Close
  • Français
  • English

Les 20 contrôles critiques de sécurité du SANS Institute : une approche proactive et efficiente de la cyber sécurité [par François Gratiolet, Qualys]

Avantage à l’attaquant

L’infrastructure de l’entreprise d’aujourd’hui est une aire de jeux pour les hackers, les hacktivistes, les cybercriminels organisés et un champ de bataille pour les cyber soldats et les espions. De plus, les nouveaux usages tels que les services Cloud, les réseaux sociaux, la consumérisation de l’informatique et les appareils mobiles présentent de nouveaux défis en terme d’échelle et de complexité, exigeant une réponse qui ne peut être livrée qu’à travers une utilisation plus intelligente de la technologie. Nos ennemis ont cependant une longueur d’avance en adoptant l’automatisation, ils peuvent nous attaquer quand ils le veulent, et il leur suffit de trouver une seule vulnérabilité pour pénétrer dans nos entreprises. C’est pourquoi de nombreux professionnels admettent désormais que l’attaquant ait l’avantage, et que les incidents de sécurité soient devenus inéluctables.

Aujourd’hui toute entreprise possédant des ordinateurs et des équipements réseaux connectés à Internet fait face à un flux constant de reconnaissances et d’attaques. Provenant de milliers d’ordinateurs contrôlés par des cybercriminels, ces phases de reconnaissance exécutent des programmes automatisés pour analyser en permanence toutes les adresses IP accessibles. Leur objectif est de cartographier le périmètre Internet d’une entreprise, d’inventorier son parc informatique et de collecter des informations sur des failles inhérentes aux logiciels et à la configuration des machines.

Appelé « durée de survie », l’intervalle entre ces phases de reconnaissance est observé depuis des années par des organismes indépendants. Il a diminué de manière constante au fil des ans pour passer de 40 minutes il y a 10 ans à 20 minutes il y a 5 ans et à moins de 5 minutes cette année. La « durée de survie » se réduit en raison du marché florissant de la cybercriminalité qui aiguise la spécialisation et la concurrence dans le but d’attaquer les ordinateurs connectés à Internet et récupérer les données qu’ils abritent. Aucune machine n’est à l’abri d’une attaque, pas même les systèmes informatiques qui exigent une grande expertise, par exemple les systèmes SCADA (Supervisory Control and Data Acquisition) qui ont également été victimes d’exploits dans un délai de 24 heures.

Le rapport Internet Security Threat de Symantec estime que les attaques ciblées contre les entreprises et les gouvernements ont tendance à passer inaperçues pendant une durée moyenne de 5 mois et ont augmenté à environ 30 000 par an en 2012. L’étude DBIR (Data Breach Investigations Report) réalisée en 2012 par Verizon a révélé suite à « l’autopsie » de 855 incidents que 92% des attaques étaient peu complexes, 79% étaient des cibles opportunistes et que 97% des infractions réussies auraient pu être évitées si la victime avait mis en place des contrôles basiques ou intermédiaires. Par ailleurs, le Gartner Group estime que « en 2015, 80% des attaques réussies exploiteront des vulnérabilités connues ».

Malheureusement, les basiques sécuritaires sont encore complexes à mettre en œuvre dans des systèmes d’information toujours plus distribués ou évolutifs. Mais quid des entreprises qui utilisent ou ont mis en œuvre leguide d’hygiène informatique de l’ANSSI ou les« 20 Critical Controls » du SANS Institute ?

