Les 8 principales mesures que les MSP doivent adopter pour contrer les cyberattaques

De plus en plus, les MSP sont la cible de cyberattaques sophistiquées. Alors, quelles principales mesures doivent-ils prendre pour se protéger efficacement et par extension, protéger leurs clients ?

Des PME aux entreprises stratégiques, de plus en plus d'organisations font confiance aux MSP (fournisseurs de services managés) pour surveiller, gérer et protéger leurs données.  Mais des entités de surveillance gouvernementales (telle Five Eyes aux Etats-Unis) ont signalé, en mai dernier, que les MSP étaient de plus en plus la cible de cyberattaques (attaques de la chaîne d'approvisionnement, des ransomwares et des campagnes de cyber-espionnage) menées par des États étrangers.

Alors quelles mesures les MSP doivent-ils adopter pour renforcer leurs défenses, s'assurer qu'ils se protègent efficacement contre des cyberattaques de plus en plus sophistiquées et par extension, qu'ils protègent leurs clients.

Les MSP : un tremplin pour les cybermenaces malveillantes

Les MSP ont vu le jour à la fin des années 90, à l'époque de la bulle internet. A l’origine, ces fournisseurs d'accès à Internet (FAI) proposaient à leurs clients des dispositifs de pare-feu et les services opérationnels correspondants. Avec le temps, ils sont devenus des fournisseurs de services de sécurité complets, particulièrement pour les PME à la recherche d’experts dotés de solutions accessibles et évolutives pour renforcer leur cybersécurité.

Aujourd'hui, la cybersécurité est devenue une nécessité pour les entreprises opérant dans un paysage en constante évolution. Les solutions traditionnelles, telles que les anti-virus et antimalware, ne parviennent plus à repousser les attaquants qui ne font plus de distinctions entre les cibles et frappent quelle que soit la taille de l’entreprise. Dès lors, nombreuses sont les sociétés qui souhaitent mettre en place une politique de cybersécurité fiable dont les ressources sont limitées. C'est dans ce contexte que les MSP interviennent !

Les entreprises leur confient le stockage de leurs données, la gestion de leurs plateformes de communication et le support de leur infrastructure informatique. Or, disposant d’un accès à tous les réseaux de leurs clients, les MSP deviennent de fait un point d'entrée privilégié par les hackers qui peuvent attaquer de nombreuses cibles en même temps. Par ailleurs, non seulement, les cybercriminels s’attaquent aux clients finaux des MSP, mais également aux clients de leurs clients.

Les risques liés aux services des MSP

En général, les MSP fournissent aux clients des services de surveillance et de gestion de la sécurité en continu. De nombreuses entreprises choisissent de travailler avec eux pour renforcer les capacités de leurs équipes informatiques, d'autres cherchent à être protégés 24h/24 et 365 jours/an et beaucoup comptent sur leur expertise pour maintenir et gérer leur système de cybersécurité. Détection et réponse aux intrusions en continu, gestion des identités et des privilèges d'accès, gestion et surveillance des pare-feu, gestion des correctifs et des vulnérabilités, gestion des réseaux privés virtuels (VPN), évaluation des risques et gestion de la conformité, expertise et formation en matière de cybersécurité… les MSP fournissent, en effet, un large éventail de services, axés sur la cybersécurité. Pour ce faire, ils ont besoin d’un accès privilégié aux réseaux de leurs clients et une connectivité de confiance.

Connaissant ce mode de fonctionnement, les attaquants se concentrent sur les MSP plutôt que de cibler directement chacun des clients. Après une intrusion réussie, ils peuvent également mener des activités de cyber-espionnage sur les clients des MSP afin de déployer des attaques par ransomware et de double extorsion.

La nature des attaques ciblant la chaîne logistique

Les cybercriminels sont souvent opportunistes et cherchent toujours à atteindre des cibles de plus en plus lucratives en empruntant la voie la plus facile. Aujourd’hui, les attaques contre les MSP sont en plein essor car les cybercriminels peuvent avoir accès aux réseaux de leurs clients finaux. Stopper les effets de cascade sur de multiples réseaux, pour contrer les cyberattaques visant la chaine logistique, est devenu le principal enjeu.

Principales protections à attendre des MSP

Les risques liés à la chaîne logistique étant amenés à perdurer, les entreprises qui font appel à des MSP doivent s'assurer que ces derniers mettent en place des mesures de protection stratégiques pour réduire les risques. Les MSP se doivent de garantir une architecture, une gouvernance et des capacités de sécurité conformes aux normes du secteur. Ils sont également tenus de réévaluer régulièrement leur stratégie et leurs processus de cybersécurité afin de respecter les mesures et les contrôles de cybersécurité préconisés.

1. Prévention de la compromission d’origine et des attaques ciblées

La première mission d'un MSP pour prévenir les compromissions consiste à renforcer les dispositifs vulnérables et les outils d'accès à distance tels que les VPN. L'analyse des vulnérabilités fait partie intégrante de cette prévention, car elle aide les MSP à protéger leurs données tout en continuant d’utiliser leurs logiciels quotidiens et leurs applications Web. Les attaques ciblées pour “craquer” les mots de passe, les attaques par force brute et les campagnes de phishing peuvent également être atténuées lorsque les MSP renforcent leurs Remote Desktop Protocol (RDP) sur Internet.

2. Promouvoir une cyber-hygiène holistique

Les MSP doivent adopter une cyber-hygiène optimale pour assurer la longévité de leurs opérations. Ils s’assurent que leurs outils et logiciels internes sont à jour et appliquent les correctifs en temps voulu, en particulier pour les dispositifs de pare-feu et de VPN.

