En 2017, l’Australian Cyber ​​Security Center (ACSC) a publié un ensemble de stratégies d’atténuation conçues pour aider les organisations à se protéger contre les incidents de cybersécurité. Ces stratégies, connues sous le nom de Essential Eight, sont conçues spécifiquement pour être utilisées sur les réseaux Windows, bien que des variantes de ces stratégies soient couramment appliquées à d’autres plates-formes.

Qu’est-ce que le Huit Essentiel ?

L’Essential Eight est essentiellement un cadre de cybersécurité composé d’objectifs et de contrôles (chaque objectif comprenant plusieurs contrôles). Initialement, le gouvernement australien n’obligeait les entreprises qu’à respecter quatre des contrôles de sécurité inclus dans le premier objectif. Cependant, à partir de juin 2022, les 98 entités du Commonwealth non constituées en société (NCCE) seront tenues de se conformer à l’ensemble du cadre.

Les non-Australiens prennent note

Bien que l’Essential Eight soit spécifique à l’Australie, les organisations en dehors de l’Australie doivent en tenir compte. Après tout, l’Essential Eight est « basé sur l’expérience de l’ACSC dans la production de renseignements sur les cybermenaces, la réponse aux incidents de cybersécurité, la réalisation de tests d’intrusion et l’assistance aux organisations pour mettre en œuvre l’Essential Eight » (source). En d’autres termes, l’Essential Eight pourrait être considéré comme un ensemble de meilleures pratiques basées sur la propre expérience de l’ACSC.

Une autre raison pour laquelle ceux en dehors de l’Australie prêtent attention aux Huit Essentiels est que la plupart des pays développés ont des réglementations en matière de cybersécurité qui imitent étroitement les Huit Essentiels. Bien qu’il y ait inévitablement des différences dans les réglementations, la plupart des ensembles de réglementations en matière de cybersécurité semblent s’accorder sur les mécanismes de base qui doivent être mis en place pour rester en sécurité. L’examen de l’Essential Eight australien peut aider les organisations à l’étranger à mieux comprendre ce qu’il faut pour assurer la sécurité de leurs systèmes. Les huit essentiels sont divisés en quatre niveaux de maturité, le niveau de maturité 0 indiquant que l’organisation n’est pas du tout sécurisée. Le niveau de maturité 1 offre un niveau de protection très basique, tandis que le niveau de maturité 3 a des exigences beaucoup plus strictes. Les organisations sont encouragées à évaluer leurs risques globaux et leurs ressources informatiques lorsqu’elles choisissent un niveau de maturité cible.

Objectif 1 : Contrôle des applications

L’objectif Application Control est conçu pour empêcher l’exécution de code non autorisé sur les systèmes. Le niveau de maturité 1 est principalement destiné à empêcher les utilisateurs d’exécuter des exécutables, des scripts, des outils et d’autres composants non autorisés sur leurs postes de travail, tandis que le niveau de maturité 2 ajoute des protections pour les serveurs connectés à Internet. Le niveau de maturité 3 ajoute des contrôles supplémentaires, tels que les restrictions de pilote et le respect des listes de blocage de Microsoft.

Objectif 2 : Applications de correctifs

Le deuxième objectif est axé sur l’application de correctifs aux applications. Les éditeurs de logiciels fournissent régulièrement des correctifs de sécurité à mesure que des vulnérabilités sont découvertes. L’objectif Patch Applications stipule (pour tous les niveaux de maturité) que les correctifs pour les vulnérabilités des services Internet doivent être corrigés dans les deux semaines, à moins qu’un exploit n’existe, auquel cas les correctifs doivent être appliqués dans les 48 heures suivant leur disponibilité. Cet objectif prescrit également des conseils pour d’autres types d’applications et pour l’utilisation de scanners de vulnérabilité.

