Renforcer la périphérie du réseau :les agences Five Eyes conseillent les entreprises sur la protection des appareils critiques

Avec la multiplication des attaques sur les appareils de pointe qui permettent de nouvelles incursions d'attaquants dans les réseaux d'entreprise, il est temps pour chacun d'intensifier son jeu en matière de sécurité, déclarent les agences de l'alliance Five Eyes

Les services de renseignement nationaux de cinq pays ont offert aux entreprises des conseils pour vaincre les espions à leur propre jeu dans une série de documents destinés à les aider à protéger les appareils et appareils de périphérie du réseau tels que les pare-feu, les routeurs, les passerelles VPN (réseaux privés virtuels), les appareils Internet des objets (IoT), les serveurs connectés à Internet et les systèmes OT (technologie opérationnelle) connectés à Internet contre les cyberattaques.

L'alliance Five Eyes rassemble les agences de renseignement d'Australie, du Canada, de Nouvelle-Zélande, du Royaume-Uni et des États-Unis. Les différentes agences ont chacune abordé le défi de la sécurisation de la périphérie du réseau sous un angle différent, en publiant leurs rapports mardi.

"Les adversaires étrangers exploitent régulièrement les vulnérabilités logicielles des appareils en périphérie du réseau pour infiltrer les réseaux et les systèmes d'infrastructures critiques. Les dommages peuvent être coûteux, longs et catastrophiques sur le plan de la réputation des organisations des secteurs public et privé", a déclaré l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) dans son introduction aux lignes directrices. "Ces documents d'orientation détaillent diverses considérations et stratégies pour un réseau plus sécurisé et plus résilient avant et après une compromission."

Les nouveaux documents s'ajoutent aux directives américaines qui aident les fabricants à construire des appareils sécurisés de par leur conception. Le Centre canadien pour la cybersécurité (CCCS) a été à l'avant-garde des considérations de sécurité pour les appareils de périphérie, qui fournissent non seulement une liste détaillée des tâches à effectuer pour l'informatique d'entreprise, mais également des liens vers des conseils spécifiques sur la sécurité pour les travailleurs à distance et les organisations utilisant des modèles BYOD (apportez votre propre appareil), ainsi que des conseils pour les fabricants d'appareils de périphérie.

Un problème résolu

Dans une attaque pas si subtile adressée aux fabricants de produits dotés d'interfaces de gestion de réseau (NMI) mal sécurisées, il a également noté :"Il est possible pour les fournisseurs de renforcer leurs produits afin qu'ils restent sécurisés avec les NMI exposés à Internet. C'est un problème résolu, et les clients devraient exiger des fournisseurs qu'ils renforcent leurs appareils pour sécuriser les NMI."

Les spécifications de surveillance médico-légale numérique pour les produits de périphériques et d'applications réseau, dirigées par le Centre national de cybersécurité du Royaume-Uni (NCSC-UK), se concentrent sur les exigences minimales en matière de visibilité médico-légale. Il détaille ce qui doit être enregistré, comment les journaux doivent être stockés et sécurisés, ainsi que les exigences en matière d'acquisition de données médico-légales en cas d'incident.

"En respectant les niveaux minimum d'observabilité et de référence en matière d'investigation numérique décrits dans ces lignes directrices, les fabricants d'appareils et leurs clients seront mieux équipés pour détecter et identifier les activités malveillantes contre leurs solutions", indique-t-il. "Les fabricants d'appareils devraient également l'utiliser pour établir une base de fonctionnalités standard à inclure dans l'architecture des appareils et appareils réseau, afin de faciliter l'analyse médico-légale pour les défenseurs du réseau."

L'Australie a pris l'initiative de deux documents : Stratégies d'atténuation pour les appareils Edge : Orientations pour les dirigeants et Stratégies d'atténuation pour les appareils Edge : Orientations pour les praticiens. Ces guides, dirigés par l'Australian Cyber Security Centre (ASD's ACSC) de l'Australian Signals Direction, fournissent un résumé des stratégies d'atténuation et des meilleures pratiques en matière de sécurisation, de renforcement et de gestion efficace des appareils de périphérie, ainsi que des détails techniques sur sept stratégies d'atténuation que le personnel opérationnel, d'approvisionnement et de cybersécurité doit mettre en œuvre pour réduire les risques pour les appareils de périphérie.

"Le Centre australien de cybersécurité (ACSC) de l'Australian Signals Direction (ASD) a noté une augmentation inquiétante du nombre d'incidents impliquant des compromissions d'appareils de pointe", indique le guide des praticiens. "Les appareils Edge sont exposés à Internet, généralement difficiles à surveiller et capables d'accéder à d'autres actifs sur le réseau, offrant un point d'entrée et une cible attrayants pour les acteurs malveillants."

