Sécurité Web

Zoom sur le nouveau kit d’exploitation Spelevo

Zoom sur le nouveau kit d’exploitation Spelevo

Les ransomwares Sodinokibi et Bourane peuvent être diffusés via le kit d’exploitation RIG, mais un autre kit d’exploitation a récemment rejoint les rangs, bien que sa charge utile soit des chevaux de Troie bancaires.

Les kits d’exploitation sont des programmes utilitaires sur les sites web qui mènent des attaques automatisées contre les visiteurs.

Lorsqu’un internaute atterrit sur une page hébergeant le kit d’exploitation, son navigateur ainsi que les applications basées sur son navigateur sont analysés pour détecter certaines vulnérabilités.

Le trafic vers la page d’atterrissage est généré par des redirections ou des publicités malveillantes. Dans la plupart des cas, le code du kit d’exploitation est également ajouté à des sites web à fort trafic compromis.

Les kits d’exploitation contiennent des exploits pour plusieurs vulnérabilités. Une seule suffit pour permettre le téléchargement et l’exécution d’une charge utile malveillante sur l’appareil de la victime sans qu’elle le sache.

Les kits d’exploitation étaient autrefois le mécanisme de diffusion de malwares de choix, mais ils sont tombés en désuétude à la suite d’une répression des forces de l’ordre.

La menace que représentent les kits d’exploitation n’a jamais disparu, mais le nombre d’attaques a baissé. Au cours des derniers mois, cependant, l’activité d’exploitation a atteint un niveau élevé.

Le nouveau kit d’exploitation s’appelle Spelevo et son but est de livrer deux chevaux de Troie bancaires – Dridex et IceD – via un site web interentreprises. Il a été découvert par un chercheur en sécurité nommé Kafeine en mars 2019.

Spelevo héberge actuellement plusieurs exploits pour Adobe Flash et un pour Internet Explorer. Si un utilisateur visite une page web hébergeant le kit d’exploitation, il ne saurait pas probablement qu’il se passe quelque chose de malveillant.

En effet, un onglet s’ouvrira et le navigateur semblerait passer par une série de redirections avant d’atterrir sur Google.com.

L’ensemble du processus – depuis l’atterrissage de l’utilisateur sur une page hébergeant le kit d’exploitation, jusqu’à l’identification et l’exploitation de la vulnérabilité et la redirection de l’utilisateur vers Google.com – ne prend que quelques secondes.

Le kit d’exploitation peut être hébergé sur un domaine appartenant à un attaquant, mais il est facile de l’ajouter à n’importe quel site web. Une fois qu’un site web est compromis, il suffit d’y intégrer quatre lignes de code.

Les kits d’exploitation sont un moyen efficace et automatisé de fournir une charge utile de malwares, mais ils dépendent des utilisateurs qui n’ont pas mis de correctifs sur leur navigateur et leurs plugins.

Si les navigateurs et les plugins sont maintenus à jour, il ne devrait y avoir aucune vulnérabilité que les pirates pourront exploiter.

Le kit d’exploitation Spelevo semble être utilisé dans une campagne ciblant les entreprises. Les équipes informatiques ont souvent du mal à maîtriser les correctifs et ont une mauvaise visibilité sur les périphériques qui se connectent à leur réseau.

Pourtant, au cas où un périphérique serait compromis, un attaquant peut utiliser divers outils pour lancer des kits d’exploitations et compromettre d’autres périphériques et serveurs.

La principale défense contre les kits d’exploitation est le patch, mais des protections supplémentaires sont nécessaires.

Vous devriez mettre en place un filtre web pour vous protéger contre les attaques pendant l’application des correctifs ; pour empêcher les attaques de réussir en utilisant des exploits de type « zero day » et pour empêcher les utilisateurs de visiter les sites web hébergeant des kits d’exploitation.

WebTitan est un filtre DNS qui permet de détecter et de bloquer les menaces en temps réel. De manière automatisée, il vous protège contre les kits d’exploitation et les attaques de phishing basées sur le web.

La base de données de WebTitan contient trois millions d’URL malveillantes qui sont bloquées lorsqu’un utilisateur tente de les visiter.

La base de données répertorie également plus de 300 000 sites web pouvant contenir des malwares et des ransomwares qui sont bloquées chaque jour pour protéger les utilisateurs finaux.

Si vous souhaitez améliorer la protection contre les menaces basées sur le web ; contrôler les contenus auxquels vos employés peuvent accéder et avoir une visibilité sur ce que vos employés font en ligne, WebTitan Cloud est la réponse.

Cette solution peut être mise en place en quelques minutes seulement.

Pour plus d’informations, contactez TitanHQ dès aujourd’hui.

