La récente nouvelle d’une cyberattaque menée à distance contre une station de traitement des eaux a choqué les organisations du monde entier.

Au début du mois, un acteur non autorisé avait accédé à distance aux systèmes de contrôle de l’usine via TeamViewer et l’avait utilisé pour augmenter la quantité d’hydroxyde de sodium (soude) dans l’eau à des niveaux dangereusement élevés. Heureusement, un opérateur vigilant de l’usine a identifié cette activité anormale en temps réel et a tiré la sonnette d’alarme en interne pour éviter tout dommage potentiel. Bien que l’incident fasse toujours l’objet d’une enquête, les analystes de la sécurité du monde entier sont unanimes pour dire que des contrôles d’accès et une hygiène de sécurité insuffisants ont été à l’origine de cet incident.

Pour mettre les choses en perspective, il n’y a pas eu de stratégie d’attaque sophistiquée ou complexe dans cet incident ; l’attaquant a pu pénétrer dans l’infrastructure publique en profitant simplement des pratiques de sécurité laxistes de la station d’épuration.

La route vers les informations privilégiées

Les attaquants n’ont pas toujours besoin de concevoir des algorithmes de piratage avancés pour mener à bien leurs plans ; parfois, ils se contentent de choisir des informations d’identification volées ou compromises sur le dark web pour pirater des réseaux critiques. Ils peuvent également utiliser des techniques simples, comme le phishing, le keylogging et le brute forcing, pour accéder aux machines qu’ils ciblent.

S’il est vrai que les méthodes d’attaque évoluent rapidement, c’est plus souvent l’utilisation abusive des privilèges administratifs et des informations d’identification faibles ou volées qui suffisent à violer toute infrastructure critique. Prenons l’exemple de l’attaque contre la station d’épuration de Floride : il a suffi à l’auteur non identifié d’un mot de passe non protégé pour accéder aux systèmes de contrôle et les manipuler à distance.

Le travail à domicile étant une nécessité pour la main-d’œuvre mondiale, les VPN d’entreprise et les sessions à distance privilégiées sont le seul moyen pour les employés d’accéder aux ressources de l’entreprise. Cependant, avec la popularité croissante du travail à distance dans le monde, on observe également une augmentation significative du nombre d’attaques basées sur des sessions à distance, au cours desquelles des cybercriminels s’introduisent dans des infrastructures critiques en utilisant des informations d’identification compromises. Comme les informations d’identification sont légitimes, les attaquants peuvent imiter les utilisateurs légitimes pour éviter d’être détectés.

En d’autres termes, ce sont souvent les vulnérabilités connues, négligées et sous-estimées qui donnent aux cybercriminels l’occasion d’exploiter l’accès administratif à des ressources privilégiées. À maintes reprises, des incidents comme celui-ci prouvent que lorsque les mots de passe sont stockés dans des coffres-forts sécurisés et font l’objet de pratiques de sécurité standard, les risques de se faire pirater sont bien moindres.

L’approche Goldilocks de la cybersécurité proactive

La sécurité n’est pas un processus ponctuel ; elle doit être abordée et améliorée de manière globale. S’il est crucial de rester à l’affût des menaces en utilisant des contrôles de défense avancés, il est tout aussi impératif de s’assurer en permanence que les éléments fondamentaux de la sécurité (lire les informations d’identification), souvent ignorés ou négligés, sont renforcés. Cela implique de suivre un certain nombre de règles d’hygiène de base en matière de sécurité, comme par exemple :

  • Garantir et rendre obligatoire des stratégies strictes en matière de mots de passe
  • Inclure des contrôles d’authentification multifactorielle
  • Sécuriser les informations d’identification privilégiées dans des bases de données cryptées
  • Surveiller les sessions des utilisateurs à distance en temps réel
  • Identifier et mettre fin aux activités suspectes des utilisateurs
  • Analyse périodique des vulnérabilités et application de correctifs aux terminaux

Les mauvaises pratiques en matière de mots de passe, comme la réutilisation et le partage des informations d’identification essentielles, ne sont pas rares et pourraient ouvrir plusieurs failles de sécurité que les attaquants pourraient exploiter. La gestion et le suivi manuels des informations d’identification privilégiées à l’aide de feuilles de calcul sont non seulement fastidieux, mais aussi peu fiables, car il suffit d’un initié malveillant ou ignorant pour exposer les informations d’identification à des criminels. En outre, les sessions à distance, lorsqu’elles sont accessibles par des utilisateurs non autorisés, peuvent ouvrir les portes à des informations sensibles valant des centaines de millions de dollars.

