Qu’est-ce que la sécurité de l’entreprise ?

La sécurité de l’entreprise est une préoccupation à multiples facettes qui inclut à la fois les secrets professionnels internes ou propriétaires d’une société, ainsi que les données des collaborateurs et des clients liées aux lois sur la confidentialité. La sécurité de l’entreprise est de plus en plus au cœur des préoccupations, car de grandes entreprises internationales comme Facebook, Yahoo!, Target, Home Depot et Equifax ont toutes fait face à de lourdes amendes et à l’intervention du gouvernement en raison de la perte de données client sensibles au profit de pirates informatiques. Alors que les corporations d’entreprise étaient auparavant préoccupées par la protection de leur code propriétaire ou de leurs secrets commerciaux face aux concurrents et les contrefacteurs, elles sont désormais confrontées aux nouvelles lois sur la confidentialité des données aux États-Unis et dans l’UE qui peuvent imposer des pénalités financières majeures aux entreprises qui exploitent ou perdent les données des consommateurs. L’adoption de l’infrastructure Cloud pour la prise en charge des processus métier pose de nouveaux défis en matière de sécurité informatique d’entreprise.

En pratique, la sécurité de l’entreprise se concentre sur les opérations du Data Center, de la gestion du réseau et du serveur Web, mais elle commence techniquement avec les ressources humaines. Selon certains chercheurs en sécurité, l’ingénierie sociale est la cause profonde de deux tiers des attaques de piratage réussies. Dans les attaques d’ingénierie sociale, les cybercriminels exploitent les faiblesses de la nature humaine, l’intégrité des collaborateurs ou la crédulité pour accéder à un réseau ou à des ressources de données. Les attaques d’hameçonnage par e-mail incitent les collaborateurs à cliquer sur des liens permettant de télécharger et d’installer des logiciels malveillants. Dans les attaques par Vishing (vocales ou d’hameçonnage VoIP), les hackers exploitent les conversations téléphoniques de différents collaborateurs pour obtenir des informations privilégiées (comme les mots de passe) qui compromettent la sécurité du réseau. Le smishing (hameçonnage par SMS), le baiting, le spearfishing et le watering hole sont des techniques de piratage basées sur des processus d’ingénierie sociale. Ces vecteurs d’attaque peuvent compromettre même les systèmes de sécurité réseau les plus robustes et ne peuvent être contrecarrés que par une sensibilisation accrue des collaborateurs via la formation, la vérification et l’analyse.

Les attaques automatisées sont basées sur des scripts et ciblent en permanence les ressources du Data Center telles que les serveurs Web et les applications en ligne via des points d’entrée comme des écrans de connexion, des formulaires de contact, des requêtes de recherche dans la base de données et des processus d’administration back-end. Les piratages par injection MySQL et les exploitations de scripts entre sites sont des exemples courants d’attaques de bots de script. La possibilité d’envoyer du code à un serveur via des formulaires non sécurisés peut entraîner la perte d’une base de données entière, y compris toutes les informations des tables, les mots de passe et les données financières sensibles des clients. Le piratage par injection de code est différent du piratage de mot de passe, qui peut permettre à un hacker de disposer d’un accès administratif complet ou d’établir des portes dérobées vers un serveur via FTP et la ligne de commande. Les hackers qui réussissent passent généralement entre 30 et 90 jours à reconnaître un système réseau compromis avec un accès interne avant de commencer le processus de transfert des informations de la base de données ou d’installer un code à distance malveillant.

Présentation des solutions de sécurité VMware

Rapport global sur les menaces liées à la réponse aux incidents : Manipuler la réalité

Pourquoi la sécurité de l’entreprise est-elle importante ?