Un scareware utilise Safari pour extorquer de l’argent

Un scareware utilise Safari pour extorquer de l’argent

Une faille dans le navigateur Safari mobile a été exploitée par des cybercriminels et utilisée pour extorquer de l’argent à des individus qui ont déjà utilisé leur appareil mobile pour regarder de la pornographie ou d’autres contenus illégaux.

Comment fonctionne le Scareware utilisé contre Safari ?

Le scareware empêche l’utilisateur du navigateur Safari d’accéder à Internet sur son appareil et charge une série de messages popup.

Un popup s’affiche pour informer l’utilisateur que Safari ne peut pas ouvrir la page demandée.

Cliquer sur « OK » pour fermer le message déclenche un autre avertissement popup.

Safari est alors verrouillé dans une boucle sans fin de messages popup qui ne peuvent pas être fermés.

Un message s’affiche en arrière-plan indiquant que l’appareil a été verrouillé, car il a été découvert que l’utilisateur avait consulté un contenu Web illégal.

Certains utilisateurs ont signalé des messages contenant des bannières d’Interpol, dont le but est de faire croire à l’utilisateur que la serrure a été placée sur son téléphone par les forces de l’ordre.

La seule façon de déverrouiller l’appareil, selon les messages, est de payer une amende.

L’un des domaines utilisés par les attaquants est police-pay.com.

Cependant, peu d’utilisateurs seraient probablement trompés en pensant que le verrouillage du navigateur avait été mis en place par un service de police, car l’amende devait être payée sous la forme de carte-cadeau iTunes.

D’autres messages ont menacé l’utilisateur d’une action de la police si le paiement n’est pas effectué.

Dans ce cas, les attaquants ont affirmé qu’ils enverront l’historique de navigation de l’utilisateur et les fichiers téléchargés à la Metropolitan Police.

Cette campagne de scareware sur Safari n’est pas nouvelle, bien que la vulnérabilité « zero day » qui a été exploitée pour afficher les messages l’était.

Les attaquants ont chargé du code sur un certain nombre de sites Web, exploitant ainsi une vulnérabilité dans la façon dont le navigateur Safari gère les fenêtres pop-up JavaScript. Le code visait les versions 10.2 et antérieures d’iOS.

La campagne scareware sur Safari a récemment été découverte par Lookout qui a transmis les détails du kit d’exploitation à Apple le mois dernier.

Apple vient de publier une mise à jour de son navigateur pour empêcher l’attaque de se produire.

Les utilisateurs peuvent donc protéger leurs appareils contre une telle menace en mettant à jour leurs navigateurs avec la version 10.3 d’iOS.

Quelle est la différence entre un scareware et un ransomware ?

Les scarewares sont différents des ransomwares, bien que les deux soient utilisés pour extorquer de l’argent.

Dans le cas d’un ransomware, l’accès à un dispositif est obtenu par l’attaquant et un malware de chiffrement de fichiers est téléchargé.

Ce malware verrouille alors les fichiers des utilisateurs à l’aide d’un chiffrement puissant.

Si une sauvegarde des fichiers chiffrés n’appartient pas à l’utilisateur, ce dernier risque de perdre des données, sauf s’il paie les attaquants pour qu’ils déchiffrent les fichiers verrouillés.

Les scarewares peuvent impliquer des malwares, bien que le plus souvent — comme ce fut le cas pour cette campagne sur Safari — il s’agit de codes malveillants sur des sites Web.

Le code est exécuté lorsqu’un utilisateur doté d’un navigateur vulnérable visite une page Web infectée.

L’idée derrière le scareware est d’effrayer l’utilisateur final pour qu’il paie la rançon demandée afin de déverrouiller son appareil.

Contrairement aux attaques par ransomwares, qui ne peuvent être déverrouillés sans une clé de déchiffrement, il est généralement possible de déverrouiller les navigateurs verrouillés par un scareware avec un peu de savoir-faire informatique.

Pour notre cas, le contrôle du téléphone pouvait être récupéré en vidant le cache du navigateur Safari.

Sécurité des emails et du web en 2020 : 5 menaces

Sécurité des emails et du web en 2020 : 5 menaces

Les cyberattaques n’ont cessé d’augmenter depuis l’apparition du COVID-19, et nous n’avons peut-être pas encore atteint le sommet.

Une étude a montré une augmentation de 30 % des cyberattaques entre les mois de juillet et août de cette année.

Le 18 août, 1 746 611 cyberattaques ont été enregistrées sur une période de 24 heures, ce qui constitue un record. Il est donc essentiel d’analyser les 5 principales menaces pour la sécurité du courrier électronique et du web en 2020.

Les menaces pour la sécurité des emails et du web en 2020

Même si nous voulons oublier l’année en cours, nous devons prendre le temps de l’analyser du point de vue de la cybersécurité afin de mieux nous protéger en 2021.

