Contrôle CIS 9 : Protections des e-mails et des navigateurs Web

Le Centre pour la sécurité Internet (CIS) publie des Critical Security Controls qui aident les organisations à améliorer la cybersécurité. Le Contrôle 9 du CIS couvre les protections pour les e-mails et les navigateurs web.

Les attaquants ciblent les e-mails et les navigateurs web avec plusieurs types d'attaques. Parmi les plus populaires figurent les social engineering attacks, telles que le phishing. Le social engineering vise à manipuler les personnes pour qu'elles révèlent des données sensibles, donnent accès à des systèmes restreints ou propagent des logiciels malveillants. Les techniques incluent l'ajout d'un fichier contenant un rançongiciel à un e-mail qui semble provenir d'une source fiable, ou l'inclusion d'un lien qui semble renvoyer à un site web légitime mais qui pointe en réalité vers un site malveillant permettant au pirate de collecter des informations précieuses, telles que les identifiants de compte de l'utilisateur. Certaines fonctionnalités des clients de messagerie peuvent les rendre particulièrement vulnérables, et des attaques réussies peuvent permettre aux pirates d'infiltrer votre réseau et de compromettre vos systèmes, applications et données.

Notez que le CIS a renuméroté ses contrôles dans la version 8. Dans les versions précédentes, la protection des e-mails et des navigateurs web était couverte dans le Control 7; ils se trouvent maintenant dans le Control 9.

Cet article explique les sept mesures de protection dans le CIS Control 9.

9.1 Assurez-vous de n'utiliser que des navigateurs et clients de messagerie entièrement pris en charge

Pour réduire le risque d'incidents de sécurité, assurez-vous que seuls les navigateurs et clients de messagerie entièrement pris en charge sont utilisés dans toute l'organisation. De plus, les navigateurs et les logiciels de messagerie doivent être rapidement mis à jour vers la dernière version, car les anciennes versions peuvent comporter des failles de sécurité qui augmentent le risque de violations. En outre, assurez-vous que les navigateurs et clients de messagerie disposent d'une configuration sécurisée conçue pour une protection maximale.

Ces pratiques devraient être incluses dans votre politique de sécurité et de technologie.

9.2 Utilisez les services de filtrage DNS

Le Domain Name System (DNS) permet aux utilisateurs du web de spécifier un nom de domaine convivial (www.name.com) au lieu d'une adresse IP numérique complexe. Les services de filtrage DNS aident à empêcher vos utilisateurs de localiser et d'accéder à des domaines ou des sites web malveillants qui pourraient infecter votre réseau avec des virus et des logiciels malveillants. Un exemple de la protection qu'il offre concerne les liens malveillants dans les e-mails de phishing ou dans les articles de blog que les gens lisent dans leurs navigateurs — le service de filtrage bloquera automatiquement tout site web sur la liste de filtrage pour protéger votre entreprise.

Le filtrage DNS peut également bloquer les sites Web inappropriés pour le travail, vous aidant à améliorer la productivité, éviter de stocker des fichiers inutiles ou dangereux que les utilisateurs pourraient télécharger, et réduire la responsabilité juridique.

Le filtrage DNS peut se faire au niveau du routeur, via un FAI ou via un service de filtrage web tiers comme un fournisseur de services cloud. Le filtrage DNS peut être appliqué à des adresses IP individuelles ou à des blocs entiers d'adresses IP.

9.3 Maintenir et appliquer des filtres d'URL basés sur le réseau

Complétez le filtrage DNS avec des filtres d'URL basés sur le réseau pour empêcher davantage les actifs de l'entreprise de se connecter à des sites web malveillants ou indésirables. Assurez-vous de mettre en place des filtres sur tous les actifs de l'entreprise pour une protection maximale.

Le filtrage des URL basé sur le réseau se déroule entre le serveur et l'appareil. Les organisations peuvent mettre en œuvre ce contrôle en créant des profils ou des catégories d'URL selon lesquels le trafic sera autorisé ou bloqué. Les filtres les plus couramment utilisés sont basés sur la catégorie de site web, la réputation ou les listes de blocage.