Introduction aux 20 contrôles critiques de sécurité pour une cyber défense efficace

Les 20 contrôles critiques de sécurité font partie d’un programme baptisé initialement « Consensus Audit Guidelines – CAG » pour améliorer la cybersécurité des agences civiles fédérales et de l’armée américaine. Il s’agit de mesures préconisées par l’Institut National des Standards et de la Technologie américain (NIST) pour garantir la conformité à la loi FISMA (Federal Information Security Management Act). Les contrôles critiques gèrent les vulnérabilités les plus courantes, notamment l’administration des systèmes ouverts, les mots de passe par défaut et faibles, les utilisateurs avec des privilèges administrateurs, les versions logicielles périmées, les configurations système non durcies ainsi que les failles dans l’administration des systèmes. Les contrôles critiques ont été développés ces dix dernières années par de nombreux experts en cyber sécurité fédéraux et civils, des chercheurs, des experts militaires ainsi que des DSI et des DSSI fédéraux qui connaissent bien les cyber attaques. Parmi ces contributions figurent les Associated Manageable Network Plan Milestones and Network Security Tasks, programmes développés par l’Agence de sécurité nationale américaine (NSA), ainsi que le programme SCAP (Security Content Automation Program) sponsorisé par le NIST.

Les 20 contrôles de sécurité́ critiques du SANS Institute constituent une stratégie à base de risques et de priorités pour garantir la cybersécurité́. Ils sont devenus un modèle de soutien aux Responsables de la Sécurité des Systèmes d’Information (RSSI) et aux Directeurs des Systèmes d’Information (DSI). Les contrôles critiques aident ces derniers à déployer les processus et les outils les plus performants pour sécuriser l’ensemble de leurs systèmes informatiques en fonction du risque. Quatre principes fondamentaux ont été définis :

1)     opter pour une surveillance continue afin d’évaluer et de remédier les vulnérabilités

2)     automatiser les processus pour assurer la sécurité de manière efficace, fiable et évolutive

3)     fournir des métriques simples pour permettre à toutes les parties d’analyser et d’ajuster de manière objective les mesures de sécurité déployées

4)     responsabiliser l’organisation en s’appuyant sur l’expérience des attaques réelles pour bâtir des défenses efficaces.

Ainsi, ce référentiel des contrôles est à la fois un document « vivant », mis à jour régulièrement en fonction des nouvelles cyber menaces, ainsi qu’un programme prioritaire solide pour mettre en place un processus bien compris, reproductible, mesurable, évolutif, fiable, automatisable, et continu. Les contrôles concernent plusieurs types d’attaquants informatiques, tels que les employés malveillants et sous-traitants, les contributeurs extérieurs individuels indépendants, les groupes criminels organisés, les terroristes et les acteurs Etat-nation, ainsi qu’un mélange de ces différentes menaces. Les contrôles ne sont pas limités à bloquer la compromission initiale des systèmes, mais aussi à détecter des machines déjà compromises et à empêcher ou perturber ou rendre plus difficiles les prochaines actions des attaquants. Les défenses identifiées grâce à ces contrôles portent sur la réduction de la surface d’attaque initiale par un renforcement de la sécurité, l’identification des machines compromises pour contrer les menaces à long terme à l’intérieur du réseau de l’organisation, et empêcher l’exécution de codes malveillants de type « Command and Control » déjà potentiellement implantés.

La liste des contrôles est la suivante :

1) Inventaire des équipements autorisés et non autorisés

2) Inventaire des logiciels autorisés et non autorisés

3) Configurations sécurisées pour le matériel et les logiciels installés sur les équipements mobiles, ordinateurs portables, postes de travail et serveurs

4) Analyse et remédiation des vulnérabilités de manière continue

5) Défenses contre les codes malveillants

6) Sécurité applicative

7) Contrôle des équipements sans fil

8) Récupération des données

9) Analyse des compétences en sécurité et formation appropriée pour combler les lacunes de compétences

10) Configuration sécurisée pour équipements réseau de type firewalls, routeurs et commutateurs

11) Limitation et contrôle des ports, protocoles et services réseau

12) Utilisation contrôlée des privilèges administratifs

13) Défense des frontières

14) Maintenance, supervision et analyse des journaux d’audit

15) Contrôle d’accès selon le besoin d’en connaître

16) Supervision et contrôle des comptes utilisateurs

17) Prévention des pertes de données

18) Réponse et gestion des incidents

19) Ingénierie de réseau sécurisé

20) Tests d’intrusion et exercices d’alerte

De plus, ces contrôles ont été classés en ordre prioritaire selon leur impact sur la réduction des attaques. Ainsi, le SANS Institute considère que les quatre premiers contrôles de sécurité ont un impact majeur, alors que de manière surprenante le contrôle 20 « Tests d’intrusion et exerces d’alerte » aura un impact moindre.