Voici un bref résumé des menaces qu’encourt en 2020 la sécurité des emails et du web.

Le travail à distance

Avant l’apparition de la pandémie, environ 5,2 % des employés américains travaillaient à distance à temps plein, selon le recensement américain.

Ce pourcentage était inférieur à celui de nombreuses entreprises en Europe, en particulier aux Pays-Bas, qui, pendant des années, ont mené le mouvement mondial en faveur du travail à distance avec un taux de 14,1 %.

Puis le COVID-19 a fait son apparition. Le PDG de Barclays a résumé la « nouvelle normalité » en une phrase : « Mettre 7 000 personnes dans un bâtiment peut être une chose du passé ».

Alors que les entreprises ont pu faire la transition vers des stratégies de travail à distance avec une relative facilité, la sécurisation du processus de travail lui-même est très difficile.

Les méthodes de sécurité conventionnelles se sont centrées sur une architecture de périmètre qui n’existe plus. Les employés travaillant à distance, isolés de l’informatique interne et de leurs pairs, sont beaucoup plus vulnérables aux cyberattaques.

La cyberguerre sera désormais menée sur mille fronts, plutôt que sur un seul périmètre.

Les attaques contre Microsoft Office 365

Microsoft Office 365 est rapidement devenu le cœur de beaucoup d’entreprises aujourd’hui.

Qu’il s’agisse de services de courrier électronique, d’applications Office ou de stockage de fichiers personnels, les entreprises et les écoles ont procédé à une migration active de leurs services essentiels vers le cloud O365.

En conséquence, les pirates informatiques en ont fait une cible privilégiée pour les attaques.

Ironiquement, les cybercriminels s’abonnent à ces mêmes services afin de découvrir ses vulnérabilités.

Qu’il s’agisse d’attaques à grande échelle de forçage d’identifiants ou d’attaques de phishing bien conçues (demandant aux utilisateurs de réinitialiser un mot de passe ou d’accéder à un OneDrive partagé), les utilisateurs de Microsoft Office 365 sont continuellement attaqués.

Pour contrer ces attaques, les entreprises doivent appliquer des mots de passe complexes ainsi qu’une authentification à plusieurs facteurs.

Les services informatiques internes doivent renforcer le système Microsoft Office 365 par une sécurité dédiée au courrier électronique, et surveiller régulièrement leurs environnements Microsoft Office 365 afin de pouvoir identifier les activités de connexion anormales.

Les attaques de ransomware

Les attaques de ransomwares sont un exemple classique de menaces qui est en constante évolution. Les organisations évoluent au fil du temps pour s’adapter aux nouveaux modes de travail afin de survivre et de s’épanouir.

Il en va de même pour les ransomwares.

Traditionnellement, le ransomware était considéré comme une mine enterrée.

Il reste là, à l’attente d’une malheureuse victime qui tombe dessus arbitrairement. Ceux qui ont déployé la mine n’ont aucun moyen de cibler de manière sélective ceux qui tomberont dessus.

C’était le cas des premiers logiciels de ransomwares. Ils étaient jetés comme un filet géant, sans savoir qui serait la malchanceuse victime.

En général, il était dispersé dans des attaques de phishing à grande échelle.

Dès qu’un utilisateur peu méfiant cliquait sur le lien séduisant mais malveillant, le ransomware était lancé et, en quelques minutes, il commençait à chiffrer tout ce qu’il trouvait.

Ceci étant fait, la demande de rançon est lancée. Les auteurs espéraient alors qu’un nombre suffisant de victimes paieraient.

Le ransomware est maintenant dans sa deuxième phase.

Le ransomware 2.0 est beaucoup plus complexe. Non seulement il est conçu pour échapper aux contrôles de sécurité traditionnels, mais il est souvent contrôlé manuellement.

Les attaques de ransomware 2.0 ne sont plus automatisées ni immédiates. Une fois qu’ils ont pris pied sur le réseau, les auteurs manœuvrent autour du réseau compromis à la recherche de données et d’autres ressources de grande valeur.

Après avoir localisé les données, les pirates les copient et les téléchargent vers un endroit sécurisé. C’est seulement à ce moment que le chiffrement commence.

Si la victime est en mesure de récupérer les données, les criminels menacent alors de vendre ou de divulguer les données volées.

Ils disposent ainsi de multiples moyens pour exiger de l’argent, ce qui augmente les chances de retour sur investissement.

Les attaques de phishing

Le phishing continue d’être une menace de premier plan, comme c’est le cas depuis des années. La raison en est simple : elle est facile à mettre en œuvre.

Aujourd’hui, presque tout le monde dépend du courrier électronique pour son travail, ce qui fait de presque tout le monde une cible d’une attaque de phishing.

