversion.
Il n’existe actuellement aucune solution de déchiffrement connu pour le ransomware CoronaVirus et il n’est pas certain que les attaquants puissent – ou veuillent – fournir des clés valides permettant de récupérer des fichiers chiffrés.
Les entreprises peuvent se protéger contre de telles attaques en veillant à sauvegarder régulièrement tous leurs fichiers et à stocker les sauvegardes hors ligne. Une solution de filtrage web devrait également être mise en place pour empêcher le téléchargement de fichiers malveillants.
Les filtres web peuvent être configurés de manière à empêcher les employés de visiter des sites web malveillants et à bloquer les téléchargements de types de fichiers à risque, comme les fichiers .exe.
Pour plus d’informations sur le filtrage web et pour savoir comment WebTitan – la solution de filtrage web de TitanHQ – peut vous aider à protéger votre entreprise des cyberattaques, appelez l’équipe commerciale de TitanHQ dès aujourd’hui.
Actuellement, les entreprises sont confrontées à un défi sans précédent pour faire face aux nouvelles réalités engendrées par la récente épidémie de coronavirus.
Afin de garantir la sécurité de leurs employés, elles sont contraintes d’accroître leur vulnérabilité aux cyberattaques et aux malwares en raison des la nécessité du travail à distance.
Pour aggraver la situation, les pirates informatiques continuent d’opérer, en exploitant la peur et l’anxiété de nombreuses personnes pendant cette période difficile.
Selon CheckPoint Software, les enregistrements de domaines sur le thème du coronavirus sont 50 % plus susceptibles de provenir d’acteurs malveillants. Les chercheurs en cybersécurité ont identifié plusieurs fausses cartes permettant de suivre en temps réel l’évolution de l’épidémie COVID-19. Ces fausses cartes infectent les ordinateurs des gens avec des malwares lorsqu’elles sont ouvertes.
De la même manière que les responsables de la santé nous rappellent constamment de maintenir une bonne hygiène des mains pendant cette période critique, votre personnel informatique interne doit constamment communiquer l’importance de la cyberhygiène pour protéger les utilisateurs, les appareils et l’entreprise dans son ensemble.
Aujourd’hui, TitanHQ a décidé de créer une liste de mesures de cybersécurité de base qui doivent être appliquées régulièrement et communiquées aux employés.
Lignes directrices sur la sécurité des réseaux de travail à distance
Étant donné que de nombreux employés sont invités à (ou obligés de) travailler à domicile, souvent pour la première fois, il est important de les guider afin de les familiariser avec leur nouvelle réalité.
Sensibilisez autant que possible vos employés quant à l’importance de la protection de certains types d’informations de l’entreprise telles que les informations sur les clients et les employés, les secrets commerciaux, la propriété intellectuelle, etc.
Un filtre de prévention des pertes de données (Data Loss Prevention – DLP) est un excellent outil pouvant être utilisé pour scanner les messages pour rechercher les contenus correspondant aux numéros de cartes de crédit et aux numéros de sécurité sociale.
À noter que notre solution de sécurité de la messagerie électronique SpamTitan inclut le filtrage DLP.
Ne permettez pas le partage d’ordinateurs de travail et d’autres dispositifs. Les membres de la famille ne doivent pas avoir accès à un ordinateur professionnel.
Il faut également interdire aux employés de télécharger ou d’enregistrer des informations concernant l’entreprise sur des dispositifs informatiques ou de stockage personnels et dans leur cloud personnel. Vous pouvez créer des politiques via la politique de groupe ou les solutions de codage et de cryptographie (GDR) pour faire respecter cette interdiction.
Rappelez aux employés de déconnecter leur ordinateur lorsqu’ils ne l’utilisent pas à la maison. Cela peut sembler évident au travail, mais les utilisateurs peuvent se sentir plus détendus lorsqu’ils sont hors du bureau pendant une période prolongée. Ceci est particulièrement important lorsque vous travaillez dans des lieux publics.
La trilogie de la cybersécurité
La trilogie de la cybersécurité est simple :
Chiffrement
Protection
Mise à jour.
Cette trilogie est très importante lorsque de nombreux employés travaillent à distance.
Tous les appareils informatiques mobiles des entreprises devraient être équipés d’un système de chiffrement. Il est facile de faire cela pour les versions professionnelles et éducatives de Windows 10 en activant BitLocker.