L’importance de la sécurité de l’entreprise peut être illustrée en examinant le rôle du chiffrement dans les communications Internet. Lorsqu’un e-mail est envoyé ou qu’un mot de passe utilisateur est saisi pour se connecter à un site Web, les données sont transférées de point à point via une série de canaux tiers où elles peuvent être interceptées et lues par des utilisateurs malveillants avec un accès non autorisé, sauf si elles sont chiffrées. La menace inclut des agents non autorisés utilisant un logiciel renifleur de paquets installé sur le réseau de télécommunications, l’ISP ou les canaux W-iFi locaux. Même si la valeur des informations envoyées via ces connexions peut varier, aucune société ou autre entreprise complexe ne serait prête à voir ses secrets commerciaux, ses communications avec ses clients et ses discussions internes surveillés par des tiers malveillants sur des canaux ouverts. La possibilité d’accéder à des mots de passe et des informations de connexion non chiffrés peut compromettre non seulement des comptes et des données de particuliers, mais aussi un réseau d’entreprise tout entier si un intrus parvient à accéder au Data Center.
Par conséquent, la plupart des sites Web et des applications mobiles appliquent désormais le chiffrement HTTPS via des certificats SSL/TLS sur les différents canaux de communication des utilisateurs. Les Data Centers ont adopté des fonctionnalités de sécurité de « niveau militaire », notamment la biométrie, des systèmes d’accès sécurisé et la surveillance des installations 24h/24 et 7j/7 afin d’empêcher tout accès physique non autorisé. Les programmes de formation destinés aux professionnels de l’informatique peuvent renforcer la vigilance face aux signes d’attaque d’ingénierie sociale. Même lorsque l’accès physique est étroitement contrôlé, les entreprises sont toujours confrontées à des attaques provenant des régions les plus éloignées du monde, pouvant même inclure des activités parrainées par l’État de régimes comme la Russie, la Chine, l’Iran et la Corée du Nord.
Le piratage parrainé par l’État peut cibler des secrets militaro-industriels liés à l’ingénierie dans les programmes d’armement, l’aéronautique ou la recherche avancée dans d’autres secteurs d’activité sensibles. Le piratage parrainé par l’État peut également cibler des entreprises médiatiques, comme le piratage d’un studio Sony par la Corée du Nord, sur la base d’activités de propagande ou le fait de chercher à compromettre le comportement corrompu de fonctionnaires par le biais de fuites de communications personnelles.
Au plus haut niveau, les équipes de piratage parrainées par l’État ou les hackers publicitaires cherchant à attirer l’attention peuvent cibler des attaques à fort impact qui s’apparentent à du terrorisme ou à des pertes de vies humaines comme dans le cas d’une cyberguerre. Le virus Stuxnet n’est qu’un exemple des effets de l’espionnage industriel et du piratage des services de renseignement. Ces groupes, ainsi que les hackers informatiques criminels ou publicitaires, peuvent cibler des infrastructures sociales stratégiques comme les centrales électriques, les télécommunications ou la production industrielle pour provoquer des effondrements ou des dommages physiques aux installations dans l’intention de semer la panique et le chaos. En revanche, les pirates informatiques cherchent généralement à voler des informations de carte de crédit, l’accès au compte bancaire et la crypto-monnaie à des fins financières personnelles. Des millions de numéros de carte de crédit sont déjà disponibles à la vente sur le Dark Web, à des prix aussi bas que 1 $ par carte. Les attaques qui ciblent les informations personnelles des consommateurs peuvent entraîner des usurpations d’identité, des frais frauduleux ou des détournements de fonds que les autorités ont du mal à détecter ou à arrêter sans interdiction généralisée de la part des groupes d’application de la loi ou des agences internationales.

Architecture de la sécurité de l’entreprise

L’architecture de la sécurité de l’entreprise doit cibler l’accès physique, l’ingénierie sociale et les attaques de scripts, tout en protégeant les systèmes de saisie de mots de passe contre le piratage et les canaux de saisie des utilisateurs contre l’injection de code à distance. Le pare-feu du réseau est considéré comme la principale barrière contre les attaques de piratage malveillant. La plupart des packages logiciels de pare-feu réseau permettent désormais d’analyser les données de paquets en temps réel pour rechercher d’éventuels virus, logiciels malveillants, vers et rançongiciels. Le problème avec l’analyse antivirus est qu’il s’agit d’une approche postérieure de la sécurité qui repose sur des organismes professionnels pour identifier les logiciels malveillants avant qu’ils ne puissent être détectés. Dans les attaques « zero-day », un code d’exploitation qui n’a jamais été révélé ou catégorisé par les experts de la sécurité est utilisé pour pénétrer un réseau, une plate-forme logicielle, un terminal de microprogramme ou un système d’exploitation. Comme il n’est pas possible de se défendre à l’avance contre les attaques zero-day, les sociétés doivent mettre en place des règles de sécurité à plusieurs niveaux qui isolent et contiennent efficacement les menaces une fois qu’elles se produisent inévitablement.

