Les Managed Services Providers : cibles potentielles des pirates

En gérant plusieurs clients, souvent à partir d’une interface unique, les MSP doivent atteindre un haut niveau de sécurité. Les fournisseurs, éditeurs et distributeurs leur apportent des outils, des conseils et des services.

Propos de fournisseurs entendus au salon virtuel GoMSP dédié aux MSP : « J’ai vu un partenaire MSP utiliser le même mot de passe pour ses trente clients. » À l’instar des entreprises, les MSP sont des cibles privilégiées car ils gèrent de multiples clients, souvent des PME. « Ils sont bien sûr une cible intermédiaire de choix pour les pirates qui attaquent les clients finaux », constate Bruno Richoux, directeur marketing produits chez Coservit, éditeur de la solution de monitoring ServiceNav. En France, l’exemple le plus marquant est celui de Xefi, dont plusieurs dizaines de ses clients ont subi une attaque en janvier 2020, via l’outil de gestion et de surveillance IT à distance, édité par Kaseya. Selon le rapport Data Breach Investigations Report (DBIR) édité par Verizon, 43 % des victimes d’attaques IT, en 2019, étaient des PME, pour un coût moyen de 200 K$ par incident. Ces chiffres issus du marché américain sont transposables aux marchés européen et français. Ajoutons à cela, le temps d’arrêt moyen dû à une attaque par ransomware qui s’élève à 9,6 jours en 2020, selon une étude menée, cette fois-ci, par Coveware, qui aide les entreprises à se redresser en cas d’attaque. D’ailleurs Coveware a déclaré qu’un tiers des agressions (59 %) arrivent par le Remote Desktop Protocol de Microsoft, intégré à Windows, bien avant le courrier électronique ou le phishing (34 %). Ces faits montrent à quel point les partenaires MSP ne doivent pas négliger la sécurité de leurs clients, ni celle de leur propre activité.

« Nous ajoutons des fonctionnalités qui protègent les environnements des clients, et aidons les MSP dans leur stratégie de sécurité »

Gill Langston, Head Security Nerd, SolarWinds MSP

LA DOUBLE SÉCURITÉ

Les fournisseurs, éditeurs en tête, mettent en garde leurs partenaires, et émettent des recommandations. « Ces préconisations doivent à la fois toucher les méthodes, les ressources humaines et les outils. Une approche normative et adaptée au contexte est appropriée. Ainsi, la famille de normes ISO27000 [lire l’avis du partenaire MSP] est une bonne approche pour évaluer la solidité d’un SMSI1. Les clients finaux l’exigent de plus en plus. Mais ce n’est pas un exercice anodin car il mobilise ressources internes et budgétaires. De plus, il requiert un effort continu. J’insiste sur l’adaptation au contexte et un accompagnement ad hoc. En fonction de celui-ci, les outils et les méthodes appropriés seront mis en oeuvre ; de la sensibilisation de toutes les parties prenantes à la protection par couche, en passant par la définition du périmètre de la sécurité de l’information. Attention, le maillon le plus faible de la chaîne fragilise tout le processus. Pensez global », avertit Bruno Richoux, chez Coservit. Du côté de SolarWinds MSP, Gill Langston, Head Security Nerd, estime qu’il faut appliquer le principe du moindre privilège. Quelques exemples pour illustrer ces propos : ne pas donner les clés à un stagiaire, ni attribuer un même identifiant ou mot de passe pour tous les clients. D’autant que pour gérer ces données confidentielles, il existe des solutions efficaces comme Wallix Bastion, SolarWinds Passportal, ou encore MYKI (référencé par BeMSP).

« Nous insistons auprès de nos partenaires sur le Patch Management des vulnérabilités Microsoft et des éditeurs tiers »