9.4 Restreindre les extensions de navigateur et de client de messagerie non nécessaires ou non autorisées

Empêchez les utilisateurs d'installer toute extension, plugin ou module complémentaire non nécessaire ou non autorisé pour leurs navigateurs ou clients de messagerie, car ceux-ci sont souvent utilisés par les cybercriminels pour accéder aux systèmes d'entreprise. De plus, recherchez régulièrement ces éléments dans votre réseau et désinstallez-les ou désactivez-les rapidement.

9.5 Implémentez DMARC

L'authentification des messages basée sur le domaine et le rapport de conformité (DMARC) aide les expéditeurs et les destinataires de courriels à déterminer si un message électronique provient réellement de l'expéditeur présumé et peut fournir des instructions pour la gestion des courriels frauduleux.

DMARC protège votre organisation en garantissant que les e-mails sont correctement authentifiés à l'aide des normes DomainKeys Identified Mail (DKIM) et Sender Policy Framework (SPF). En particulier, cela aide à prévenir l'usurpation de l'adresse From dans l'en-tête de l'e-mail pour protéger les utilisateurs contre la réception d'e-mails malveillants.

DMARC est particulièrement précieux dans les secteurs fortement touchés par les attaques de phishing, tels que les institutions financières. Cela peut contribuer à accroître la confiance des consommateurs, car les destinataires des e-mails peuvent mieux faire confiance à l'expéditeur. Et les organisations qui dépendent de l'e-mail pour le marketing et la communication peuvent constater de meilleurs taux de livraison.

9.6 Bloquer les types de fichiers non nécessaires

Bloquer les types de fichiers que votre organisation n'utilise pas peut davantage protéger votre entreprise. Les types de fichiers que vous devriez bloquer dépendent des types de fichiers que vos équipes utilisent habituellement. Les fichiers exécutables sont les plus risqués car ils peuvent contenir du code nuisible ; les types de fichiers incluent exe, xml, js, docm et xps.

L'utilisation d'une liste d'autorisation qui répertorie les types de fichiers approuvés bloquera tout type de fichier qui n'est pas sur la liste. Pour une meilleure protection, utilisez des techniques de blocage qui empêchent les e-mails avec des pièces jointes ayant des types de fichiers indésirables d'atteindre même la boîte de réception, afin que les utilisateurs n'aient même pas la chance d'ouvrir le fichier et de permettre l'exécution de code malveillant.

9.7 Déployez et maintenez les protections anti-malware des serveurs de messagerie

Déployez des protections anti-malware pour serveur de messagerie afin d'ajouter une couche de sécurité du côté serveur pour les e-mails — si des pièces jointes malveillantes parviennent d'une manière ou d'une autre à passer à travers le blocage des types de fichiers et le filtrage des domaines, elles peuvent être arrêtées au niveau du serveur.

Les entreprises peuvent déployer plusieurs protections anti-malware pour serveurs de messagerie. Par exemple, le balayage des pièces jointes, souvent fourni par des logiciels anti-virus et anti-malware, qui scanne chaque fichier joint aux courriels et informe l'utilisateur si le fichier contient du contenu malveillant. Le sandboxing consiste à créer un environnement de test pour vérifier si une URL ou un fichier est sûr ; cette stratégie est particulièrement précieuse pour se protéger contre les nouvelles menaces. D'autres mesures de protection incluent des solutions fournies par les hébergeurs web et les fournisseurs de services Internet (ISP).

Bien sûr, les organisations doivent maintenir leurs solutions de protection des serveurs de messagerie à jour et patchées.

Résumé

Les clients de messagerie et les navigateurs web sont essentiels pour de nombreuses opérations commerciales, mais ils sont assez vulnérables aux menaces cybernétiques. Le Contrôle CIS 9 décrit les mesures de protection que toute organisation peut mettre en œuvre pour se protéger contre le flot croissant d'attaques malveillantes ciblant les sites web et les courriels. Les étapes principales impliquent de sécuriser les serveurs de messagerie et les navigateurs web avec des filtres qui bloquent les URL malveillantes, les types de fichiers, etc., et de gérer ces contrôles de manière efficace. La mise en œuvre de ces mesures peut aider à assurer une meilleure cybersécurité.

De plus, les utilisateurs devraient recevoir une formation sur les meilleures pratiques de sécurité. Avec des attaques de phishing de plus en plus fréquentes et sophistiquées, une éducation à l'échelle de l'organisation peut aider à augmenter considérablement la protection.