Paroles de consultant !
Parce qu’on peut suivre une stratégie d’entreprise, avoir un comportement « corporate » et pour autant, avoir son opinion sur son métier : « Paroles de consultant ! » est une série d’articles qui donne la parole aux consultants EXCUBE, sur une thématique de cybersécurité.
Dans cet article c’est Baptiste DAVID, l’EXCUBEr qui prend la plume et donne son avis.
Retrouvez la bio express de Baptiste en fin d’article.
Les « 10 Quick Wins pour les RSSI »
Augmented by Baptiste !
Comme beaucoup de passionnés de la cyber, je suis fan du podcast No Limit Sécu.
L’un des derniers épisodes a particulièrement retenu mon attention : l’épisode qui parlait de la publication « 10 Quick Wins pour les RSSI » de Christophe Renard.
Dans cet article je me permets de compléter ces 10 Quick-Wins à partir de mes propres retours d’expérience de consultant cybersécurité et RSSI délégué.
Je précise simplement certaines recommandations et commentaires en lien direct à des incidents et des situations rencontrées chez des clients.
Je reste fidèle à la démarche initiale de Christophe :
- obtenir (dans la mesure du possible) une liste d’actions pouvant être déployée « rapidement et à moindre effort ».
- pouvoir appliquer chaque action en « moins d’une semaine ouvrable ».
Mon objectif est donc de renforcer, si possible, l’article initial : en accentuant au maximum l’opérationnel, le concret, les conseils pratiques… bref, le « réel » auquel je suis attaché.
Alors… si vous cherchez des justifications pour trouver un budget pour acquérir un nouveau module de détection IA-BigData, passez votre chemin : ici le but est de faire le maximum par soi-même ! 😉
Quick-Win 1 : Supervisez les antivirus
La recommandation initiale |
« Faites monitorer les instances d’antivirus sur votre parc. Quand ils plantent/s’arrêtent/sont désinstallés sur plusieurs machines en temps restreint, sonnez l’alarme. » |
Mon analyse |
J’ai commencé par rajouter la recommandation de Christophe Renard (CR) à ma propre checklist. Super idée !
Je complète avec 3 mesures :
- Installez un antivirus (est-il nécessaire de le dire ?) et contrôlez leurs applications. Suivez régulièrement le taux d’installation et de mise à jour de vos endpoints sur votre parc pour avoir la visibilité de ce qui est couvert / non couvert.
Cela permettra aussi d’éviter de découvrir le jour d’un incident que les demandes d’installations sur les derniers serveurs installés n’avaient jamais été appliquées.
- Portez attention à vos exceptions :
- Challengez les demandes d’exception faites par les intégrateurs et éditeurs, ou à minima ne les appliquez que sur un périmètre restreint.
- Revoyez régulièrement les exceptions en place (cible : une fois par mois).
Non, mettre %WINDIR%/Temp en exception sur l’ensemble du parc serveurs y compris ceux exposés n’est pas une bonne idée.
- Traitez les alertes antivirus : vous pouvez tout à fait recevoir un mail de votre solution de sécurité pour vous informer qu’une menace a bien été identifiée, mais non supprimée ! Mettez une règle spécifique sur ces détections qui nécessitent des actions manuelles urgentes.
Tableau de bord type pour une supervision des antivirus
(réalisé sous AugmentedCISO 😉 )
Quick-Win 2 : Migrez les administrateurs dans Protected Users
La recommandation initiale |
« Migrez vos administrateurs Windows dans le groupe Protected Users de l’Active Directory (sauf un compte bris de glace). » |
Mon analyse |
Alors certes, pour l’application de ces mesures en une semaine il faudra sûrement revoir ses prétentions à la baisse, mais je rajouterai :
- Supprimez les droits d’administration de vos utilisateurs sur leurs postes de travail.
- Déployez LAPS pour renforcer les comptes administrateurs « Built-in », mais n’oubliez pas l’organisation qui doit venir accompagner l’outil : autorisation et mise en place des exceptions, définition de la procédure des droits d’accès aux secrets, et supervision des accès aux secrets.
👉 Pour cela, fournissez à vos utilisateurs « ayant le besoin justifié et validé » un compte nominatif, dédié avec un champ d’action limité : chaque utilisateur ne doit être administrateur que d’un nombre limité de machines.
👉 Veillez à régulièrement nettoyer les groupes « Administrateurs » de vos machines pour ne laisser que les comptes validés.
Quick-Win 3 : Scannez votre espace d’adresses IP
La recommandation initiale |
« Faites scanner vos adresses IP exposées sur Internet régulièrement, et investiguez les changements de services avant que les attaquants ne le fassent… » |
Mon analyse |
Pour une application en une semaine, un premier scan des services exposés permet de faire une première cartographie, mais pour plus de résultats menez cette action régulièrement :
- Votre SI bouge, la publication de nouveaux services également ! L’apparition de nouvelles vulnérabilités passées en dehors de votre veille reste possible.
- Cela vous permettra d’identifier les services dont on vous avait promis la désactivation rapide lors du précédent audit annuel.