Selon le rapport « 2020 Phishing Attack Landscape Report », les entreprises ont subi en moyenne 1 185 attaques par mois jusqu’à présent.

Le rapport comprend les résultats d’une enquête dans laquelle 38 % des personnes interrogées ont déclaré qu’un collègue de travail avait été victime d’une attaque au cours des 12 derniers mois.

Le phishing continue d’être le principal mécanisme de diffusion des ransomwares et des tentatives d’atteinte aux données sensibles des entreprises.

Il est impossible d’avoir une stratégie de cybersécurité efficace qui n’inclut pas un moyen efficace de lutter contre les attaques de phishing.

L’ingénierie sociale

L’ingénierie sociale concerne l’art de la tromperie. Il s’agit de manipuler l’essence de la nature humaine. Le phishing en est l’exemple classique, avec le spear phishing et le whaling qui font passer l’ingénierie sociale au niveau supérieur.

Les cybercriminels effectuent désormais des reconnaissances pendant des semaines ou des mois afin de déterminer les ficelles à tirer au sein d’une organisation. D’autres exemples d’ingénierie sociale sont les tailgating et le watering hole.

De toutes les menaces susmentionnées, la plus importante est, de loin, le fait que Microsoft Office365 est de plus en plus attaqué en raison de scénarios de travail à distance précipités et d’une sécurité inadéquate du courrier électronique et du web.

Pour plus d’informations sur l’amélioration de la protection de vos employés et votre entreprise contre les attaques de phishing et d’autres cybermenaces, appelez l’équipe de TitanHQ.

Vous pouvez également vous inscrire pour un essai gratuit et sans obligation de nos deux solutions de sécurité du courrier électronique et du web afin de les évaluer dans votre propre environnement.

Augmentation des kits d’exploitations sur les sites web pour adultes

Augmentation des kits d’exploitations sur les sites web pour adultes

Malwarebytes a récemment publié un rapport montrant qu’une campagne a été mené, en utilisant Fallout, le kit d’exploitation sur des sites web pour adultes, afin de distribuer Racoon Stealer.

Cette cyberattaque a été portée à la connaissance du réseau publicitaire et la publicité malveillante a été retirée. Cependant, elle a rapidement été remplacé par une autre publicité qui redirigeait les visiteurs vers un site hébergeant le kit d’exploitation Rig.

Une autre campagne a donc été découverte, réputée pour cibler divers réseaux de publicité pour adultes.

Les publicités malveillantes ont été diffusées par un large éventail de plateformes en ligne, dont l’une des plus populaires compte plus d’un milliard vues par mois.

L’acteur de la menace avait déposé des offres pour les utilisateurs d’Internet Explorer (IE) uniquement, car le kit d’exploitation comprenait un exploit pour une faille non corrigée de ce navigateur.

Les pirates exploitaient les failles CVE-2019-0752 et CVE-2018-15982. La première est une vulnérabilité d’IE, tandis que la seconde est une vulnérabilité d’Adobe Flash Player.

Lors de cette campagne, le malware Smoke Loader a été partagé avec Racoon Stealer et ZLoader.

Comment éviter les attaques par kits d’exploitations sur les sites web pour adultes

Pour qu’un kit d’exploitation soit efficace, un ordinateur doit avoir une faille non corrigée.

Le patch rapide est presque l’une des méthodes les plus efficaces utilisées pour éviter les attaques, mais il est également important de cesser d’utiliser Internet Explorer et Flash Player, car les vulnérabilités de ces applications sont fréquemment attaquées.

Ces campagnes peuvent également être simplement évitées en utilisant un filtre web.

À moins que votre entreprise ne travaille dans le secteur du divertissement pour adultes, l’accès à des contenus pour adultes sur des appareils de travail doit être empêché.

Un filtre web permet à votre entreprise de bloquer l’accès à tous les sites web pour adultes et à d’autres catégories de contenus web auxquels les employés ne devraient pas avoir accès lorsqu’ils sont au bureau.

Un filtre web basé dans le cloud, tel que WebTitan, est une option rentable qui vous permet de vous prémunir contre les attaques véhiculées par le web, telles que les kits d’exploitation et les téléchargements de malwares.

Il peut aussi aider votre entreprise à améliorer la productivité des employés en les empêchant de consulter des sites web qui n’ont aucun but professionnel.

Par ailleurs, les filtres web peuvent réduire la responsabilité légale en empêchant vos employés de participer à des activités illégales en ligne, telles que l’installation de fichiers qui violent les droits d’auteur.

Après la configuration de la solution (ce qui est un processus rapide), l’accès à des catégories spécifiques de sites web peut être bloqué d’un clic de souris et vos employés ne pourront plus consulter les sites web connus pour héberger des malwares, des kits de phishing et d’autres sites web malveillants potentiellement dangereux.

