La NSA (Agence de sécurité nationale) et la CISA (Agence de cybersécurité et de sécurité des infrastructures) ont recensé dans un document qu’ils viennent de publier les 10 erreurs de configuration principales en matière de cybersécurité.
La National Security Agency (NSA) et l’Agence de cybersécurité et de sécurité des infrastructures (CISA) ont publié conjointement une note d’une cinquantaine de pages dans laquelle ils mettent en lumière les erreurs de configuration les plus courantes en matière de cybersécurité au sein des grandes organisations. A partir des évaluations réalisées par leurs équipes Red et Blue, ainsi que celles de recherche de menaces et d’intervention, les deux agences ont identifié les 10 principales dont elles détaillent les tactiques, techniques et procédures (TTP) que les acteurs utilisent pour exploiter ces erreurs de configuration.
- Configurations par défaut des logiciels et des applications
- Mauvaise séparation des privilèges utilisateur/administrateur
- Surveillance interne insuffisante du réseau
- Absence de segmentation du réseau
- Gestion insuffisante des correctifs
- Contournement des contrôles d’accès système
- Méthodes d’authentification multifactorielle (MFA) faibles ou mal configurées
- Listes de contrôle d’accès (ACL) insuffisantes sur les partages de réseau et les services
- Hygiène des identifiants médiocre
- Exécution de code non restreinte
Pour la NSA et la CISA, “ces erreurs de configuration illustrent une tendance aux faiblesses systémiques dans de nombreuses grandes organisations, y compris celles ayant des postures de cybersécurité matures, et l’importance pour les fabricants de logiciels d’adopter des principes de conception sécurisée afin de réduire la charge sur les défenseurs du réseau“. Elles ajourent à cela que des équipes de sécurité réseau correctement formées, dotées de ressources adéquates et financées de manière appropriée peuvent mettre en œuvre les mesures d’atténuation connues pour remédier à ces faiblesses.
A tout problème, sa solution
Fortes de ces informations, les deux agences conseillent aux éditeurs d’intégrer des principes et des tactiques de sécurité by design, à savoir dès la conception dans leurs pratiques de développement logiciel. Elles encouragent également les défenseurs des réseaux à mettre en œuvre une liste de recommandations pour réduire le risque d’exploitation par des acteurs malveillants des erreurs de configuration identifiées
- Supprimer les identifiants par défaut et renforcer les configurations.
- Désactiver les services inutilisés et mettre en place des contrôles d’accès.
- Mettre à jour régulièrement et automatiser les correctifs, en donnant la priorité aux correctifs des vulnérabilités connues exploitées.[2]
- La NSA et la CISA exhortent les fabricants de logiciels à prendre en charge l’amélioration de la sécurité de leurs clients en adoptant des tactiques sécurisées par conception et par défaut, notamment :
- Intégrer des contrôles de sécurité dans l’architecture du produit dès le début du développement et tout au long du cycle de développement logiciel (SDLC).
- Éliminer les mots de passe par défaut.
- Fournir gratuitement des journaux d’audit de haute qualité aux clients.
Le document est accessible gratuitement en téléchargement sur le site de l’U.S. Department of Defense