Le document final, dirigé par CISA, est une mise à jour d'un guide 2023 sur les principes de sécurité dès la conception destiné aux fabricants avec des liens vers des ressources sur la mise en œuvre.

"Les produits conçus selon les principes Secure by Design donnent la priorité à la sécurité des clients en tant qu'exigence commerciale essentielle, plutôt que de simplement la traiter comme une fonctionnalité technique", indique la page Web d'introduction. "Pendant la phase de conception du cycle de vie de développement d'un produit, les entreprises doivent mettre en œuvre les principes Secure by Design pour réduire considérablement le nombre de failles exploitables avant de les introduire sur le marché pour une utilisation ou une consommation généralisée. Prêts à l'emploi, les produits doivent être sécurisés avec des fonctionnalités de sécurité supplémentaires telles que l'authentification multifacteur (MFA), la journalisation et l'authentification unique (SSO), disponibles sans frais supplémentaires. "

Une grosse affaire… si les fabricants d'appareils s'y conforment

Les conseils destinés aux fabricants enthousiasment particulièrement Frank Dickson, vice-président du groupe IDC pour la sécurité et la confiance. "C'est une très grosse affaire", a-t-il déclaré. "C'est légitimement énorme, surtout si les fabricants d'appareils capitulent et se conforment à ces exigences."

"Ces appareils sont essentiels à la mission", a-t-il ajouté. "et certains de ces appareils présentent une vulnérabilité ridicule en termes de quantité de données [circulant à travers eux]". Malgré cela, a-t-il noté, beaucoup n'offrent aucune visibilité sur ce qui se passe à l'intérieur, de sorte que les clients ne peuvent pas évaluer si le fabricant fait du bon travail en matière de mise à jour du micrologiciel et s'il est proactif.

Katell Thielemann, analyste vice-présidente distinguée chez Gartner, est également satisfaite de ces orientations, mais a noté qu'il ne s'agit que d'un début.

« Les avis sont positifs dans la mesure où ils montrent que la communauté Five Eyes collabore pour faire émerger les meilleures pratiques », a-t-elle déclaré. Et ils continuent de "rappeler à la communauté que tout ce qui est connecté à Internet est par défaut exposé et constitue une cible potentielle".

OT n'est pas IT

Cependant, elle ne pense pas que regrouper les pare-feu, les routeurs, les appareils IoT et les systèmes OT connectés à Internet dans un avis soit utile à la communauté, et « ne les appelle pas non plus « appareils de pointe », car cela suppose que l'informatique d'entreprise est le centre de l'univers et que la « périphérie » est là-bas. »

« Cela peut être vrai pour les pare-feu, les routeurs et les passerelles VPN, mais pas pour les systèmes OT », a-t-elle poursuivi. "Ces systèmes OT sont des systèmes cyber-physiques (CPS) qui prennent en charge la production créatrice de valeur et les environnements critiques. Ils ne constituent pas la périphérie ; ils constituent le cœur des opérations."

Beaucoup sont connectés à Internet pour prendre en charge les opérations et la maintenance à distance, a-t-elle noté, donc « l'objectif devrait être de donner des conseils sur la façon d'accéder à distance à ces systèmes en toute sécurité, et le ton des conseils devrait être ciblé sur les réalités de production où les outils et processus de sécurité informatique ne sont pas toujours une bonne idée. »

Dickson pense également que ces directives constituent une bonne première étape, mais ajoute :« si nous autorisons la journalisation et la visibilité pour l'investigation numérique, ce serait également bien, s'il y avait un problème, que nous soyons réellement capables de remédier à cet appareil, une sorte d'interdiction. »

"C'est un énorme problème depuis un certain temps", a-t-il déclaré. "Le fait qu'il y ait une action vaste et coordonnée dans les multiples pays des Five Eyes est extrêmement significatif. C'est fort, c'est fort, c'est approprié, ce sont toutes de bonnes choses. Franchement, j'ai été tellement impressionné qu'ils aient annoncé cela, que je me suis dit :"Dieu merci, nous abordons enfin ce problème".

"Tout ce que nous devons faire, c'est demander à quelques très grandes organisations de mettre en œuvre [les directives] comme condition préalable à l'achat de certains de ces appareils de pointe à l'avenir et [le problème] sera résolu."

INSCRIVEZ-VOUS À NOTRE NEWSLETTER

De nos rédacteurs directement dans votre boîte de réception

Commencez en saisissant votre adresse e-mail ci-dessous.