Pour plus de détails sur WebTitan et sur la protection de votre entreprise contre les attaques lancées via le web, contactez TitanHQ dès maintenant.

Checklist cybersécurité pour l’épidémie de CoviD-19

Checklist cybersécurité pour l’épidémie de CoviD-19

Actuellement, les entreprises sont confrontées à un défi sans précédent pour faire face aux nouvelles réalités engendrées par la récente épidémie de coronavirus.

Afin de garantir la sécurité de leurs employés, elles sont contraintes d’accroître leur vulnérabilité aux cyberattaques et aux malwares en raison des la nécessité du travail à distance.

Pour aggraver la situation, les pirates informatiques continuent d’opérer, en exploitant la peur et l’anxiété de nombreuses personnes pendant cette période difficile.

Selon CheckPoint Software, les enregistrements de domaines sur le thème du coronavirus sont 50 % plus susceptibles de provenir d’acteurs malveillants. Les chercheurs en cybersécurité ont identifié plusieurs fausses cartes permettant de suivre en temps réel l’évolution de l’épidémie COVID-19. Ces fausses cartes infectent les ordinateurs des gens avec des malwares lorsqu’elles sont ouvertes.

De la même manière que les responsables de la santé nous rappellent constamment de maintenir une bonne hygiène des mains pendant cette période critique, votre personnel informatique interne doit constamment communiquer l’importance de la cyberhygiène pour protéger les utilisateurs, les appareils et l’entreprise dans son ensemble.

Aujourd’hui, TitanHQ a décidé de créer une liste de mesures de cybersécurité de base qui doivent être appliquées régulièrement et communiquées aux employés.

Lignes directrices sur la sécurité des réseaux de travail à distance

Étant donné que de nombreux employés sont invités à (ou obligés de) travailler à domicile, souvent pour la première fois, il est important de les guider afin de les familiariser avec leur nouvelle réalité.

  • Sensibilisez autant que possible vos employés quant à l’importance de la protection de certains types d’informations de l’entreprise telles que les informations sur les clients et les employés, les secrets commerciaux, la propriété intellectuelle, etc.
    Un filtre de prévention des pertes de données (Data Loss Prevention – DLP) est un excellent outil pouvant être utilisé pour scanner les messages pour rechercher les contenus correspondant aux numéros de cartes de crédit et aux numéros de sécurité sociale.
    À noter que notre solution de sécurité de la messagerie électronique SpamTitan inclut le filtrage DLP.
  • Ne permettez pas le partage d’ordinateurs de travail et d’autres dispositifs. Les membres de la famille ne doivent pas avoir accès à un ordinateur professionnel.
  • Il faut également interdire aux employés de télécharger ou d’enregistrer des informations concernant l’entreprise sur des dispositifs informatiques ou de stockage personnels et dans leur cloud personnel. Vous pouvez créer des politiques via la politique de groupe ou les solutions de codage et de cryptographie (GDR) pour faire respecter cette interdiction.
  • Rappelez aux employés de déconnecter leur ordinateur lorsqu’ils ne l’utilisent pas à la maison. Cela peut sembler évident au travail, mais les utilisateurs peuvent se sentir plus détendus lorsqu’ils sont hors du bureau pendant une période prolongée. Ceci est particulièrement important lorsque vous travaillez dans des lieux publics.

La trilogie de la cybersécurité

La trilogie de la cybersécurité est simple :

  • Chiffrement
  • Protection
  • Mise à jour.

Cette trilogie est très importante lorsque de nombreux employés travaillent à distance.

  • Tous les appareils informatiques mobiles des entreprises devraient être équipés d’un système de chiffrement. Il est facile de faire cela pour les versions professionnelles et éducatives de Windows 10 en activant BitLocker.
    Vous pouvez créer des politiques pour appliquer BitLocker par le biais d’une politique de groupe ou d’une solution de gestion des données (Master Data Management – MDM). Assurez-vous que toutes les applications web et FTP utilisées pour transmettre des données sont chiffrées.
  • Vous devrez peut-être modifier les paramètres de protection des tous les points d’accès, des logiciels de sécurité et des utilitaires Windows Update pour vous assurer que tous les ordinateurs continuent à se mettre à jour quotidiennement lorsqu’ils sont hors site afin de les protéger.
  • Activez les pare-feu locaux pour tous les appareils qui fonctionneront hors site. Le pare-feu Windows Defender peut être activé et configuré par le biais de la politique de groupe ou de votre solution MDM.
  • Demandez aux employés d’informer le personnel approprié en cas de perte ou de vol de leur appareil d’entreprise. Documentez immédiatement l’événement au cas où les régulateurs seraient impliqués et utilisez les capacités de réinitialisation ou de réinitialisation à distance dont vous disposez.