Ils doivent également mettre en place une authentification multi-facteur (MFA), basée sur les applications, pour tous les appareils et les outils de surveillance et de gestion à distance (RMM) et surveiller fréquemment les tentatives de connexion échouées, typiques des activités malveillantes.

En outre, les MSP et leurs clients doivent pratiquer une gestion stricte des mots de passe afin de parer à toute tentative d’attaque par credential stuffing.

3. Mise en œuvre d'une approche Zero Trust

L'objectif du Zero Trust est de limiter l'exposition des données les plus sensibles d'un réseau. Chaque utilisateur ne reçoit que le niveau d'accès dont il a besoin pour accomplir ses tâches. Dans un 1er temps, l'architecture Zero Trust exige que tous les utilisateurs et toutes les machines s'authentifient avant que les autorisations nécessaires ne puissent être accordées. Ensuite, le Zero Trust implique la segmentation d'un réseau afin d'isoler chaque partie, ce qui le sécurise contre les hackers qui tentent de se propager latéralement à travers les systèmes.

4. Mener les procédures d’offboarding adéquates

Un processus d’offboarding IT implique la suppression des comptes, des instances et des outils obsolètes si l'entreprise n'en a plus besoin. Les comptes avec des mots de passe partagés doivent être supprimés, idem dans le cas de départ de collaborateur ou de changement de fonction. Les scanners de ports et les inventaires automatisés des systèmes peuvent faciliter le processus d’offboarding, car les entreprises effectuent des audits réguliers de leur infrastructure réseau.

5. Planifier des sauvegardes régulières

Les MSP et leurs clients doivent s'assurer qu'ils disposent de nombreuses copies de sauvegarde de toutes les données et infrastructures essentielles afin de pouvoir restaurer le système ou une partie de celui-ci en cas de panne, de perte ou de compromission. Les sauvegardes doivent être stockées à distance, soit dans le cloud, soit sur un serveur physique dédié. L’idéal étant les deux.

Il est essentiel que les sauvegardes soient effectuées sur des systèmes distincts et qu'elles soient chiffrées et fréquemment vérifiées pour détecter les accès anormaux et l'intégrité des données. La politique de sauvegarde doit également être documentée et les sauvegardes effectuées à intervalles réguliers.

À mesure que les attaques par ransomware évoluent, de nombreux attaquants exfiltrent les données sensibles de leurs victimes, en plus de les chiffrer, afin de disposer d'un levier supplémentaire pour percevoir une rançon. Face à ce type d'attaque par ransomware, appelé double extorsion, le MSP ou client ciblé risque de voir ses données publiées. Lors d’une triple extorsion, les attaquants approchent directement les clients ou les fournisseurs de la victime, leur demandent une rançon, les menacent de publier leurs informations sensibles et, de plus en plus, de lancer une attaque par déni de service distribué (DDoS).

Si les sauvegardes ne suffisent plus à déjouer les attaques par ransomware, le fait qu’elles soient mises à jour régulièrement permet aux entreprises touchées d'accéder encore à leurs données, de communiquer en urgence et de mettre en œuvre leur plan de réponse aux incidents, notamment la reprise des services affectés.

6. Améliorer la sécurité de l'Internet des objets (IoT)

Alors que l'industrie de l’IoT a connu un essor important au cours des dix dernières années grâce aux appareils connectés à Internet et au cloud, l'intégration de ces appareils sur le lieu de travail, et même dans les véhicules et bâtiments intelligents, représente un nouveau facteur de risque. Les appareils IoT souffrent d'un certain nombre de problèmes de sécurité, notamment des mots de passe par défaut, des micro-logiciels obsolètes ou vulnérables, et des ports ouverts sur Internet. En outre, les appareils IoT sont souvent laissés sans protection, car leurs ressources matérielles limitées ne conviennent pas aux solutions de sécurité des endpoints. Chacune de ces extensions de réseau pourrait devenir un point d'accès potentiel à exploiter par les hackers. Les MSP et leurs clients doivent identifier tous les actifs de l’entreprise afin d’obtenir une visibilité globale sur chaque appareil IoT connecté et bloquer ceux qui ne sont pas autorisés.

7. Planification de la réponse aux incidents et de la remédiation

La mise en place d'un plan clair et applicable en cas d'incident de sécurité peut déterminer l'efficacité avec laquelle une entreprise répond à une cyberattaque et s’en remet. Les plans de réponse aux incidents (RI) sont essentiels pour déployer une meilleure cyber-résilience et peuvent aider les entreprises à identifier les personnes, les processus et les technologies devant faire l’objet d’une surveillance accrue. Ces plans doivent être exécutés et mis à jour régulièrement pour s'assurer qu'ils sont adaptés aux besoins actuels de l'entreprise et aux nouveaux types de cyberattaques.

8. Mettre en place une détection et une réponse autonomes 24 heures sur 24 et 7 jours sur 7

Les attaquants ne cessant d’évoluer et d’améliorer leurs méthodes, les MSP doivent établir une stratégie de réponse efficace. En cas d'incident de sécurité, un temps de réponse rapide peut faire la différence. Les MSP renforcent souvent leur équipe interne avec une solution de détection et de réponse robuste afin de garantir le temps de réponse le plus efficace possible pour protéger leurs clients.

Dans un paysage des menaces en constante évolution et face à des méthodes d'attaque de plus en plus sophistiquées, les MSP offrent une protection accessible et évolutive pour répondre au mieux aux besoins de leurs clients. Ceux qui s’appuient sur des solutions robustes de type XDR sont en mesure de prévenir, détecter et répondre aux menaces persistantes avancées sur toute la surface d'attaque de leurs clients.