Cela étant, il est impératif pour les entreprises d’utiliser des contrôles de sécurité d’accès à privilèges solides pour protéger l’accès aux systèmes d’information sensibles et surveiller les sessions à distance en direct. Pour ce faire, elles doivent investir dans une solution fiable de gestion des accès privilégiés (PAM) qui automatise les tâches fastidieuses suivantes :

  • Découvrir, consolider et stocker les mots de passe privilégiés dans des coffres sécurisés.
  • Réinitialisation automatique des mots de passe en fonction des politiques existantes et rotation des mots de passe après chaque utilisation unique.
  • Attribuer le moins de privilèges possible aux utilisateurs normaux et élever leurs privilèges si et quand cela est nécessaire.
  • Appliquer des contrôles d’authentification multifactorielle pour autoriser l’accès aux ressources privilégiées.
  • Établir un flux de travail de type demande/validation pour valider les besoins des utilisateurs avant de leur accorder l’accès aux ressources critiques.
  • Surveiller les sessions des utilisateurs distants en temps réel, mettre fin aux sessions suspectes et révoquer les privilèges des utilisateurs à l’expiration de leurs sessions.

En outre, les solutions PAM peuvent aider de manière proactive à éliminer les silos et la monotonie associés aux contrôles de gestion des accès. Elles fournissent une automatisation efficace pour rationaliser les flux de travail relatifs aux informations d’identification et à la sécurité des accès, ce qui permet aux administrateurs informatiques de consacrer leur temps et leurs efforts à des tâches plus importantes.

Comment ManageEngine vous aide-t-il?

ManageEngine PAM360 est une solution de gestion des accès privilégiés unifiée et de niveau professionnel, conçue pour aider les équipes informatiques à centraliser la gestion et la sécurité des informations d’identification privilégiées, et à sécuriser l’accès aux sessions distantes privilégiées, telles que les bases de données, les serveurs, les terminaux, etc. PAM360 est sécurisé dès sa conception et répond aux exigences obligatoires de la publication FIPS (Federal Information Processing Standards Publication) 140-2. Les principales caractéristiques de notre solution PAM sont, entre autres, les suivantes :

Mise en coffre et gestion des mots de passe d’entreprise

PAM360 permet l’auto-découverte périodique et la mise en coffre des entités propriétaires de l’entreprise, telles que les mots de passe, les documents, les signatures numériques, les clés SSH, les certificats TLS/SSL, etc. Toutes les informations d’identification sont stockées dans un référentiel sécurisé qui est chiffré à l’aide de l’algorithme avancé AES-256. La solution offre également aux administrateurs de mots de passe des options de réinitialisation et de rotation périodique des mots de passe en fonction des politiques de mot de passe existantes, ce qui contribue à éliminer les accès non autorisés.

Accès distant sécurisé aux systèmes d’information privilégiés

Avec PAM360, les utilisateurs peuvent lancer un accès à distance direct, en un clic, à des systèmes privilégiés, tels que des serveurs, des applications, des bases de données et des périphériques réseau, sans exposer les informations d’identification aux utilisateurs finaux. Notre solution fournit une passerelle chiffrée et sans agent pour lancer des sessions RDP, VNC et SSH avec des capacités de transfert de fichiers sécurisés bidirectionnels.

La sécurité dès la conception

PAM360 est conçu pour faire écho à la sécurité des données des clients et offre une protection de niveau militaire aux données des utilisateurs finaux. Notre produit comprend des contrôles d’authentification multi-facteurs intégrés, où les utilisateurs devront s’authentifier en deux étapes successives pour accéder à l’interface Web. En outre, nous proposons des intégrations avec les meilleures solutions d’authentification unique (SSO), d’authentification multifactorielle et de gestion des identités pour permettre des connexions transparentes et sécurisées.

Gestion de pointe des sessions privilégiées

PAM360 est doté d’un mécanisme intégré permettant de surveiller, d’enregistrer, de masquer et de lire les sessions des utilisateurs distants, ce qui permet non seulement d’éliminer les angles morts et les mauvais acteurs, mais aussi de prendre en charge les enquêtes forensiques grâce à des pistes d’audit complètes. En savoir plus.

Analyse avancée du comportement des utilisateurs et corrélation des événements

PAM360 offre une intégration contextuelle avec les outils de gestion des informations et des événements de sécurité (SIEM) et d’analyse informatique pour consolider et corréler les données d’événements privilégiés avec d’autres événements dans l’entreprise. Les équipes informatiques peuvent ainsi établir des modèles de comportement de base des utilisateurs afin de repérer et de bloquer les acteurs malveillants dont le comportement s’écarte du modèle de base. En outre, les équipes de sécurité peuvent exploiter ces données pour éliminer les vulnérabilités connues et prendre des décisions de sécurité basées sur les données.

Dans l’ensemble, cette cyberattaque contre les systèmes de contrôle d’une infrastructure publique montre que les failles de sécurité ne coûtent pas seulement aux organisations leur réputation et de lourdes amendes, mais qu’elles peuvent aussi mettre en danger la vie de nombreux innocents. Il s’agit donc d’une preuve corroborante de la nécessité pour les organisations, en particulier celles qui servent l’intérêt public, de renforcer leur infrastructure de sécurité en utilisant une approche ascendante.

Source: Cyberattack on Florida’s water treatment plant: What it means to global organizations