Filtrage de la messagerie électronique et du web

Les solutions de filtrage des e-mails et du web sont essentielles pour protéger vos appareils qui fonctionneront désormais en dehors du périmètre sécurisé.

La plupart des solutions VPN d’entreprise sont dotées d’une passerelle qui force tout le trafic Internet local à passer par le VPN. Cette fonction doit être activée pour les entreprises qui ne disposent pas de capacités de filtrage du web hors site afin de garantir que tous les paquets web sont filtrés avant d’être transmis.

En raison de sa nature isolante, le travail à distance repose fortement sur les communications numériques et les outils de collaboration tels que Slack, Microsoft Teams et Facebook.

Normalement, les organisations bloquent certains de ces sites, alors assurez-vous qu’ils peuvent être ouverts temporairement et en toute sécurité pour assurer le bon fonctionnement de votre entreprise.

  • Il convient de restreindre le nombre de personnes autorisées à effectuer de nouveaux virements à l’étranger et de nouvelles demandes de paiement. Créer une politique qui exige que les employés confirment ces types de demandes pour en vérifier l’authenticité car l’interaction en face-à-face n’est pas possible.
  • Veillez également à fournir des rappels de sécurité quotidiens par e-mail ou par vidéoconférence, par exemple des démonstrations montrant comment inspecter les liens avant de cliquer dessus en vérifiant leur destination URL réelle.
  • Activez des politiques qui désactivent les macros pour tous les produits de la suite Office, sauf pour les utilisateurs spécifiques qui en ont besoin.
  • Formez les utilisateurs à être vigilants et sceptiques à l’égard de tout e-mail lié au coronavirus. Pourquoi ? Simplement parce que des e-mails de phishing concernant les remèdes contre le coronavirus, les remboursements d’impôt covid-19, les demandes de dons et les actualités concernant le coronavirus sont diffusées quotidiennement.

VPN (Virtual Private Network) et RDP (Remote Desktop Protocol)

Configurez les clients VPN (Virtual Private Network) pour qu’ils se connectent automatiquement lorsque l’ordinateur est allumé. Ne dépendez pas des utilisateurs pour se connecter manuellement. Les clients VPN ne doivent pas être installés sur une machine qui n’est pas correctement mise à jour ou protégée.

N’autorisez pas les connexions RDP (Remote Desktop Protocol) depuis l’extérieur. Ces types de connexion sont facilement sondés par les pirates qui peuvent alors lancer des attaques de bourrage d’identifiants. N’autorisez les connexions RDP que depuis l’intérieur du réseau. Cela signifie que toute personne travaillant hors site doit d’abord se connecter au réseau de l’entreprise par le biais d’une connexion VPN.

  • Veillez à créer une zone VPN distincte au sein de votre pare-feu et à mettre en place des politiques de sécurité qui protègent le trafic entrant et sortant.
  • Activez l’authentification multifacteur (AMF) pour vos connexions VPN afin de confirmer l’identité des employés.

Conclusion

Comme la pandémie oblige de nombreux employés à travailler à domicile, votre organisation peut rester productive et sécurisée.

Les travailleurs à distance ont donc besoin d’une communication claire de la part de votre service informatique sur les questions de soutien et de sécurité.

L’essentiel est de ne pas vous précipiter à fournir un accès à distance, au point de négliger la question de cybersécurité. Alors, restez en sécurité et en bonne santé.

Guide sur la mise en oeuvre du télétravail pendant la crise du coronavirus

Guide sur la mise en oeuvre du télétravail pendant la crise du coronavirus

Le télétravail, votre entreprise en parle probablement depuis des années et certains employés se sont renseignés à ce sujet.

De nombreuses entreprises avaient déjà mis en place des programmes de travail à domicile à petite échelle. Dans certains cas, il était tout simplement logique qu’une partie du personnel travaille à distance de façon permanente. Dans d’autres cas, la direction avait autorisé certains employés à travailler à domicile un jour par semaine dans le but d’améliorer le taux de rétention du personnel.

Mais tout a changé en l’espace d’un mois environ et il est peut-être temps de passer aux choses sérieuses. En cette période difficile, notamment à cause du coronavirus, les entreprises doivent encourager, voire forcer leurs employés à travailler à domicile afin de les protéger du virus.

La planification du télétravail est primordiale

Il est facile de se laisser prendre par l’hystérie du Coronavirus, comme en témoignent les rayons vides des épiceries. Comme les choses se vont si vite, votre capacité à vous préparer à un tel évènement est courte. Pourtant, il est impératif de bien planifier la mise en œuvre de votre télétravail et de vous assurer que vous le faites correctement.

Ne vous contentez pas d’envoyer vos utilisateurs travailler à domicile avec leur ordinateur portable en espérant qu’ils vont agir de manière responsable.