Quick-Win 4 : Développez la connaissance des applications et de leurs propriétaires
La recommandation initiale |
« Listez les principales applications de votre organisation et prenez un verre/repas/café informel avec chacun de leur propriétaire plusieurs fois par an pour connaître leurs préoccupations et projets. Bonus si vous récupérez leur GSM pour les appeler le jour où. » |
Mon analyse |
Je ne peux donc que plussoyer sur cette recommandation.
D’ailleurs, j’ai beaucoup apprécié la discussion lors du podcast sur le fait qu’un RSSI devait « avoir un bon foie » pour bien mener sa mission. 😊
Autre exemple d’un RSSI avec lequel je travaille régulièrement qui m’a confié :
«Moi, mon boulot je le fais plus avancer à la machine à café qu’en réunion où l’on est 10 sans ordre du jour ».
(Si tu passes par là, sache que je la répète à l’ensemble de mes clients 😊 )
Plus sérieusement, la recommandation ici est : faites connaissance avec votre environnement, et faites-vous connaître.
J’ai constaté que cela vous permettra de :
- Faciliter l’identification des sujets sécurité existants dans votre organisation en échangeant sur le quotidien de vos contacts
- Faciliter leurs résolutions en ayant une relation au-delà des mails, des rapports d’audit et des analyses sécurité.
Quick-Win 5 : Activez le multifacteur dans le cloud
La recommandation initiale |
« Activez le multifacteur d’Office 365/GSuite pour les comptes d’utilisateurs importants : services financiers, administrateurs techniques, VIP. N’attendez pas d’avoir un facteur matériel idéal: un MFA soft (même SMS) est mieux que pas. » |
Mon analyse |
Bon alors, là… j’en ai d’ailleurs parlé avec l’auteur, mais une semaine pour déployer du MFA sur votre suite de Messagerie Cloud …. Challenge not accepted !
Cependant si vous lancez le sujet, profitez de ce déploiement pour insister sur l’intérêt qu’aura le MFA pour protéger les comptes personnels de vos utilisateurs : comptes bancaires, réseaux sociaux, etc. Il existe aujourd’hui beaucoup d’outils grand public adaptés à tous !
L’un des points bloquants de cette mesure concerne l’application pour le personnel n’ayant pas de téléphone portable professionnel (point évoqué dans le podcast) : Désaccord avec les intervenants, selon moi il n’est pas aisé d’interdire les accès aux personnes n’ayant pas le MFA.
Ou du moins … pas en une semaine.
Quick-Win 6 : Supprimez seDebugPrivilege
La recommandation initiale |
« Faites supprimer le privilège seDebugPrivilege des utilisateurs du domaine Windows. Ce privilège permet de lire la mémoire de n’importe quel processus, et de manipuler processus et taches indépendamment de leur propriétaire. Par défaut, il est donné à « Local Admin » et les seuls qui en aient besoin sont les développeurs système.» |
Mon analyse |
Pour ce genre de mesure, plus que l’activation (qui est effectivement très simple, une « simple GPO »), je vous recommande de bien définir comment traiter les exceptions !
Vous pouvez utiliser les comptes administrateurs nominatifs et dédiés du quick-wins 2 par exemple.
Quick-Win 7 : Identifiez les prestataires DFIR
La recommandation initiale |
« Faites une liste des prestataires potentiels de réponse à incident et de gestion de crise. Contactez chacun pour connaître ses conditions contractuelles, tarifaires, points de contact et délais de réponse en cas d’urgence. Bonus si vous revoyez la liste tous les ans.» |
Mon analyse |
Bien souvent, quand je demande à mes clients comment est organisé leur management des incidents on me dit « En cas de souci, j’appelle l’ANSSI ».
Sauf cas vraiment particulier l’ANSSI n’a pas vocation et les ressources pour intervenir sur les incidents touchant le secteur privé.
Avant l’incident, faites un référentiel contenant :
- Une ou plusieurs sociétés
- Les délais et modalités d’interventions
- Des points de contact.
Utilisez https://www.cybermalveillance.gouv.fr/ et votre écosystème cyber pour identifier cette première liste, et échanger avec eux. En cas d’intervention, il sera nécessaire d’avoir déjà fait un peu connaissance 😉
Conservez ceci sur une fiche punaisée au mur, avec la liste de vos interlocuteurs applicatifs et métiers : cf. la recommandation 4 😉.
Quick-Win 8 : Déployez un outil de gestion de mot de passe
La recommandation initiale |
« Faites déployer (si ce n’est déjà en place) un outil de gestion de mot de passe sur tout le parc bureautique (comme Keepass). Et préparez une campagne de « nudging » sur l’usage des mots de passe générés uniques et le stockage sécurisé.» |
Mon analyse |
Pour avancer “rapidement » sur un sujet comme celui-là, prenez bien en compte 2 spécificités.
- Ne sous-estimez pas la reprise de l’existant : Vous avez forcément au sein de votre service informatique, des bases Keepass, voire des fichiers EXCEL. Les intégrer dans une solution corporate avec la bonne gestion des droits pourra facilement nécessiter 3 ou 4 jours de travail..
- Le grand public / Monsieur Michu à la compta, trouve Keepass trop austère (n’aurait-il pas raison ? 🤔) et pour vous assurer que l’outil que vous proposez est utilisé et bien utilisé, ne sous-estimez pas les actions de gestion du changement et formation.
Pour mener vos campagnes de test de mots de passe, vous pouvez commencer à chercher :
- Les mots de passe faibles ne respectant pas la politique de mot de passe (« L’utilisateur doit changer son mot de passe à la prochaine connexion » n’a pas été coché, je parie ?)
- Les utilisateurs ayant un mot de passe présent dans un dictionnaire (que vous pourrez rapidement générer à partir du nom de votre organisation, votre langue, etc.)
- Les utilisateurs ayant le même mot de passe. (Même si vous n’obtenez pas la valeur du mot de passe, il est fort à parier qu’il est faible …)
Tableau de bord type suivi de robustesse des mots de passe
(réalisé sous AugmentedCISO 😉 )
Il n’y a qu’à scripter 😊
Quick-Win 9 : Utilisez HaveIBeenPowned
La recommandation initiale |
« Inscrire ses domaines DNS sur HaveIBeenPowned pour découvrir les mots de passe leakés avant que les attaquants ne le fassent» |
Mon analyse |
Voilà une occasion rêvée de faire une action de sensibilisation ! Évitez les messages anxiogènes du type « votre compte a été hacké changez votre mot de passe ». Par ailleurs si vous effectuez déjà de la sensibilisation il y a de fortes chances que votre message ne soit pas pris au sérieux 😊
Préférez le message instantané, ou un coup de téléphone, pour expliquer ce qu’il s’est passé, en quoi cela pourrait être impactant pour l’utilisateur, votre organisation, et faites passer vos recommandations sur l’unicité, le renouvellement, et la robustesse des mots de passe.
Petit bonus : snusbase.com qui vous permettra d’accéder aux mots de passe (ou hash) fuités ! Rien de tel pour compléter la sensibilisation.
Quick-Win 10 : Bloquez les IP suspects sur les services exposés
La recommandation initiale |
« Faites bloquer sur le pare-feu devant les services internes exposés sur Internet (webmail, portail VPN, portail RH…) les adresses IPs de sorties TOR et (si possible) des principaux VPN publics.» |
Mon analyse |
Selon moi c’est cette recommandation qui est la plus difficile à appliquer. Bien sûr elle permet d’élever significativement le niveau de sécurité, mais elle nécessite d’avoir une bonne visibilité sur qui sont les consommateurs légitime de vos services exposés ou de disposer d’une source d’information « Threat intelligence » fiable pour identifier les consommateurs illégitimes. Or bien souvent ces sources, sont chères, de qualités inégales et mal exploitées. Je suis donc sûr que vous aurez d’autres priorités !
Ma préconisation alternative et pragmatique, pour rester sur l’application en 1 semaine : Commencez par limiter les interfaces et services d’administrations exposés sur internet (un must have) et complétez si vous êtes en mesure de le faire dans la semaine.
Quick-Wins BONUS : Si vous disposez d’un équipement de filtrage des accès web (proxy web ou dns), et du cloisonnement réseau associé, bloquez les flux web sortants depuis les serveurs vers les ressources inconnues (vous pouvez bien sûr conserver des exceptions vers les ressources de mise à jour par exemple !)
Merci à Christophe Renard et toute l’équipe NoLimitSecu pour leurs inspirations pour cet article.
Retrouvez l’intégralité et l’origine de ce post ici :
No Limit Sécu « 10 Quick Wins pour les RSSI » https://www.nolimitsecu.fr/ Podcast autour d’une publication de Christophe Renard (https://twitter.com/FuraxFox).
N’hésitez pas à compléter cette liste et à me contacter en direct (via LinkedIn).
Baptiste DAVID
via Le mot EXCUBE de la fin
Dans cet article Baptiste a présenté son point de vue et des recommandations sur la manière d’appliquer ces Quick-Wins. Ces mesures sont représentatives des promesses EXCUBE : nous nous efforçons de rendre nos recommandations explicites, claires, concrètes.
Chacune pouvant être alors actionnable selon nos préconisations.
Vous vous demandez si ces 10 quick-wins sont applicables pour vous ?
Quels seraient VOS quick-wins, appliqués à VOTRE contexte ?
N’hésitez pas à prendre RDV avec un de nos consultants ici.
Vous souhaitez aller plus loin ? Découvrez VISION-360
VISION-360 vous permet d’aller plus loin en prenant en compte votre existant et vos propres risques pour construire votre schéma directeur de sécurité qui inclut vos propres « quick-wins ».
VISION-360 est une offre de prestation au forfait, avec engagement de résultat.
👉 Plus d’info ici
Bio express EXCUBEr – Baptiste DAVID
Baptiste en quelques lignes : Basé à Lyon, ardent consultant cybersécurité, un peu geek sur les bords. Il fait toujours part de son avis avec enthousiasme. Il apprécie défendre son point de vue, partager savoir-faire et retour d’expérience, bref, il est le candidat parfait pour initier cette nouvelle série d’articles « Paroles de consultant ».