Nouvelle étude : étude sur le coût mondial des rançongiciels. Découvrez ce que les breaches vous coûtent.
Télécharger le rapport
Blogue
/
Cyber-résilience

Les enseignements de MOVEit : comment les organisations peuvent renforcer leur résilience

Raghu Nandakumara
,
Directeur principal du marketing des solutions industrielles
June 14, 2023
23 min. de lecture

Au cours de la semaine dernière, l'actualité a été dominée par les détails de Violation de données MOVEit. L'attaque de masse a permis à des cybercriminels d'exploiter une vulnérabilité du Application de transfert de fichiers MOVEit — un outil utilisé par des milliers d'organisations à travers le monde pour partager des fichiers en toute sécurité avec des collègues ou des tiers. Ou c'est ce qu'ils ont pensé... alors, qu'est-ce qui s'est mal passé ?

Que savons-nous ?

L'attaque est survenue parce que des acteurs malveillants ont pu exploiter une nouvelle vulnérabilité inconnue dans l'outil de transfert de fichiers MOVEit, connue sous le nom de Attaque « jour zéro ». Cela a conduit à la compromission d'une instance de MOVEit utilisée par Zellis, un fournisseur de services informatiques pour les services de paie et des ressources humaines, ainsi que de données de ses clients, notamment la BBC, Boots, Aer Lingus et Ofcom. Et l'attaque ne se limite pas au Royaume-Uni : des organisations au Canada et aux États-Unis ont également été confirmées comme ayant été touchées.

Le Gang de ransomware Clop a revendiqué la responsabilité de l'attaque et menace de publier toutes les données volées aux organisations concernées d'ici le 14 juin, à moins que les entreprises ne versent une rançon. Mais en plus d'être découragé par les forces de l'ordre du monde entier, le paiement de rançons ne fait qu'engendrer de nouvelles attaques. Alors, que peuvent et devraient faire les organisations pour se protéger contre des attaques similaires à l'avenir ?

Que pouvons-nous apprendre ?

L'attaque est un bon rappel des risques posés à la fois par chaîne d'approvisionnement et chaîne d'approvisionnement logicielle. Les organisations accordent souvent une trop grande confiance implicite à leurs fournisseurs lorsqu'il s'agit de protéger et de stocker des données sensibles lorsqu'elles externalisent des systèmes ou des fonctions tels que la paie. Mais si le fournisseur est attaqué, les organisations peuvent rapidement se retrouver indirectement compromises.

Dans ce cas, Zellis avait clairement développé une dépendance à l'égard du logiciel MOVEit, un logiciel présentant un risque élevé en raison de sa connexion à Internet. Cependant, des attaques de type « jour zéro » peuvent être introduites à tout moment par le biais d'une mise à jour logicielle, et elles sont souvent acceptées aveuglément ou automatiquement.

5 étapes pour renforcer la résilience face à des attaques telles que MOVEit

Il ne sera jamais possible de tester rigoureusement toutes les mises à jour. Les entreprises doivent donc renforcer leur résilience et leur sécurité pour s'assurer que les vulnérabilités ne causent pas de dommages importants.

Voici les principales mesures que les organisations devraient prendre pour renforcer leur résilience :

1. Présumez toujours une violation

La première leçon à tirer de l'attaque MOVEit est qu'aucune organisation n'est à l'abri des cyberattaques. Les rançongiciels sont désormais le type d'attaque le plus courant, vous devez donc adopter une »supposer une violation» état d'esprit dans lequel l'accent est mis sur le confinement des failles plutôt que sur la prévention afin de garantir que les rançongiciels sont isolés au point d'entrée.

2. Maîtrisez les bases

Deuxièmement, ne négligez pas les bases. La plupart des risques sont dus à une mauvaise hygiène, à de mauvais procédés et à des erreurs humaines. N'oubliez pas que les défenseurs doivent avoir raison 100 % du temps, mais que l'attaquant n'a besoin que de 1 % du temps pour réussir. Il n'y a donc pas de place à l'erreur.

Les attaques de type « jour zéro » se sont toujours produites et se produiront toujours, mais trop d'entreprises ne maîtrisent toujours pas les bases. Le meilleur moyen de réduire les risques consiste à appliquer une bonne hygiène de sécurité et à adopter une approche de défense en profondeur, ce qui implique au minimum l'application régulière de correctifs, la limitation de l'accès aux systèmes et services présentant des vulnérabilités connues et l'imposition d'une stratégie de moindre privilège.

3. La visibilité est essentielle

Pour renforcer la résilience, il est essentiel de gagner en visibilité. La visibilité vous permet de comprendre à quoi ressemble votre situation normale. Ainsi, lorsqu'une connexion inattendue se produit ou que vous remarquez qu'un volume élevé de données est transféré, vous pouvez la détecter à l'aide des technologies SIEM (Security Information and Event Management) existantes et prendre des mesures.

La visibilité vous permet également de comprendre les dépendances associées à ce système et de vous faire une idée du « bien connu ». Toute organisation touchée par la faille MOVEit doit avoir une visibilité sur toutes les connexions entrantes et sortantes pour lesquelles MOVEit est installé.

4. Déployez une stratégie d'accès avec le moindre privilège

Pour les domaines où vous avez moins de contrôle, tels que votre chaîne d'approvisionnement logicielle, assurez-vous d'avoir une bonne segmentation par rapport au reste de votre environnement. Implémentez très politiques de liste d'autorisations restrictives qui garantissent que la charge de travail n'a qu'un accès limité au reste de votre réseau et limitent la quantité que les attaquants peuvent découvrir sur le réseau et se déplacer latéralement.

