Maîtriser le modèle de maturité des huit éléments essentiels

Essential Eight (E8) est un ensemble de stratégies d’atténuation classées par ordre de priorité, élaboré par l’Australian Cyber Security Centre (ACSC) pour aider les organisations à protéger leurs réseaux informatiques connectés à Internet contre diverses cybermenaces. Ces contrôles de sécurité s’inscrivent dans le cadre plus large des meilleures pratiques de l’Australian Signals Directorate (ASD) intitulées Strategies to Mitigate Cyber Security Incidents (Stratégies visant à atténuer les incidents de cybersécurité).

Les huit stratégies Essential Eight sont les suivantes :

1. Applications de correctifs
2. Correctifs de système d’exploitation
3. Authentification multifactorielle (MFA)
4. Restreindre les privilèges administratifs
5. Contrôle des applications
6. Restreindre les macros Microsoft Office
7. Durcissement des applications utilisateur 
8. Sauvegardes régulières

Essential Eight, pourquoi est-ce important ?

Les stratégies Essential Eight sont cruciales car elles abordent les domaines clés de l’atténuation des risques en matière de cybersécurité, en aidant les organisations à prévenir et à détecter les cybermenaces et à y répondre. En mettant en œuvre ces stratégies, les entreprises australiennes peuvent réduire considérablement le risque de cyberincidents, protéger les données sensibles et garantir l’intégrité et la disponibilité de leurs systèmes.

De plus, selon le gouvernement australien, le fait d’appliquer ces tactiques de manière proactive est « plus rentable en termes de temps, d’argent et d’efforts que de devoir répondre à un incident de cybersécurité à grande échelle ». Sachant que le coût moyen d’une violation de données est de 4,88 millions de dollars (montant le plus élevé jamais atteint), les organisations ont tout intérêt à prendre des mesures préventives plutôt que de réagir après coup.

À qui s’applique la conformité E8 ?

Les stratégies Essential Eight ne sont pas universellement requises. Toutefois, pour certaines agences et certains départements du gouvernement australien, les contrôles de sécurité E8 peuvent être imposés par des directives, des politiques ou des exigences réglementaires du gouvernement.

Dans ces cas, la conformité aux stratégies Essential Eight est nécessaire pour répondre à des normes et réglementations spécifiques en matière de cybersécurité. Les organisations ne relevant pas du champ d’application obligatoire sont encouragées à adopter les stratégies E8 comme meilleure pratique pour se protéger contre les cybermenaces, mais elles ne sont pas légalement tenues de le faire.

Le modèle de maturité Essential Eight (E8MM) de l’ASD fournit une approche structurée permettant aux organisations de mettre progressivement en œuvre les stratégies E8, afin d’atteindre un niveau de maturité adéquat dans leurs pratiques de cybersécurité. Autrement dit, il s’agit d’un cadre permettant d’améliorer les contrôles de sécurité.

Le modèle classe la maturité selon quatre niveaux, chacun étant basé sur l’atténuation de degrés croissants de « tradecraft ». Selon l’Australian Signals Directorate, « les acteurs malveillants peuvent faire preuve de différents niveaux de savoir-faire pour mener à bien différentes opérations contre différentes cibles ».

Par exemple, un cybercriminel capable de mettre en œuvre des tactiques avancées pourrait les utiliser contre une cible tout en ayant recours à des stratégies de base contre une autre. De leur côté, les organisations australiennes doivent déterminer quel niveau de maturité « Essential Eight » correspond à leur environnement de risque spécifique, c’est-à-dire à la probabilité d’une attaque et à ses dommages potentiels.

Voici une description de chaque niveau et de ce qu’il implique :

• Niveau de maturité zéro : indique des faiblesses dans la posture globale de cybersécurité, rendant l’organisation vulnérable aux attaques. En d’autres termes, les organisations de ce niveau ne disposent pas des protections adéquates pour protéger les données sensibles contre l’accès et l’exploitation non autorisés.
• Niveau de maturité un : l’accent est mis sur l’atténuation des menaces émanant d’acteurs malveillants à l’aide de techniques et d’outils élémentaires largement disponibles. Ce niveau suppose que les acteurs malveillants se contentent de tirer parti de failles bien connues, telles que des vulnérabilités qui n’ont pas été corrigées.
• Niveau de maturité deux : concerne les menaces perpétrées par des cybercriminels plus avisés, prêts à investir du temps et des efforts supplémentaires pour contourner les contrôles de sécurité. Par exemple, ils peuvent cibler activement les identifiants de connexion en utilisant des techniques d’hameçonnage et d’ingénierie sociale pour contourner les outils d’authentification multifactorielle faibles. Ce niveau suppose également que les acteurs malveillants sont susceptibles d’être plus sélectifs dans le ciblage des victimes, préférant les utilisateurs disposant d’un accès privilégié pour récolter des informations plus sensibles.
• Niveau de maturité trois : l’objectif est de se défendre contre des adversaires hautement adaptatifs et compétents qui utilisent des techniques avancées pour compromettre les systèmes. En général, il s’agit de cybercriminels qui sont prêts et capables d’investir du temps, de l’argent et des efforts pour contourner des protections plus efficaces. Par exemple, ils peuvent essayer de contourner des mécanismes sophistiqués d’authentification multifactorielle en volant des jetons d’authentification.