En réalité, ils devront sortir des limites de la sécurité de l’entreprise et risqueront de travailler dans des environnements non sécurisés. Il incombe donc aux services informatiques internes de les protéger ainsi que leurs appareils pendant une certaine période.

Il leur incombe également de mettre en quarantaine toute apparition de code malveillant en provenance de l’entreprise au cas où les appareils des utilisateurs seraient infectés pendant cette période.

Chaque compte utilisateur auquel est attribué un accès à distance ouvre un point de vulnérabilité supplémentaire. Votre rôle est donc de vérifier que toutes les applications et ressources nécessaires sont accessibles de l’extérieur.

Préparer des fiches de formation

Si vous êtes comme beaucoup d’entreprises qui ont repoussé leur formation à la cybersécurité pour « plus tard », eh bien, sachez que ce « plus tard » doit être aujourd’hui.

Vous devez envisager d’envoyer des rappels quotidiens par e-mail et de courtes vidéos qui enseignent aux employés comment détecter et traiter le phishing et d’autres formes d’attaques d’ingénierie sociale. Les utilisateurs doivent être dissuadés de se connecter à des réseaux publics ou ouverts.

Ceux qui travaillent à domicile devraient être encouragés à créer un réseau distinct chez eux pour isoler davantage leurs données s’ils savent comment faire.

Rappelez à vos employés de ne pas partager leur connexion avec d’autres personnes (même à leur famille) et de télécharger dès à présent tout fichier de travail sur leurs appareils distants ou leur stockage personnel, sauf autorisation de leurs supérieurs.

Créer des points de communication

Une fois que vos employés travaillent à leur domicile, sachez qu’ils vont être seuls là-bas.

Il faut donc leur donner un moyen de se rendre facilement sur place pour répondre à leurs préoccupations et à leurs questions en matière de sécurité. Envisagez également de créer un e-mail facile à retenir, tel que security@companyname.com ou cybersecurity@companyname.com, qu’ils pourront facilement contacter à tout moment en interne.

En outre, veillez à ce que le personnel informatique soit capable de surveiller les e-mails provenant des employés pendant les heures normales d’ouverture de votre bureau.

Cybermenaces liées aux coronavirus

Malheureusement, les cybermenaces liées aux coronavirus ont connu un énorme pic au cours des dernières semaines.

Ces attaques tournent principalement autour du phishing et des malwares et sont de plus en plus sophistiquées. Le fait est que vos employés doivent travailler dans des environnements non sécurisés. Il incombe donc aux services informatiques internes de les protéger et de sécuriser leurs appareils pendant cette période de séparation.

C’est là que nos deux technologies deviennent essentielles. Cette année, nous avons constaté une demande massive concernant notre couche de sécurité des e-mails, SpamTitan. Il s’agit d’une solution idéale pour protéger  les étudiants et le personnel des entreprises contre les nouvelles variantes d’attaques de phishing.

Si l’on ajoute à cela notre produit de sécurité DNS basé sur l’intelligence artificielle, WebTitan, on obtient une couche de protection pour tous les étudiants et votre personnel qui permettent de protéger leurs dispositifs connectés à Internet.

En tant que dirigeant d’entreprise, vous devriez donc déployer ces solutions de manière transparente pour vos employés distants.

Basée dans le cloud, SpamTitan Cloud se présente comme une solution puissante de sécurité de la messagerie électronique et protège votre entreprise contre toute une variété des menaces lancées via les e-mails. SpamTitan dispose de capacités avancées de détection des menaces qui lui permettent de reconnaître les menaces connues et les menaces de type « zero-day », le spear phishing, les malwares, les réseaux de botnets et les ransomwares.

SpamTitan  peut également s’assurer que les menaces n’atteignent jamais les boîtes de réception de vos employés. En outre, SpamTitan Cloud peut scanner les messages électroniques sortants pour détecter le spamming et la distribution de malwares, tout en améliorant la protection contre les menaces internes grâce à des balises pour les données sensibles.

WebTitan Cloud est une solution de filtrage DNS qui offre une protection contre les attaques basées sur le web pour les utilisateurs travaillant sur le réseau ou en dehors de votre entreprise. Comme il s’agit d’une solution basée dans le cloud, il n’est pas nécessaire d’acheminer le trafic vers le bureau pour appliquer les contrôles de filtrage.

Comme le filtre est basé sur le DNS, il est possible de fournir un accès Internet filtré à vos employés, sans aucune latence. Des contrôles peuvent facilement être appliqués pour restreindre l’accès à certains types de sites web afin d’empêcher le cyberslacking – c’est-à-dire l’utilisation accrue de l’internet sur les ordinateurs des entreprises par les employés pour leur usage personnel ou pour leur divertissement – et de bloquer les menaces de cybersécurité et les téléchargements de malwares.