Dans le cas de MOVEit en particulier, appliquez une liste d'autorisation devant la charge de travail iMOVEit pour restreindre l'accès à la couche d'application et d'activité.

5. Applications Ringfence à forte valeur ajoutée

Prenez des mesures pour protéger les applications de grande valeur qui traitent de la propriété intellectuelle, des données financières non publiques, des documents juridiques ou des informations sensibles et personnelles. Le Ringfencing réduit le périmètre de sécurité d'un sous-réseau ou d'un VLAN à une seule application. Il fournit l'impact le plus important avec le moins de travail possible, ne nécessitant qu'une seule ligne de politique de sécurité par application pour fermer 90 % de la surface d'attaque potentielle au trafic est-ouest.

Comment la segmentation Illumio Zero Trust (ZTS) peut-elle vous aider ?

Illumio ZTS permet de détecter rapidement et facilement vos vulnérabilités et de prendre des mesures simples pour protéger votre organisation. Bien qu'Illumio ZTS ne puisse pas empêcher une attaque de la chaîne d'approvisionnement logicielle, il peut vous aider à gagner visibilité de la surface d'attaque, déterminez les comportements suspects et contiennent la propagation des violations.

Avec Illumio ZTS, vous pouvez :

  • Déterminez à quoi ressemble un comportement « normal » ou « attendu », quelle que soit la charge de travail.
  • Identifiez tout écart par rapport aux normes acceptables (par exemple, une modification du volume de connexions ou de données transférées, ou des adresses IP ou domaines nouveaux et inhabituels consultés).
  • Isolez rapidement les charges de travail jusqu'à ce que vous soyez sûr de leur statut lors d'une attaque active.
  • Restreignez de manière proactive l'accès aux charges de travail et en provenance de celles-ci pour vous assurer qu'aucun accès en dehors de ce qui a été autorisé par la politique n'est pas possible.
The Illumio Zero Trust Segmentation Platform

Renforcer la résilience face aux attaques liées aux logiciels et à la chaîne d'approvisionnement

L'hyperconnectivité a conduit à des interdépendances si riches, denses et critiques que les attaquants savent qu'ils peuvent améliorer l'efficacité et la rentabilité en compromettant la chaîne d'approvisionnement logicielle. Par conséquent, les entreprises doivent maîtriser rapidement leur chaîne d'approvisionnement logicielle, sous peine de risquer des violations similaires.

Aujourd'hui encore, 99 % des efforts et du budget consacrés à la cybersécurité sont consacrés à empêcher que de mauvaises choses ne se produisent (détection et correction). Pourtant, les entreprises pourraient tripler leur budget de cybersécurité et continuer à subir des violations.

Les organisations doivent renforcer de manière proactive résilience en supposant toujours une brèche et en renforçant les capacités de confinement pour limiter la propagation d'une attaque. Cela implique d'adopter une approche basée sur les risques axée sur la compréhension du flux de données sur la surface d'attaque étendue des actifs et de séparer les fonctions clés du réseau afin d'empêcher les violations de se propager et d'atteindre les actifs critiques.

Vous voulez en savoir plus ? Contactez-nous dès aujourd'hui pour une démonstration et une consultation gratuites.

Sujets connexes

Aucun article n'a été trouvé.

Articles connexes

Série « Comprendre les mandats de conformité de l'UE » : Services financiers
Cyber-résilience

Série « Comprendre les mandats de conformité de l'UE » : Services financiers

In Part 3 of this blog series, we explore EU regulations specific to financial services.

En savoir plus
Comment atténuer les risques dans un réseau plat, le paradis des attaquants
Cyber-résilience

Comment atténuer les risques dans un réseau plat, le paradis des attaquants

Les réseaux plats sont devenus si répandus parce qu'ils sont généralement simples à concevoir, peu coûteux à construire et faciles à exploiter et à entretenir.

En savoir plus
Comment mettre fin aux menaces mondiales de cybersécurité résultant du conflit entre l'Ukraine et la Russie
Cyber-résilience

Comment mettre fin aux menaces mondiales de cybersécurité résultant du conflit entre l'Ukraine et la Russie

Les politiques de résilience et de sensibilisation à la cybersécurité pourraient avoir besoin d'être mises à jour à mesure que de graves menaces à la cybersécurité émergent de la guerre en Ukraine.

En savoir plus
La segmentation Zero Trust d'Illumio permet une réduction des risques et un retour sur investissement prouvables
Segmentation Zero Trust

La segmentation Zero Trust d'Illumio permet une réduction des risques et un retour sur investissement prouvables

Découvrez comment Illumio Zero Trust Segmentation génère un retour sur investissement de 111 % selon la nouvelle étude Forrester TEI.

En savoir plus
La segmentation Zero Trust pour les nuls : un guide simple pour stopper la propagation des failles
Segmentation Zero Trust

La segmentation Zero Trust pour les nuls : un guide simple pour stopper la propagation des failles

Téléchargez votre exemplaire gratuit de Zero Trust Segmentation for Dummies pour obtenir un guide simple sur la manière de stopper la propagation des rançongiciels et des violations de données.

En savoir plus
Comment un cabinet d'avocats international a stoppé une attaque de ransomware à l'aide d'Illumio
Confinement des ransomwares

Comment un cabinet d'avocats international a stoppé une attaque de ransomware à l'aide d'Illumio

How Illumio’s ransomware defense quickly stopped an attack on a global law firm, while avoiding significant damage to their system, reputation and clients.

En savoir plus

Assume Breach.
Minimisez l'impact.
Augmentez la résilience.

Vous souhaitez en savoir plus sur la segmentation Zero Trust ?

En savoir plus