Objectif 3 : configurer les paramètres de macro Microsoft Office

Le troisième objectif est de désactiver l’utilisation des macros dans Microsoft Office pour les utilisateurs qui n’ont pas de besoin commercial légitime d’utilisation des macros. Les organisations doivent également s’assurer que les macros sont bloquées pour tout fichier Office provenant d’Internet et que les paramètres ne peuvent pas être modifiés par les utilisateurs finaux. Les organisations doivent également utiliser un logiciel antivirus pour rechercher les macros. Des niveaux de maturité plus élevés ajoutent des exigences supplémentaires telles que l’exécution de macros dans des emplacements en bac à sable. Objectif 4 : Utiliser le renforcement des applications

Le quatrième objectif est appelé Application Hardening, mais à un niveau de maturité de 1, cet objectif concerne principalement le verrouillage du navigateur Web sur les PC des utilisateurs. Plus précisément, les navigateurs doivent être configurés de manière à ne pas traiter Java, ni à traiter les publicités Web. De plus, Internet Explorer 11 ne peut pas être utilisé pour traiter du contenu Internet (des niveaux de maturité plus élevés nécessitent la suppression ou la désactivation d’Internet Explorer). Les paramètres du navigateur doivent être configurés de manière à ce qu’ils ne puissent pas être modifiés par les utilisateurs. Les niveaux de maturité plus élevés se concentrent sur le renforcement d’autres applications au-delà du navigateur. Par exemple, les lecteurs Microsoft Office et PDF doivent être empêchés de créer des processus enfants.

Objectif 5 : Restreindre les privilèges administratifs

L’objectif 5 concerne la sauvegarde des comptes privilégiés. Cet objectif établit des règles telles que les comptes privilégiés ne sont pas autorisés à accéder à Internet, aux e-mails ou aux services Web. De même, il doit être interdit aux comptes non privilégiés de se connecter à des environnements privilégiés. Lorsqu’un attaquant cherche à compromettre un réseau, l’une des premières choses qu’il fera est d’essayer d’obtenir un accès privilégié. En tant que tel, il est extrêmement important de protéger les comptes privilégiés contre la compromission. L’un des meilleurs outils tiers pour ce faire est Specops Secure Service Desk qui empêche les réinitialisations de mot de passe non autorisées pour les comptes privilégiés et non privilégiés. De cette façon, un attaquant ne pourra pas accéder à un compte privilégié simplement en demandant une réinitialisation du mot de passe.

Objectif 6 : Patcher les systèmes d’exploitation

Tout comme les fournisseurs d’applications publient périodiquement des correctifs pour résoudre les vulnérabilités connues, Microsoft publie régulièrement des correctifs Windows. Ces correctifs arrivent normalement le « Patch Tuesday », mais des correctifs hors bande sont parfois déployés lorsque de graves vulnérabilités sont corrigées. L’objectif Patch Operating System définit les exigences de base pour maintenir Windows corrigé. De plus, cet objectif exige des organisations qu’elles recherchent régulièrement les correctifs manquants.

Objectif 7 : Authentification multifactorielle

Le septième objectif définit quand l’authentification multifacteur doit être utilisée. Le niveau de maturité 1 est relativement indulgent, nécessitant une authentification multifacteur principalement lorsque les utilisateurs accèdent à Internet ou à des applications Web (entre autres). Les niveaux de maturité plus élevés nécessitent l’utilisation de l’authentification multifacteur dans un nombre toujours croissant de situations. Exiger une authentification multifacteur est l’une des choses les plus efficaces qu’une organisation puisse faire pour assurer la sécurité des comptes d’utilisateurs. Specops uReset permet l’authentification multifacteur pour les demandes de réinitialisation de mot de passe, ce qui permet de sécuriser les comptes d’utilisateurs.

Objectif 8 : Sauvegardes régulières

L’objectif du huitième est de créer des sauvegardes régulières. Outre la création de sauvegardes, les organisations sont tenues d’effectuer des tests de restauration et d’empêcher les comptes non privilégiés de supprimer ou de modifier des sauvegardes, ou d’accéder à des sauvegardes qui ne leur appartiennent pas. Des niveaux de maturité plus élevés définissent des restrictions d’accès supplémentaires sur les comptes non privilégiés et sur les comptes privilégiés (à l’exception des administrateurs de sauvegarde et des comptes de bris de glace).

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *