La CISA doit rassembler l'armée citoyenne de la cybersécurité

La CISA (Cybersecurity and Infrastructure Security Agency) conseille aux entreprises de mettre en œuvre une série de mesures pour contrecarrer les attaques de social engineering et les attaques par hameçonnage. Ces mesures vont de l'activation de la fonction DMARC (Domain-based Message Authentication, Reporting, and Conformance) pour les e-mails reçus à la définition de listes de refus au niveau de la passerelle de messagerie et à l'activation de règles de firewall pour empêcher les infestations de malware.

Reconnaissant que la plupart des cyberattaques peuvent être retracées à partir des identifiants volés, la CISA encourage également les entreprises à former régulièrement les utilisateurs finaux à identifier les e-mails et les liens suspects, à les documenter et à les signaler dans le cadre d'un plan de réponse aux incidents.

En fait, la CISA tente de mobiliser une armée d'administrateurs informatiques pour mieux sécuriser les systèmes de messagerie qui, bien qu'ils soient essentiels à l'économie mondiale, ont été transformés en armes par les cybercriminels.

Au cœur de cet effort se trouve DMARC, qui, avec le SPF (Sender Policy Framework) et le DKIM (Domain Keys Identified Mail), vérifie le serveur qui a envoyé les e-mails par rapport à un ensemble de règles publiées. Si un e-mail ne réussit pas l'étape de la vérification, il est considéré comme une adresse e-mail usurpée et le système de messagerie le met en quarantaine et le signale comme étant malveillant. Tout aussi importants, les rapports DMARC fournissent un mécanisme permettant de notifier au propriétaire d'un domaine usurpé qu'il doit alerter l'ICANN (Internet Corporation for Assigned Names and Numbers) et les bureaux d'enregistrement pour qu'ils suppriment ce site.

La CISA encourage également les entreprises à mettre en œuvre l'authentification multifactorielle (MFA) afin de rendre leur entreprise plus résistante aux attaques par hameçonnage. Ils recommandent également les bonnes pratiques suivantes :

• Surveiller les systèmes de messagerie
• Restreindre les droits d'administration sur les terminaux et maintenir l'approche du moindre privilège pour les comptes des utilisateurs finaux
• Créer des listes blanches d'applications et bloquer les macros par défaut
• Mettre en œuvre l'isolation du navigateur à distance et des outils gratuits qui détectent les logiciels malveillants dans le navigateur
• Adopter des outils gratuits, tels que OpenDNS Home, pour empêcher la redirection du trafic vers des sites Web malveillants

En outre, lorsque les ressources le permettent, la CISA encourage les entreprises à adopter la gestion des identités et des accès (IAM) et l'authentification unique (SSO).

La plupart des professionnels de la cybersécurité connaissent généralement la plupart de ces outils, mais il existe des millions d'entreprises où un, voire deux, administrateurs informatiques constituent une ligne de défense très mince. En plus d'être responsable de la cybersécurité, ces mêmes personnes sont responsables de tout, de la gestion des réseaux à la configuration des imprimantes. Dans de nombreux cas, ce sont des responsables de bureau qui ont assumé la responsabilité de l'informatique en plus d'une multitude d'autres tâches qui incluent tout, de la comptabilité de base à la commande du déjeuner.

Les chances que ces personnes aient trouvé le temps de découvrir un avis CISA sont faibles. Beaucoup d'entre eux ne connaissent même pas l'existence de la CISA. Si les gouvernements veulent recruter ces personnes pour les aider à défendre l'intégrité des environnements informatiques contre les attaques de cybercriminels bien organisés, il est essentiel de multiplier les actions de sensibilisation. Il n'est peut-être pas possible de rencontrer personnellement tout le monde, mais si le gouvernement fédéral prend au sérieux la sensibilisation à la cybersécurité, il doit trouver des moyens d'atteindre les personnes qui gèrent les environnements informatiques sur leur lieu de vie et de travail. Par exemple, les événements et les séminaires organisés dans les bibliothèques locales auront en fin de compte plus d'impact que n'importe quel message d'intérêt public. Les agences gouvernementales feraient mieux d'investir dans la formation d'instructeurs pour enseigner et, ce qui est tout aussi important, pour motiver les personnes qui sont en première ligne dans la guerre mondiale pour la cybersécurité.

Sinon, l'armée de citoyens nécessaire pour gagner cette guerre continuera à rester largement inconsciente de la différence qu'elle pourrait réellement faire.