Retours d’expérience et meilleures pratiques

Des dizaines d’utilisateurs de la première heure des contrôles critiques ont partagé leurs expériences et les leçons apprises dans le cadre du Consortium for Cybersecurity Action (CCA). Cela a permis de voir émerger une tendance claire à la vue des démarches communes à de nombreuses organisations qui ont réussies a faire des progrès substantiels dans la réduction de leur niveau de risque à l’aide des 20 contrôles critiques :

  • Étape 1. Procéder à une analyse initiale des écarts – déterminer ce qui a déjà été mis en place et les manques pour chaque contrôle et sous-contrôle.
  • Étape 2. Développer une feuille de route de mise en œuvre – sélection des contrôles spécifiques (et sous-contrôles) à mettre en œuvre dans chaque phase, et planification des phases fondée sur des considérations de risque métier.
  • Étape 3. Mettre en œuvre la première phase des contrôles – identifier les outils existants qui peuvent être réaffectés ou pleinement utilisées, les nouveaux outils à acquérir, les processus à améliorer, et les compétences à développer par la formation.
  • Étape 4. Intégrer les contrôles dans les opérations informatiques – mettre l’accent sur la surveillance continue et la remédiation, normaliser et intégrer des processus aux systèmes de gestion.
  • Étape 5. Signaler et gérer les progrès selon la feuille de route de mise en œuvre élaborée à l’étape 2. Ensuite, répétez les étapes 3-5 dans la prochaine phase de la feuille de route.

Il existe désormais plusieurs exemples publics d’organisations ayant adopté les 20 contrôles de sécurité critiques aussi bien aux Etats-Unis, en Australie, en Angleterre qu’au Canada. L’ensemble des agences fédérales aux Etats-Unis est en train de l’adopter progressivement. A ce titre, le US Department of State (environ 40,000 machines, 200 sites aux Etats-Unis et dans le monde, un grand nombre de fournisseurs externes) considère avoir réduit son niveau de risque de sécurité de 90% et cela en moins d’une année, en utilisant le référentiel des 20 contrôles de sécurité critiques, et sans acheter de nouvelles solutions de sécurité informatique.

Pour illustrer notre propos, nous allons détailler l’exemple de l’Etat du Colorado qui a déployé sur une période relativement courte de 120 jours uniquement les contrôles suivants :

  • Mise en place d’une liste blanche de logiciels autorisés
  • Configurations standards durcies et sécurisés
  • Déploiement et installation des correctifs de sécurité des systèmes d’exploitation en 48 heures
  • Déploiement et installation des correctifs de sécurité des applications en 48 heures
  • Interdiction de la navigation Web et de la gestion des courriels avec des droits utilisateurs sans privilège

Les principes adoptés sont les suivants :

  • Utiliser les solutions existantes autant que possible
  • Considérer et traiter tous les employés et les fournisseurs comme une extension de l’équipe sécurité
  • L’intégration les informations de sécurité est doit être considérée comme un élément clef !
  • Se focaliser sur les ressources humaines et les processus
  • Se focaliser sur les machines ayant le plus de valeur

L’Etat du Colorado a ainsi pu identifier des bénéfices à la fois quantitatifs et qualitatifs :

  • Baisse de 33% du nombre moyen de vulnérabilités critiques et élevées dans les systèmes de l’Etat
  • Baisse de 64% du nombre de défaillances lors d’audits de sécurité
  • 78% de tous les systèmes sont surveillés et gérés en temps quasi réel (<= 48 heures)
  • Réduction de plus de 75% du nombre moyen d’infections mensuels en codes malveillants
  • 833K $ en économies de coûts – utilisé pour financer de nouveaux achats
  • Augmentation de la confiance et de la fidélité client
  • Augmentation du soutien au plus haut niveau de l’organisation
  • Renforcement des capacités des collectivités locales à travers le partage des meilleures pratiques et des leçons apprises

Nous recommandons de manière pratique que les DSI et RSSI considèrent les mesures suivantes pour améliorer l’efficacité de leurs programmes de sécurité:

  • Evaluer les écarts afin de comparer la posture actuelle de sécurité de l’organisation aux recommandations détaillées des contrôles critiques
  • Définir des plans détaillés de mise en œuvre des 5 premiers contrôles critiques, et assigner les rôles et responsabilités aux équipes sécurité et informatiques
  • Implémenter dans un premier temps les 5 premiers contrôles critiques
  • Déployer les contrôles avancés à plus long terme, c’est-à-dire les contrôles 6 à 20

Conclusion

Les nouveaux usages numériques accélèrent la perte de contrôle et de gouvernance. Nous constatons malheureusement en général que les RSSI disposent de moyens insuffisants et éprouvent des difficultés à piloter leur activité. De nombreuses entreprises continuent à gérer la sécurité de l’information au rythme d’une Élection présidentielle ! La vitesse de gestion de la sécurité n’a pas suivi l’accélération grandissante des cyber menaces.

Dans ce contexte, la démarche des 20 contrôles de sécurité critiques du SANS Institute issue d’un consensus entre acteurs publics et privés apporte une réponse simple, mesurable, concrète et pragmatique à nos Dirigeants, afin de renforcer les systèmes de cyber défense de nos organisations.

Des organisations de taille importante l’ont adoptée, déployée et en ont retiré des bénéfices conséquents.

Ces démarches ont réussi pleinement car deux facteurs clefs de succès ont été mis en œuvre d’un point de vue managérial : un support très fort au plus haut niveau de l’organisation, et des récompenses fortes auprès des administrateurs informatiques. Doit-on envisager d’assigner des objectifs aux administrateurs informatiques sur l’application effective des correctifs de sécurité, et une rétribution en conséquence ?

Un retour à une bonne hygiène informatique est plus qu’urgent !

Sources
 
Auteur
En tant que CSO South EMEA, François Gratiolet collabore étroitement avec les clients et partenaires de Qualys de la région pour mieux répondre à leurs enjeux et exigences. Il est très actif dans la communauté des RSSI,  pilote le CSO Interchange, un forum des décideurs de sécurité des principales organisations européennes, afin d’adresser les nouveaux défis et tendances de l’industrie. François dispose d’une expérience unique de 14 ans ayant travaillé à la définition, au pilotage et à la mise en œuvre de nouveaux projets business et sécurité aussi bien dans le conseil et l’audit, que comme RSSI au niveau du groupe La Poste, et plus récemment sur des missions de conseil en stratégie, marketing et développement d’affaires.  Il est membre de la commission PSG de l’ENISA à titre de conseiller. Il est diplômé de l’Executive MBA de l’ESCP Europe et de l’ENST Paris.
 
À propos de Qualys
Qualys, Inc. (NASDAQ : QLYS), est le principal fournisseur de solutions de gestion des risques de sécurité informatique et de la conformité dans le Cloud avec plus de 6500 entreprises clientes dans plus de 100 pays, dont une majorité des sociétés présentes aux classements Fortune 100 et Forbes Global 100. La plate-forme dans le Cloud QualysGuard® et sa suite d’applications de sécurité et de conformité aide les entreprises à simplifier leurs opérations de sécurité et à réduire le coût de la conformité. Cette plate-forme délivre un service à la demande de renseignement sur la sécurité. Elle automatise le spectre complet de l’audit, de la conformité et de la protection des systèmes d’information et des applications Web. Fondée en 1999, Qualys a signé des accords stratégiques avec des fournisseurs de services d’infogérance (« managed services ») de premier ordre et des cabinets de conseil tels que Accuvant, BT, Dell SecureWorks, Fujitsu, NTT, Symantec, Verizon et Wipro. Qualys a co-fondé la Cloud Security Alliance (CSA). Plus d’information sur www.qualys.com.