Catégories
Uncategorized

Une recette pour prévenir les cyberattaques

S’il est impossible de prévenir complètement les cyberattaques, prendre ces mesures rendra plus difficile pour les pirates de les exécuter et réduira leur impact sur les réseaux de communication de la sécurité publique lorsqu’elles se produisent.

Le réseau de communication est similaire au corps humain. Les deux sont des compilations complexes de composants individuels capables d’accomplir seuls des tâches vitales, mais lorsqu’ils sont interconnectés, ils agissent de manière holistique pour fournir des performances puissantes. Par exemple, le système 911 de nouvelle génération (NG911) – composé de protocoles IP (Internet Emergency Protocol) (ESInet), de services de base de nouvelle génération (NGCS), d’équipements de gestion d’appels compatibles (CHE) et de fibres optiques – analogiques à cardiovasculaires système du corps abondent dans le cœur, les poumons, les reins et le système vasculaire. Tout fonctionne ensemble pour fournir les performances requises. Tout comme l’organisme dispose d’un certain nombre de systèmes qui lui permettent de fonctionner comme prévu, il en va de même pour l’agence de sécurité publique.

Les différents systèmes du corps et les systèmes de l’Agence de sécurité publique sont similaires à plusieurs autres égards. Premièrement, beaucoup de choses peuvent mal tourner avec chaque composant individuel, et lorsque cela se produit, les résultats peuvent être catastrophiques pour le système. Deuxièmement, des examens réguliers peuvent souvent empêcher les problèmes de se produire et, lorsqu’ils surviennent, ils vous aident à les atténuer rapidement pour réduire les dommages.

Cet article examine ce qui peut mal tourner avec les réseaux de communication de sécurité publique du point de vue de la cybersécurité. Plus important encore, il propose des suggestions sur les agences qui devraient travailler de manière proactive pour se protéger des menaces et y faire face rapidement si elles surviennent.

C’est un monde effrayant – et ça devient de plus en plus effrayant

Tout comme le corps humain est sensible aux infections virales et bactériennes, les réseaux informatiques sont sujets aux cyberattaques. Cela est particulièrement vrai pour les réseaux IP et aucun secteur n’est à l’abri, y compris la sécurité publique – peut-être en particulier la sécurité publique. Le Federal Bureau of Investigation (FBI) indique que la question n’est plus de savoir si, mais quand, un réseau de communication individuel pour la sécurité publique sera attaqué.

Ça n’a pas toujours été comme ça. Au départ, les entreprises étaient la principale cible des pirates informatiques qui tentaient de voler des secrets commerciaux ou d’autres données vitales. Lorsque les agences de sécurité publique se sont retrouvées à la croisée des chemins, l’objectif était une erreur – envisagez les attaques par déni de service – ou, plus simplement, un moyen pour les pirates de démontrer leur compétence. Ces dernières années, cependant, les choses ont pris une tournure plus vicieuse.

Aujourd’hui, les ransomwares constituent la plus grande menace pour la communauté de la sécurité publique. Le FBI affirme que les ransomwares sont devenus la plus grande menace pour la sécurité publique, et la raison en est qu’ils sont devenus un gros problème pour la communauté des hackers. La société de cybersécurité Bitdefender a rapporté qu’environ 2 milliards de dollars avaient été déboursés en 2017. Depuis le début de 2017, plus de 400 cyberattaques contre des agences de sécurité publique ont été documentées, avec moins de 50% des attaques signalées.

Les ransomwares sont un type spécifique de logiciels malveillants que les pirates utilisent pour exploiter une vulnérabilité du système, puis exécuter un programme qui crypte les fichiers de données d’une organisation, les verrouillant essentiellement et les rendant inutilisables. Le pirate informatique demande alors une rançon – d’où le nom – pour sécuriser la clé cryptographique qui déverrouille les fichiers. De plus, dans un grand pourcentage de cas, même après avoir payé la rançon, les clés de cryptage ne sont jamais rendues à la victime du ransomware. Cybersecurity Ventures prédit que les entreprises du monde entier subiront une attaque contre la fréquence cardiaque toutes les 14 secondes. Les agences de sécurité publique sont particulièrement vulnérables en raison des données qu’elles utilisent – lorsque ces données sont compromises, les systèmes sont essentiels pour fonctionner, par ex. Le traitement et l’envoi des appels 911 avec un ordinateur peuvent être rendus inutilisables, ce qui aurait un impact négatif sérieux sur l’intervention d’urgence, peut-être l’arrêt, au moins temporairement. Après certaines des attaques de ransomwares les plus importantes, dans des endroits comme Baltimore et Atlanta, une récupération complète a pris des mois. C’est le scénario ultime du cauchemar pour un secteur dont le travail sauve des vies.