Ainsi, alors que le niveau de maturité zéro indique la posture de sécurité la plus faible, le niveau de maturité trois représente la plus forte.

Améliorer votre niveau de maturité Essential Eight

Quel que soit votre point de départ, il est essentiel d’atteindre un niveau de cybermaturité adéquat pour protéger les données sensibles. Voici quelques étapes élémentaires à suivre pour commencer :

1. Planification : fixez un niveau de maturité cible et identifiez les étapes nécessaires pour l’atteindre. Tenez compte des types d’informations sensibles traitées par votre organisation et de la probabilité que des acteurs malveillants investissent des ressources pour cibler vos systèmes. D’après ces éléments, consultez le modèle de maturité de l’ASD pour identifier vos besoins en matière de contrôle.
2. Évaluation : effectuez une analyse des lacunes afin d’identifier les domaines à améliorer. Cela permettra d’évaluer votre posture de cybersécurité par rapport au point de référence du niveau cible.
3. Mise en œuvre : mettez en œuvre progressivement chaque stratégie d’atténuation, en veillant à réduire les exceptions et à les documenter.
4. Suivi et révision : examinez et mettez régulièrement à jour vos stratégies d’atténuation afin de maintenir la conformité et de vous adapter aux nouvelles menaces. Si votre paysage de risques évolue, demandez-vous si votre niveau de maturité actuel est suffisant.
5. Amélioration continue : efforcez-vous d’atteindre des niveaux de maturité plus élevés en affinant et en améliorant les stratégies au fil du temps.

L’Australian Cyber Security Centre ne recommande pas de solution unique pour atteindre le niveau de maturité trois, mais plutôt une série de stratégies d’atténuation et de contrôles de sécurité. Pourquoi ? Parce que c’est grâce à une combinaison de processus et d’outils qu’il est possible de se protéger contre les menaces de plus en plus avancées.

Détaillons chaque stratégie d’atténuation :