Vous pouvez créer des politiques pour appliquer BitLocker par le biais d’une politique de groupe ou d’une solution de gestion des données (Master Data Management – MDM). Assurez-vous que toutes les applications web et FTP utilisées pour transmettre des données sont chiffrées.
Vous devrez peut-être modifier les paramètres de protection des tous les points d’accès, des logiciels de sécurité et des utilitaires Windows Update pour vous assurer que tous les ordinateurs continuent à se mettre à jour quotidiennement lorsqu’ils sont hors site afin de les protéger.
Activez les pare-feu locaux pour tous les appareils qui fonctionneront hors site. Le pare-feu Windows Defender peut être activé et configuré par le biais de la politique de groupe ou de votre solution MDM.
Demandez aux employés d’informer le personnel approprié en cas de perte ou de vol de leur appareil d’entreprise. Documentez immédiatement l’événement au cas où les régulateurs seraient impliqués et utilisez les capacités de réinitialisation ou de réinitialisation à distance dont vous disposez.
Filtrage de la messagerie électronique et du web
Les solutions de filtrage des e-mails et du web sont essentielles pour protéger vos appareils qui fonctionneront désormais en dehors du périmètre sécurisé.
La plupart des solutions VPN d’entreprise sont dotées d’une passerelle qui force tout le trafic Internet local à passer par le VPN. Cette fonction doit être activée pour les entreprises qui ne disposent pas de capacités de filtrage du web hors site afin de garantir que tous les paquets web sont filtrés avant d’être transmis.
En raison de sa nature isolante, le travail à distance repose fortement sur les communications numériques et les outils de collaboration tels que Slack, Microsoft Teams et Facebook.
Normalement, les organisations bloquent certains de ces sites, alors assurez-vous qu’ils peuvent être ouverts temporairement et en toute sécurité pour assurer le bon fonctionnement de votre entreprise.
Il convient de restreindre le nombre de personnes autorisées à effectuer de nouveaux virements à l’étranger et de nouvelles demandes de paiement. Créer une politique qui exige que les employés confirment ces types de demandes pour en vérifier l’authenticité car l’interaction en face-à-face n’est pas possible.
Veillez également à fournir des rappels de sécurité quotidiens par e-mail ou par vidéoconférence, par exemple des démonstrations montrant comment inspecter les liens avant de cliquer dessus en vérifiant leur destination URL réelle.
Activez des politiques qui désactivent les macros pour tous les produits de la suite Office, sauf pour les utilisateurs spécifiques qui en ont besoin.
Formez les utilisateurs à être vigilants et sceptiques à l’égard de tout e-mail lié au coronavirus. Pourquoi ? Simplement parce que des e-mails de phishing concernant les remèdes contre le coronavirus, les remboursements d’impôt covid-19, les demandes de dons et les actualités concernant le coronavirus sont diffusées quotidiennement.
VPN (Virtual Private Network) et RDP (Remote Desktop Protocol)
Configurez les clients VPN (Virtual Private Network) pour qu’ils se connectent automatiquement lorsque l’ordinateur est allumé. Ne dépendez pas des utilisateurs pour se connecter manuellement. Les clients VPN ne doivent pas être installés sur une machine qui n’est pas correctement mise à jour ou protégée.
N’autorisez pas les connexions RDP (Remote Desktop Protocol) depuis l’extérieur. Ces types de connexion sont facilement sondés par les pirates qui peuvent alors lancer des attaques de bourrage d’identifiants. N’autorisez les connexions RDP que depuis l’intérieur du réseau. Cela signifie que toute personne travaillant hors site doit d’abord se connecter au réseau de l’entreprise par le biais d’une connexion VPN.
Veillez à créer une zone VPN distincte au sein de votre pare-feu et à mettre en place des politiques de sécurité qui protègent le trafic entrant et sortant.
Activez l’authentification multifacteur (AMF) pour vos connexions VPN afin de confirmer l’identité des employés.
Conclusion
Comme la pandémie oblige de nombreux employés à travailler à domicile, votre organisation peut rester productive et sécurisée.
Les travailleurs à distance ont donc besoin d’une communication claire de la part de votre service informatique sur les questions de soutien et de sécurité.
L’essentiel est de ne pas vous précipiter à fournir un accès à distance, au point de négliger la question de cybersécurité. Alors, restez en sécurité et en bonne santé.
