Un problème d’ampleur mondiale
La question n’est plus de savoir si une organisation va subir une cyberattaque, mais quand ?La menace grandit et se développe chaque jour, les professionnels ne peuvent que constater une explosion des cyberattaques, aussi bien en nombre qu’en sophistication.
Bien loin de l’image du hacker cool en sweatshirt, la cybercriminalité s’est largement professionnalisée. Les opérations frauduleuses visant des PME vont générer pour les attaquants des bénéfices compris entre 30 000 et 50 000 euros ; là où des cyberattaques d’envergure visant une multinationale peuvent procurer un bénéfice d’un milliard d’euros ou plus. Et encore ces montants ne sont qu’une fraction des montants perdus par les entreprises visées, étant donné l’impact que les attaques peuvent avoir en termes de désorganisation interne, de CA perdu et de notoriété négative.
Le Covid-19 a été une opportunité pour les hackers. Beaucoup d’entreprises ont dû, en urgence, mettre en place le télétravail avec des salariés non formés, des ordinateurs personnels peu ou non protégés, pas de VPN (réseau privé virtuel), etc… Autant de portes ouvertes potentiels pour les hackers.
En 2020, la France est le 3e pays dans le monde le plus ciblé par les hackers. L’Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) a partagé le 1er mars 2021 son analyse détaillée de la menace, qui se fonde à la fois sur ses observations, ses échanges et ses activités opérationnelles : CERTFR-2021-CTI-001.pdf (ssi.gouv.fr). Ces travaux de synthèse et d’analyse relatifs à la menace et aux incidents mettent en avant une augmentation de 255% des signalements d’attaque par rançongiciel dans son périmètre par rapport à 2019.
En outre, l’année 2020 s’est illustrée par la forte évolution de trois tendances :
Le Big Game Hunting : un nombre accru de groupes cybercriminels favorisent le ciblage d’entreprises et institutions particulières dans leurs attaques par rançongiciel ;
Le ransomware-as-a-service (RaaS) : de plus en plus de rançongiciels sont disponibles sur les marchés cybercriminels par un système d’affiliation et sont utilisés à la fois de façon ciblée et lors de campagnes massives en fonction de la volonté et des capacités des groupes cybercriminels souscrivant au service ;
La double extorsion : consiste à faire pression sur la victime en exfiltrant ses données et en la menaçant de les publier sur un site Internet, afin qu’elle paye la rançon. Il est ainsi de plus en plus fréquent qu’un chiffrement soit précédé d’une exfiltration de données.
Malheureusement, force est de constater qu’encore trop peu d’entreprises et d’institutions - du secteur privé comme du secteur public - en sont suffisamment conscientes et donc n’en sont pas assez préparées, alors qu’il est indispensable d’anticiper les menaces et les risques majeurs.
Qu’en est-il de l’environnement Microsoft 365 ?
Ces environnements deviennent de plus en plus stratégiques pour la bonne marche des entreprises. Qui peux encore se passer ne serait-ce que quelques heures de messagerie ? D’outils de communications à distance (pour gérer les réunions) ou encore d’espace collaboratifs ?
Les risques encourus par une entreprise qui serait victime d’une cyberattaque sur le périmètre Microsoft 365 sont nombreux. On peut citer la perte d’informations confidentielles de type secret commerciaux ou industriels, des amendes liées à la divulgation de données personnelles dans le cadre du RGPD (jusqu’à 4% du CA annuel), la perte financière liée à la rupture d’activité (plusieurs journées à semaines de CA en général) qui peut s’additionner au paiement de la rançon.
On peut également prendre en compte le fait que des données peuvent être sabotées ou modifiées et l’impact psychologique négatif important sur le personnel et les clients.
La suite Microsoft 365 permet d’allier la productivité et la sécurité : encore faut-il bien la paramétrer !
Plusieurs éléments sont à prendre en compte. Tout d’abord, et comme le rappelle Microsoft, la sécurité dans le Cloud est forcément un partenariat entre le fournisseur du service et le client qui reste propriétaire et gestionnaire de ses données.
Chaque organisation doit par ailleurs faire face à des besoins de conformité et d’exigences spécifiques (liées à son industrie, aux pays dans lesquelles elle opère, …).
Par défaut, Microsoft 365 offre un niveau de protection de base contre les menaces. Seuls les tenants créés à partir du 22 octobre 2019 possèdent des paramètres de sécurité par défaut activés (exigence du MFA, restriction des protocoles d’authentification faibles, protection des actions privilégiées).
Toute protection efficace visera à mettre en place une stratégie de défense en profondeur incluant les identités, les appareils, les applications, le réseau et l’infrastructure pour in fine protéger les données.
Les licences pour Office 365 offrent un certain nombre de fonctionnalités de sécurité. Microsoft 365 permet d’étendre le périmètre de protection aux appareils Windows 10 et aux mobiles. Cependant ces fonctionnalités ne sont pas activées par défaut et nécessitent une expertise en matière de configuration.