Sébastien Borras, PreSales Manager, Kaspersky

OUTILS, CONSEILS ET BONNES PRATIQUES

De plus, il est recommandé d’appliquer une sécurité multicouche par l’usage de plusieurs outils comme l’EDR, l’antivirus, le filtrage d’e-mails, l’authentification à deux facteurs. Du côté de Kaspersky, l’équipe avant-vente débute toujours par une présentation de la gamme des produits, et une sensibilisation sur la sécurité informatique au sens large. « Ensuite, les sujets peuvent se faire beaucoup plus précis : nous réalisons souvent des visioconférences accompagnées de démonstrations sur les produits ou la sécurité. En parallèle, nos revendeurs MSP accèdent à un portail de connaissances où ils trouvent de nombreux supports deformation sur tous les sujets liés à nos solutions », explique Sébastien Borras, PreSales Manager, chez Kaspersky. Derrière cette panoplie d’outils, les fournisseurs prodiguent des conseils sous forme de services pour aider les partenaires MSP à mieux se protéger et, en parallèle, sécuriser leurs clients. « Outre les produits que nous proposons, et les mesures internes que nous prenons pour protéger les MSP et leurs clients, SolarWinds MSP investit dans leur formation, et les tient informés des menaces en matière de sécurité. Chaque trimestre, des bootcamps dédiés à la sécurité sont organisés ; nous tenons un blog – le Patch Tuesday – qui recense les vulnérabilités corrigées chaque mois, et donne des conseils sur les mesures à prendre. SolarWinds MSP organise également des groupes de MSP pour les partenaires, afin qu’ils dialoguent entre eux, et croisent leurs expériences autour de la sécurité. Ensuite, le contenu est placé dans le MSP Institute, et référencé ultérieurement. Enfin, nous organisons des office hours mensuelles appelées Security Update, où nous passons en revue les correctifs, identifions les priorités, et discutons des nouvelles relatives à la sécurité qui affectent les fournisseurs de services gérés et leurs clients », cite en exemple, Gill Langston, chez SolarWinds MSP. En outre, si un système de secours pour les sauvegardes est fortement conseillé,n’oublions pas que le cloud nécessite aussi un traitement identique au mode on-premise. Julien Fedullo, gérant de Just Informatique qui revend les solutions de Kaspersky, l’assure : l’éditeur offre le même niveau de sécurité dans le cloud qu’en mode on-premise ; en ce qui concerne la partie centralisation multiclient notamment, grâce à laquelle, sans infrastructure, les clients sont gérés depuis une console. D’ailleurs, les solutions de Kaspersky – notamment la console d’administration cloud et toute la partie SaaS – sont protégés par des authentifications à double facteur ou des certificats SSL.

« Accélérer la sensibilisation auprès des partenaires MSP en France »

Thomas Bresse, CEO & MSP Visionary, BeMSP

LES ATTAQUES PAR REBOND MOBILISENT L’ATTENTION

Les communications, quant à elles, sont propriétaires, et n’utilisent que quelques ports spécifiques. « Nous insistons auprès de nos partenaires sur le Patch Management des vulnérabilités Microsoft et des éditeurs tiers, qui fait partie des fonctionnalités incluses dans Kaspersky Security Center 12 Advanced. Ils l’utilisent, là aussi, pour leur parc interne, et réduisent ainsi très fortement l’éventualité d’attaques par rebonds », argumente Sébastien Borras, chez Kaspersky. Ces dernières « sont abondamment répandues sur les marchés anglo-saxons. Il est donc essentiel d’accélérer la sensibilisation auprès des partenaires MSP en France, car notre pays ne sera pas épargné », prévient, à ce titre, Thomas Bresse, président et cofondateur de BeMSP qui recommande de suivre une approche plus fine de la sécurité. « On pourra tout reprocher aux éditeurs qui fournissent déjà un haut niveau de sécurité, mais il incombe aux partenaires MSP de mettre en place des bonnes pratiques telles que la gestion des mots de passe. Il faut aussi attiser leur curiosité sur ce qui se trame dans le darkweb. Pour cela, nous proposons chez BeMSP, la plate-forme DarkWeb ID de l’éditeur Idagent. Ce n’est pas tout, il faudra même aller beaucoup plus loin car les entreprises évoluent dans des environnements hybrides [télétravail, on-premise, cloud, etc.] Pour répondre à cette problématique, nous avons signé un accord avec l’éditeur LionGard qui surveille et analyse les changements ou les comportements dans ces multiples environnements », conclut Thomas Bresse.

1 Système de management de la sécurité de l’information

AVERTIR, RENFORCER ET INTERDIRE, OU COMMENT LUTTER CONTRE LES RISQUES AGGRAVÉS PAR LE TÉLÉTRAVAIL

Le travail à distance perdurera bien après la crise, selon Audrey Richard, présidente de l’ANDRH (Association nationale des DRH) qui regroupe la plus grande communauté des directeurs de ressources humaines en France, tous secteurs confondus. Environ 40 % du personnel collaborait de leur domicile durant le confinement, contre 28 % à la sortie des grèves contre la réforme des retraites, en décembre 2019. Avec le télétravail, les attaques se sont multipliées, et pour cause. L’usage de terminaux personnels, les réseaux WiFi non sécurisés, ou encore les outils de partage de données grand public ont ouvert de nombreuses brèches de vulnérabilité. Face à ce constat, l’éditeur Kaspersky évoque trois pistes à étudier. La première concerne la sensibilisation des collaborateurs par de simples outils d’e-learning, pour une bonne hygiène IT, sans oublier le volet RGPD. « Notre programme Asap [automated security awareness platform] inclut des microformations deux fois ou trois fois par semaine, sous forme d’e-mail ou d’e-learning. Nous apportons aussi du contenu multimodal dans une dizaine de langues », dévoile Sébastien Borras, PreSales Manager chez Kaspersky France. Ensuite, Kaspersky évoque un durcissement de la politique des e-mails. Ses solutions Secure Mail Gateway, Security for Microsoft 365, et Endpoint Security 11 for Windows procèdent aux analyses d’e-mails. À ce titre, Sébastien Borras croit beaucoup à un retour du filtrage drastique des extensions des pièces jointes. Enfin, la troisième piste se focalise sur le hardening du endpoint, ou comment interdire l’accès à des matériels, à un client FTP ou à d’autres applicatifs, sachant que 76 % des évènements de sécurité enregistrés sont générés par les endpoints. À noter, pour terminer, que la partie EDR est également à prendre en considération.