Ces deux solutions sont faciles à mettre en œuvre. Elles ne nécessitent aucune intervention d’un responsable informatique au sein de votre entreprise,  et peuvent être configurées pour protéger vos employés en quelques minutes. Elles sont également disponibles en version d’essai gratuite si vous souhaitez évaluer les solutions avant de vous engager dans un achat.

Le cas des VPN

Il est fort probable que vos utilisateurs se connectent à votre réseau d’entreprise par le biais d’un réseau privé virtuel (VPN). De nombreuses entreprises ont réservé le VPN au personnel de support, de sorte que le nombre d’utilisateurs du VPN a été négligeable. Ce nombre va maintenant augmenter de manière spectaculaire. Voici donc quelques éléments que vous devez prendre en considération.

Assurez-vous que votre pare-feu comporte une zone séparée pour le VPN et sécurisée par des règles. Ces politiques devraient restreindre l’accès des appareils distants à des zones désignées. Assurez-vous que tout le trafic passant par cette zone est protégé avec le moteur antivirus du pare-feu et qu’il soit surveillé par son fournisseur d’accès interne.

Pour les ordinateurs portables qui sont inscrits à une solution de gestion de terminaux mobiles (MDM), vous pouvez installer un client VPN via le portail de gestion. Sinon, installez et testez la fiabilité de la solution avant le départ de vos employés.

Chiffrez et protégez toutes les données

Toute machine quittant le périmètre sécurisé de l’entreprise doit être munie d’un dispositif de chiffrement pour éviter la divulgation des données en cas de vol ou de perte de l’appareil. Pour les périphériques Windows 10 fonctionnant sous les éditions Pro, Enterprise et Éducation, cela se fait facilement en activant BitLocker.

Vous pouvez activer BitLocker par le biais de la politique de groupe lorsque le périphérique est encore en cours d’utilisation ou par une solution MDM à distance.

Vous pouvez également envisager une politique qui oblige vos employés à utiliser le stockage dans le cloud qui leur a été attribué, car celui-ci est chiffré et est en conséquence plus sûr.

Activer ou étendre l’AMF

Si vous n’avez pas encore choisi l’authentification multifacteur (AMF), c’est le moment de le faire.

La plupart des systèmes VPN de pare-feu ont des fonctionnalités d’AMF intégrées. Celles-ci devraient être activées pour les services dans le cloud comme Office 365.

Vous devriez même envisager l’AMF pour les conférences web afin d’éviter que les menaces ne tombent sur votre entreprise.

Sécurité de la messagerie électronique et des emails

La messagerie électronique a été le principal mode de diffusion des attaques de malwares et cela ne changera certainement pas.

Comme les gens sont particulièrement vulnérables aux attaques de phishing en temps de crise et d’inquiétude, les attaques concernant le coronavirus vont sans aucun doute augmenter.

Une solution de sécurité des e-mails basée dans le cloud, telle que SpamTitan, est le moyen le plus efficace de protéger les boîtes de réception de vos utilisateurs, qu’ils travaillent sur site ou hors site.

SpamTitan est une solution avancée de filtrage des e-mails qui fonctionne de manière transparente avec Office 365 pour améliorer les taux de détection du spam et pour bloquer davantage les menaces cybercriminelles. SpamTitan utilise des techniques prédictives pour bloquer les nouvelles variantes de malwares, le spear phishing et les attaques de type « zero day » afin d’empêcher ces menaces d’atteindre les boîtes de réception des utilisateurs finaux.

Le coronavirus ne vous exempte pas de l’obligation de conformité

Ce n’est pas parce que vos ordinateurs ont déménagé que vous êtes exemptés de l’obligation de conformité telle que stipulée par l’HIPAA ou le RGPD. Les solutions proposées par TitanHQ vous permettent de trouver un équilibre entre le maintien de la sécurité, la conformité et les exigences de la HIPAA, une loi qui établit la norme en matière de protection des données sensibles des patients.

Nous développons des solutions de sécurité web pour les établissements de santé du monde entier. C’est une excellente alternative si vous travaillez avec une équipe qui intervient dans des domaines clés. Elles vous permettent, par exemple, de vous conformer à la nécessité d’une sécurité robuste, aux exigences en matière de traitement des informations sensibles des patients et à d’autres normes et lois réglementaires.

Les organisations qui doivent se conformer aux règles de conformité sont toujours tenues de respecter les mesures minimales nécessaires lors du traitement des données personnelles des patients, des clients et des tiers. Vous pouvez consulter les sites web des autorités compétentes de votre pays pour obtenir des mises à jour et des conseils.

Enfin, TitanHQ vous recommande de rester vigilants et attentifs quant à la sécurité de vos données sensible pendant cette période difficile. Alors, restez en sécurité !