Les plans de licences collaboratifs Office 365, intègrent nativement des fonctionnalités croissantes de conformité. Les options de sécurité sont limitées au service (et ne concernent pas les postes ni les périphériques mobiles). Les plans EMS (Enterprise Mobility + Security) intègrent des produits supplémentaires visant à maîtriser les identités, les terminaux en situation de mobilité et les applications accédant aux données Office 365.
Source : Xuan Ahehehinnou
Se protéger sur Internet n’est plus une option, et Microsoft propose une gamme étendue d’outils que l’on peut ranger en 3 catégories :
1. Protection des identités et des accès
Azure Active Directory
Microsoft Intune
2. Détection et Réponses aux menaces
Microsoft 365 Defender
Microsoft Defender for Endpoint
Microsoft Defender for Office 365
Microsoft Defender for Identity
Microsoft Cloud App Security
3. Protection des informations
Microsoft Information Protection
Microsoft Information Governance
Microsoft Insider Risk
La stratégie de cybersécurité doit avoir pour priorité la prévention contre la compromission et la réduction de l‘impact d’une cyberattaque ; il est donc vital de configurer, vérifier, maintenir et ajuster correctement toutes les fonctionnalités de sécurité.
Pour la protection des identités et des périphériques, on va pouvoir s’appuyer sur:
Azure Active Directory pour gérer les accès utilisateurs et d’éventuelles restrictions
Microsoft Intune pour gérer la conformité des périphériques.
Pour la détection et la réponse aux menaces, on a la suite d’outils unifiés Microsoft Defender.
Microsoft 365 Defender fournit une console centrale de gestion des menaces couvrant tout le périmètre Microsoft 365.
Microsoft Defender for Endpoint pour prévenir, détecter, examiner et répondre aux menaces avancées sur les appareils Windows / MacOs / Linux / Android / iOS
Microsoft Defender for Office 365 protège contre les menaces malveillantes posées dans les emails, les liens (URL) et les outils de collaboration (SharePoint Online, OneDrive et Teams)
Microsoft Defender for Identity s’appuie sur les signaux Active Directory locaux pour identifier, détecter et investiguer les menaces avancées, les identités compromises et les actions des utilisateurs internes malveillants
Microsoft Cloud App Security est un agrégateur de sécurité d’accès cloud (CASB) couvrant l'ensemble des services Cloud Microsoft et tiers. Ses fonctionnalités principales sont : découverte et contrôle du « Shadow IT », protection contre les cybermenaces et anomalies, évaluation de la conformité des applications SaaS, protection des informations sensibles
Pour la protection des informations, les outils suivants correctement configurés fournissent une sécurisation adaptée aux différents niveaux de confidentialités souhaités par l’organisation.
Microsoft Information Protection permet de découvrir, classifier et protéger les informations sensibles où qu’elles se trouvent.
Microsoft Information Governance permet de gérer les données en matière de conformité et d’obligations réglementaires (RGPD notamment).
Microsoft Insider Risk permet de se prémunir contre les actions malveillantes provenant des acteurs internes.
Conclusion
Ainsi la cybersécurité doit être vue comme un facteur de productivité, de compétitivité et donc de croissance pour les entreprises.
Quelle que soit sa taille, une entreprise doit prendre conscience qu’elle peut être à tout moment confrontée à la cybercriminalité. Qu’il s’agisse, par exemple, de malveillances visant à la destruction de données ou d’espionnage économique et industriel, les conséquences des attaques informatiques sur des cibles mal préparées sont généralement désastreuses et peuvent impacter leur existence même.
Chaque entreprise doit aujourd’hui se doter d’une politique de sécurisation des systèmes d’information inhérente à l’usage des nouvelles technologies. L’environnement Microsoft 365 ne peut pas faire exception.
Ainsi Abalon peut vous accompagner sur la mise en œuvre et le suivi de l’ensemble de ses composants pour améliorer grandement votre posture de sécurité et l’efficacité de votre réponse aux menaces.
Abalon accompagne les entreprises pour organiser, gérer et promouvoir la sécurité informatique de leur environnement Microsoft 365 en faisant les bons choix et en articulant avec cohérence tous les composants Cloud.
Abalon analyse, dans le contexte d’utilisation, la configuration et l’architecture de l’environnement Microsoft 365, afin d’identifier d’éventuelles vulnérabilités permettant à un attaquant de s’introduire dans l’environnement, ou à un collaborateur malveillant d’accéder de manière illégitime à des ressources critiques.
Abalon évalue la conformité de la configuration de l‘environnement Microsoft 365 avec les exigences de sécurité définies dans la politique de sécurité générale de l’entreprise, et passe en revue les procédures organisationnelles gravitant autour de la gestion de cet environnement.
A la suite d’un audit, Abalon construit avec les équipes un plan d’action détaillé et priorisé, afin de cadrer les actions de remédiation en fonction de des contraintes spécifiques.
Abalon enfin accompagne sur l’implémentation ou le durcissement des solutions de sécurité et de conformité Microsoft 365, ainsi que pour sensibiliser et initier les employés à la cybersécurité.