Le guide ransomware de l’ANSSI américaine est mis à jour

Le guide ransomware de l’ANSSI américaine est mis à jour

Des mots de passe VPN plus sécurisés recommandés

La CISA, l’homologue américaine de notre ANSSI, vient de mettre à jour son “guide du ransomware”. Parmi les nombreuses modifications apportées à ce document initialement publié en septembre 2020, on retrouve la recommandation d’utiliser des mots de passe VPN d’au moins 15 caractères, si l’utilisation du MFA (authentification multifactorielle) n’est pas possible.

Nouvelles recommandations et terminologie

Si la structure du guide reste globalement la même, de nombreux ajouts ont été faits, notamment au niveau terminologique. Par exemple, la notion de “double extorsion” est désormais clairement identifiée.

Prévention et sauvegardes hors ligne

En matière de prévention, les bases étaient déjà posées, notamment en ce qui concerne la nécessité de conserver des sauvegardes hors ligne. Cette mise à jour ajoute les templates IaC (Infrastructure as Code) à cette section, tout en suggérant d’envisager des stratégies de backup multicloud. Le guide recommande également de s’appuyer sur le zero trust pour renforcer la sécurité.

Vulnérabilités logicielles et bonnes pratiques

Les lignes directrices concernant les vulnérabilités logicielles étaient déjà présentes dans la version initiale du guide. Il est notamment recommandé de maintenir à jour le système d’exploitation et les applications, ainsi que de sécuriser les protocoles particulièrement exposés tels que RDP (Bureau à distance). La CISA insiste maintenant sur la nécessité de limiter l’utilisation des services de bureau à distance et d’éviter l’utilisation des protocoles de la v1 et v2 de SMB. Elle donne également des conseils pour protéger la v3 de SMB et encourage les PME à envisager des offres cloud managées pour faciliter la maintenance de leurs serveurs exposés sur Internet.

À lire aussi  Comment choisir le meilleur comparateur de syndic en France?

Nouveaux outils anti-ransomware

La version 2023 du guide ransomware comprend une nouvelle section sur la compromission d’authentifiants. On y retrouve la recommandation d’utiliser des mots de passe d’au moins 15 caractères et d’activer le MFA sur un maximum de services. L’implémentation d’un IAM (Identity and Access Management) est également recommandée, tout comme l’activation de Credential Guard sur Windows et l’interdiction de sauvegarder les mots de passe dans les navigateurs.

Lutte contre le phishing et les souches malveillantes

Le guide insiste sur l’importance de l’éducation des utilisateurs finaux pour lutter contre le phishing. Parmi les nouveautés, on retrouve l’activation du filtrage des pièces jointes pour restreindre certains types de fichiers, ainsi que des recommandations concernant les macros Office et l’hôte de script Windows. Il est également conseillé de maintenir à jour son antivirus, d’établir une liste blanche d’applications et de considérer l’utilisation d’un IDS (Système de Détection d’Intrusion) pour prévenir les infections ransomwares. L’utilisation de Sysmon est également recommandée pour empêcher la création malveillante de fichiers.

Tierces parties et réponse aux incidents

Le guide n’apporte pas de grandes évolutions concernant les tierces parties, notamment les MSP (Fournisseurs de Services Managés). Toutefois, la CISA souligne la nécessité de mettre en place le principe du moindre privilège et de séparer les rôles.

En cas d’incident, le guide recommande de prendre un instantané des ressources cloud pour une investigation ultérieure, d’examiner les systèmes de détection et de prévention des intrusions, et d’effectuer une réinitialisation des mots de passe sur tous les systèmes touchés.

(Photo d’illustration : blackboard – Adobe Stock)

À lire aussi  Le crédit facile : explications et démarches