1. Contrôle des applications
   Cette mesure de sécurité limite l’exécution de logiciels non autorisés ou non approuvés, empêchant ainsi des logiciels malveillants et des applications potentiellement nuisibles de s’exécuter sur les systèmes d’une organisation. Elle consiste à créer et à appliquer une liste blanche d’applications approuvées, en veillant à ce que seuls les logiciels vérifiés et nécessaires puissent s’exécuter.
   Le contrôle des applications est essentiel car il permet de bloquer l’exécution de codes malveillants, réduisant ainsi le risque d’infection par des logiciels malveillants et limitant la surface d’attaque potentielle. Les contrôles de sécurité peuvent inclure la mise sur liste blanche de logiciels, la mise en œuvre de règles d’exécution et la surveillance continue de l’activité des applications.
2. Applications de correctifs
   Au fil du temps, de nouveaux programmes malveillants peuvent rendre les applications plus vulnérables qu’auparavant. Cette stratégie d’atténuation permet de faire face à ce risque en veillant à ce que tous les logiciels soient fréquemment mis à jour avec les derniers correctifs de sécurité. L’application régulière de correctifs peut impliquer l’analyse des vulnérabilités permettant d’identifier les mauvaises configurations et la gestion automatisée des correctifs pour mettre à jour les systèmes en temps voulu.
3. Configurer les paramètres des macros Microsoft Office
   Les macros Microsoft Office permettent aux utilisateurs de configurer le fonctionnement de leurs applications. Il s’agit essentiellement d’instructions de programmation qui permettent d’automatiser des tâches répétitives. Bien qu’utiles pour gagner en productivité, ces macros servent également aux cybercriminels pour diffuser des logiciels malveillants. Par exemple, ils peuvent cacher un code malveillant dans un fichier Excel.
   La désactivation ou la restriction des macros provenant de sources non fiables peut empêcher les menaces de s’implanter dans votre environnement, protégeant ainsi les ressources critiques contre un accès non autorisé.
4. Durcissement des applications utilisateur
   Le durcissement des applications utilisateur réduit la surface d’attaque en désactivant ou en limitant les fonctions inutiles de certaines applications, telles que Flash, Java et les publicités sur le Web, qui sont souvent exploitées par les pirates. Le durcissement est crucial car il supprime ou limite les fonctionnalités qui peuvent être exploitées pour obtenir un accès ou exécuter un code malveillant.
   Cette mesure de sécurité est essentielle pour une prise en charge efficace de la gestion des clés et de la Public Key Infrastructure (PKI). La sécurisation des applications qui utilisent des clés de chiffrement peut contribuer à les protéger contre l’exposition ou l’utilisation abusive. Cela consiste à désactiver les fonctions inutiles et à appliquer des normes de chiffrement rigoureuses dans les applications.
5. Restreindre les privilèges administratifs
   Les privilèges administratifs désignent les droits et autorisations élevés accordés à certains comptes d’utilisateur, leur permettant d’apporter des modifications à l’ensemble du système, d’installer des logiciels, d’accéder à des données sensibles et de configurer les paramètres de sécurité. Si l’accès privilégié est nécessaire à la gestion des systèmes informatiques, il présente également un risque important pour la sécurité s’il n’est pas correctement contrôlé.
   Si un cybercriminel obtient l’accès à un compte privilégié, il peut exploiter les autorisations pour installer des logiciels malveillants, exfiltrer des données sensibles, créer des portes dérobées et désactiver les contrôles de sécurité, prenant ainsi le contrôle de l’ensemble du système. Il est donc essentiel de restreindre et de gérer les privilèges administratifs pour minimiser l’impact potentiel de telles attaques.
   Un module matériel de sécurité (Hardware security module, HSM) utilisé conjointement avec une application de gestion des accès privilégiés peut considérablement améliorer cette stratégie en gérant et en protégeant en toute sécurité les clés de chiffrement et les opérations sensibles. Les modules matériels de sécurité nShield fonctionnent conjointement avec les applications PAM pour empêcher le détournement de compte grâce à la protection des meilleures pratiques des informations d’identification privilégiées telles que les clés API, les clés SSH, les secrets DevOps et les comptes d’administration cloud, et à la protection des clés de chiffrement qui sont à la base de la sécurité de votre infrastructure.
6. Correctifs de système d’exploitation
   L’application de correctifs de système d’exploitation consiste à maintenir le système d’exploitation à jour avec les dernières mises à jour de sécurité afin de corriger les vulnérabilités connues. Comme les correctifs d’applications, cette stratégie est essentielle pour se protéger contre les programmes malveillants qui ciblent des failles et des configurations erronées connues. L’application régulière de correctifs de système d’exploitation est essentielle, car ce dernier constitue l’épine dorsale de l’infrastructure informatique et toute vulnérabilité peut entraîner des failles de sécurité généralisées.
7. L’utilisation de l’authentification multifactorielle
   L'authentification multifactorielle renforce les processus d’authentification des utilisateurs en exigeant plusieurs formes de vérification, par exemple quelque chose que l’utilisateur connaît (mot de passe) et quelque chose qu’il possède (jeton de sécurité). Elle peut également avoir recours à la reconnaissance faciale ou aux empreintes digitales pour confirmer les identifiants biométriques.
   Cette stratégie est essentielle car elle ajoute une couche de sécurité supplémentaire, ce qui rend l’accès non autorisé beaucoup plus difficile pour les attaquants, même si les informations d’identification sont compromises. L’authentification multifactorielle résistante à l’hameçonnage, telle que l’authentification adaptative, peut rendre le processus encore plus compliqué en effectuant une vérification progressive, basée sur le risque, dans certaines conditions.
8. Sauvegardes régulières
   Des sauvegardes régulières ou quotidiennes permettent de restaurer les données en cas de perte, de corruption ou d’incident de cybersécurité. Cette stratégie implique la création et le maintien de sauvegardes sécurisées et résilientes des données, des applications et des paramètres système, qui sont essentiels à la continuité de l’activité. Cette pratique constitue un filet de sécurité qui permet aux organisations de se remettre des attaques de ransomware, des pannes de matériel ou d’autres événements catastrophiques.

De l’authentification multifactorielle à la gestion des accès privilégiés et au-delà, Entrust propose une grande variété de solutions pour vous aider à mettre en œuvre les stratégies Essential Eight et à protéger les informations.