Pire encore, la communauté des forces de l’ordre – y compris le FBI – est impuissante à arrêter les attaques, en partie à cause d’un manque de ressources, mais aussi parce que la communauté des hackers est énorme, en croissance et en expansion dans le monde entier. Il s’améliore également dans ce qu’il fait, et pratiquement de jour en jour. Les pirates informatiques utilisent aujourd’hui des techniques innovantes pour naviguer à travers les pare-feu et une fois à l’intérieur du réseau, naviguer latéralement, parfois pendant des mois, jusqu’à ce qu’ils découvrent des vulnérabilités à exploiter.

Heureusement, beaucoup de choses que les agences de sécurité publique peuvent faire elles-mêmes pour augmenter les tracas du piratage de leurs réseaux et atténuer les conséquences des cyber-attaques, si elles ne les empêchent pas complètement.

Schéma de traitement

Il y a cinq ans, la Federal Communications Commission (FCC) a créé le groupe de travail sur l’architecture optimale des PSAP (TFOPA), qui a réuni des professionnels de la sécurité publique pour élaborer des exigences pour le NG911, y compris le réseau et la cybersécurité, pour la communauté de la sécurité publique. Son objectif principal était de déterminer la meilleure voie pour la mise en œuvre du NG911 à travers le pays. Cependant, au cours de ce processus, TFOPA a identifié une approche en six étapes pour protéger ces réseaux. Il s’agit d’une approche que toute organisation de sécurité publique devrait suivre pour protéger ses réseaux de communication, NG911 ou autre. Les six étapes sont les suivantes:

  • Identification / découverte. C’est sans doute l’étape la plus importante car elle fournit la base de tout ce qui suit. En fait, chacune des six étapes s’appuie sur les étapes précédentes. Le but de cette étape est de comprendre l’environnement réseau. La première chose à faire est de dresser une liste complète de tous les actifs et connexions réseau, qui comprend la mise à jour des diagrammes de réseau. Sans inventaire en ligne actuel, il est difficile de résoudre un problème lorsque des problèmes surviennent. Ce sont souvent les seuls schémas de réseau que les agences de sécurité publique disposent de fournisseurs lors de la première mise en œuvre du réseau et de ses sous-systèmes.
  • Évaluer / fixer les priorités. L’idée de cette étape est de bien comprendre le réseau et les risques posés par la cybersécurité pour le réseau. Idéalement, l’évaluation serait effectuée par un troisième expert. Une fois que les risques ont été identifiés, ils doivent être classés par ordre de priorité, puis un plan doit être élaboré pour y faire face – un élément clé dans l’établissement d’un plan est de concevoir et de documenter les politiques et procédures connexes. C’est également une bonne idée de créer une liste de points auxquels les politiques et procédures seront appliquées, afin que rien ne soit négligé.
  • Mise en œuvre / travail. Comme son nom l’indique, le but de cette étape est de lancer un plan de réseau et de cybersécurité. Un élément essentiel comprend la formation du personnel sur les politiques et procédures, en particulier celles gérant l’accès au réseau. Trop souvent, le personnel de l’agence ouvre par inadvertance des fonds d’écran sur le réseau en branchant des périphériques externes sur un bus de service universel USB (ou un ordinateur passager) ou en cliquant sur un lien situé dans un e-mail de phishing. Ces appareils et connexions contiennent souvent des logiciels malveillants qui permettent aux pirates de s’infiltrer puis de se déplacer sur le réseau.

    Les meilleures pratiques incluent la réalisation d’une authentification à deux facteurs pour obtenir l’accès au réseau. À tout le moins, les mots de passe doivent être changés régulièrement. Dans le cas contraire, l’ancien employé pourrait s’asseoir dans le parking de l’agence et se connecter à son réseau privé virtuel (VPN) avec juste un nom d’utilisateur et un mot de passe – et alors ils sont de l’autre côté du pare-feu, capables d’aller n’importe où sur le réseau qu’ils veulent. Souvent, les employés écrivent des codes sur des notes autocollantes, puis les collent sur leurs écrans d’ordinateur, ce qui permet aux passants de voler des passeports incroyablement facilement.

  • Suivez / notez. Le but de cette étape est de surveiller et d’évaluer en permanence l’environnement réseau pour identifier les anomalies. «En cours» est le mot clé. «Un et presque» n’est pas suffisant, car les pirates informatiques évoluent constamment, et ce n’est pas parce que le réseau est propre aujourd’hui qu’il le restera la semaine prochaine – ou même demain. Cela nécessite de comprendre et de mettre en œuvre la journalisation des événements et de définir des métriques permettant la création d’une base de données de base. Chaque fois que quelqu’un se connecte à un appareil réseau, il s’agit d’un événement et chaque événement doit être enregistré. Cela peut identifier des modèles de comportement normaux. Plus tard, par exemple, lorsque trois fois le nombre normal de tentatives de connexion se produit, cela indiquera clairement que quelque chose de suspect se déplace.