L’utilisation du chiffrement des transferts de données et l’établissement de paramètres de pare-feu pour l’accès des utilisateurs autorisés sont les deux aspects les plus fondamentaux de la sécurité d’entreprise après les contraintes d’accès physique. La plupart des plates-formes dotées de systèmes d’authentification des utilisateurs incluent désormais des procédures de blocage qui déconnectent les utilisateurs après au moins 5 connexions incorrectes par mot de passe afin d’empêcher les piratages. Les tentatives de connexion non identifiées qui ont lieu de manière répétée à partir d’une seule adresse IP peuvent être atténuées par le blocage d’IP. Le logiciel de pare-feu s’intègre à l’analyse antivirus qui fait correspondre les transmissions de paquets de données avec les signatures de logiciels malveillants connus en temps réel pour identifier les fichiers dangereux et empêcher l’installation accidentelle de virus, vers et chevaux de Troie via des attaques par hameçonnage ou des téléchargements. Des pare-feu d’applications Web (WAF) peuvent être installés pour ajouter une couche de protection supplémentaire aux formulaires Web afin d’empêcher les attaques par script entre sites et par injection MySQL. Les logiciels antivirus de fournisseurs tels que Symantec, McAfee, Trend Micro, Kaspersky, Bitdefender, etc. sont des aspects essentiels de la sécurité d’entreprise aujourd’hui. De nombreuses entreprises utilisent également les services d’un CDN pour reconnaître et empêcher les attaques DDoS en production.

Meilleures pratiques fondamentales de la sécurité d’entreprise

Le paradigme actuel des meilleures pratiques pour la sécurité d’entreprise consiste à appliquer toutes les méthodes disponibles du secteur en matière de sécurité physique, de pare-feu, de chiffrement, de protection contre la fraude, de détection des intrusions, de WAF, d’antivirus, etc. en s’attendant à ce que les hackers trouvent toujours des méthodes pour pénétrer les systèmes, compromettre le matériel et voler des données. Selon les principes de réduction maximale des risques, il faut détecter et identifier les intrus le plus rapidement possible tout en créant des systèmes avec une plus grande isolation des données pour empêcher la propagation des attaques vectorielles. La micro-segmentation protège chaque machine virtuelle sur un réseau d’entreprise grâce à l’isolement qui empêche les mouvements latéraux d’un intrus vers d’autres systèmes, à partir d’un point d’entrée unique. Le modèle DMZ se rapporte aux pare-feu, aux barrières et aux fossés en séparant les processus Web du LAN grâce à un isolement renforcé par des serveurs proxy de périphérie dans le périmètre de défense externe. La banque de données VMware vSAN Datastore est utilisée pour le chiffrement de la base de données. VMcrypt Encryption sert au stockage; aux archives et aux fichiers de sauvegarde.

La montée en puissance des administrateurs est un autre problème à ne pas négliger dans les pratiques de sécurité des entreprises. Les autorisations des super-utilisateurs et des administrateurs doivent être contrôlées plus étroitement et détectées instantanément lorsqu’elles sont déployées par des utilisateurs non autorisés. La surveillance du réseau en temps réel inclut de plus en plus les données chiffrées prises en charge par l’apprentissage automatique et l’intelligence artificielle pour détecter les intrusions, les transferts de données sensibles non autorisés et les problèmes de montée en puissance de l’administration. Parce que les plates-formes logicielles et les systèmes d’exploitation de serveurs Web non corrigés sont les principales causes de compromission des réseaux et de violations de données, les entreprises doivent être particulièrement vigilantes en appliquant les mises à jour requises immédiatement en production. Les mises à niveau de sécurité automatisées améliorent considérablement la vitesse de réponse lors de l’application des correctifs essentiels. L’antivirus sans agent peut être installé au niveau de l’hyperviseur, et configuré pour appliquer automatiquement des réponses de sécurité aux attaques de logiciels malveillants ou aux intrusions sans intervention humaine, améliorant ainsi le temps de réponse dans les Data Centers Cloud avec des millions de machines virtuelles exécutées simultanément en parallèle.

 

La surveillance du réseau en temps réel inclut de plus en plus les données chiffrées prises en charge par l’autoapprentissage et l’intelligence artificielle pour détecter les intrusions, les transferts de données sensibles non autorisés et les problèmes de montée en puissance de l’administration.