    Il est à noter que les hackers se lancent généralement à l’attaque au moins trois mois avant le réseau de communication. Les agences qui ne surveillent pas leurs réseaux – idéalement 24 x 7 x 365, automatiquement, à l’aide d’un logiciel conçu à cet effet – ne sont pas pleinement conscientes de la présence de pirates. En outre, la sécurité physique ne doit pas être négligée. Nous connaissons un cas où un pirate informatique a renversé l’uniforme de travail d’un fournisseur de services et, à son arrivée dans un organisme d’application de la loi, a annoncé qu’il était là pour effectuer la maintenance dans une salle avec des serveurs. L’officier a ensuite escorté le pirate dans la pièce et l’a laissé entrer – sans d’abord vérifier ses informations d’identification. Des choses comme celle-ci se produisent beaucoup plus souvent qu’on ne le pense.

  • Examiner / évaluer. Cette étape comprend un examen du calendrier du plan pour s’assurer qu’il se déroule comme prévu et offre la possibilité de le personnaliser, car les pirates informatiques sont les plus susceptibles d’ajuster leurs tactiques. Plus l’examen est effectué le plus souvent, mieux c’est, mais au moins une fois par trimestre.
  • Améliorer / évoluer. Il s’agit d’une étape «envoyer et répéter».

Tout ce qui précède vise à empêcher les mauvais acteurs des réseaux de communication de l’agence de sécurité publique. Il peut également être comparé à la sécurité à domicile. Les cambrioleurs sont toujours à la recherche de la cible la plus simple, donc l’installation de plusieurs verrous et le verrouillage réel – tout en installant un système de sécurité – ne deviendrait pas la cible la plus simple. Mais la vérité est que si le cambrioleur veut vraiment entrer, il utilisera la moulure et enfoncera la porte. Cela fonctionne de la même manière en cybersécurité – les pirates informatiques passent généralement par la moindre résistance, mais s’ils veulent percer un réseau particulier, ils le feront – ce n’est qu’une question de temps. Par conséquent, une étape critique pour compléter les étapes décrites ci-dessus proposées par TFOPA est de développer un plan de continuité opérationnel (COOP) et un plan de reprise après sinistre (DR).

Les éléments clés du plan COOP / DR sont les suivants:

  • Sauvegarde dynamique des données en temps réel. Alors que l’agence traite les appels d’urgence, toutes les activités enregistrées dans la base de données de production doivent également être enregistrées dans une copie de sauvegarde de la base de données stockée à l’étranger. Le stockage en nuage, qui est bon marché et fiable, est un moyen idéal pour y parvenir. Toutes les données utilisées pour trouver des appels d’urgence ou envoyer des ambulances doivent être sauvegardées. Les sauvegardes de données en temps réel permettront aux agences de reprendre les opérations plus rapidement et plus facilement si un pirate informatique est capable de crypter et de retenir en otage leurs bases de données primaires.
  • Procédures et directives. Le personnel de l’agence doit savoir comment réagir à une cyberattaque et savoir à qui incombe la responsabilité de prendre des décisions. Un plan de communication interne doit être développé, ainsi qu’un plan de communication externe avec les représentants du gouvernement, les citoyens et les médias. Les membres du personnel doivent se voir attribuer des rôles spécifiques et être formés. Tout cela doit être bien pensé, testé et mis en œuvre bien avant toute cyberattaque. C’est plus tard analogue à la fermeture de la porte d’emballage après le départ du cheval – pendant que l’étable brûle jusqu’au sol.

Tout comme le plan de cybersécurité et de gestion du réseau, les plans COOP et DR doivent être révisés au moins une fois par an, au moins trimestriellement, si possible.

Conclusion

Les attaques informatiques constituent une menace sérieuse pour tout réseau de communication de sécurité publique, une menace qui augmente de jour en jour. Étapes basées sur les normes de l’industrie et les meilleures pratiques – telles que celles proposées par TFOPA et d’autres, telles que l’Association of Public Safety Communication Officers (APCO), la National Emergency Number Association (NENA), le National Institute of Standards and Technology ( NIST) et la bibliothèque d’infrastructure de technologie de l’information (ITIL) – doit être fait pour qu’il soit aussi difficile que possible pour les pirates de traverser puis de naviguer sur le réseau.

En outre, des plans doivent être élaborés pour un retour rapide et efficace des opérations, car il existe une possibilité très réaliste qu’une attaque se produise même s’il existe des plans solides de gestion du réseau et de cybersécurité.

Toutes ces activités dépendent d’un changement de culture au sein de l’agence, de sorte que tout le personnel, de haut en bas, soit cyber-conscient et capable de mettre en œuvre les différentes politiques et procédures mises en œuvre pour établir une attitude forte en matière de cybersécurité.

Biographie de l’auteur / de l’entreprise

Mission Critical Partners est une société de services professionnels et de support réseau et informatique qui aide ses clients à améliorer et à développer leurs systèmes de sécurité publique et d’affaires grâce à une vaste expérience, des connaissances et des ressources. En fournissant des informations et un soutien à chaque étape, nous aidons nos clients à transformer leurs opérations critiques, à maximiser la valeur de leurs investissements et à garantir des performances et un succès optimaux. Pour plus d’informations, visitez MissionCriticalPartners.com

Vous recherchez les dernières nouvelles technologiques, en temps réel? Abonnez-vous aux newsletters GT.