3 conseils pour sécuriser des systèmes en fin de vie


Les applications métiers critiques qui ne sont plus mises à jour peuvent être la cible de hackers.

Bonnes Pratiques, Sécurité des Réseaux // 23/10/2015

Faites-vous partie de ces organisations qui utilisent des logiciels en fin de vie ?

L’expérience avec nos clients nous suggère que la plupart des organisations hébergent une flopée de serveurs ou d’applications clients qui n’ont pas été mis à jour depuis des lustres – et qui ne le seront très certainement pas dans un futur proche. Ce sont souvent des applications métiers critiques – tels que des ERPs, des CRMs, et des logiciels de facturation ou de réclamation comptable – dont l’organisation a bien conscience qu’elles mériteraient un peu plus de sécurité. Mais… les systèmes sont caducs et trop onéreux pour s’y atteler et peu de salariés en interne savent réellement comment résoudre les problèmes en cas d’obsolescence.

Fort heureusement, la situation n’est pas aussi dramatique qu’elle n’en a l’air, mais tout de même… Laisser un système à l’abandon représente une faille dans laquelle les cyber-attaquants peuvent s’engouffrer pour accéder au réseau de l’organisation.

A la dernière conférence de la RSA qui s’est tenue l’an dernier à San Francisco, Mario Nunez, président d’Onapsis, affirme que :

Plus de 95% des systèmes ERP analysés sont vulnérables et permettent aux cyber-attaquants de s’emparer de la totalité de leur business. Dans 100% des cas, les informations concernant ces vulnérabilités sont dans le domaine public depuis 5 ans.

Et pour ne rien arranger, les fournisseurs ou les revendeurs n’encouragent pas vraiment à améliorer la sécurité des systèmes qu’ils ont installés. Clauses de garantie, convention de service, service après-vente, maintenance à distance, (oui, ils veulent vous rendre service mais en vous laissant très peu de marge de manœuvre) seront rompus si vous choisissez unilatéralement d’ajuster un système obsolète, installé dans les profondeurs de votre réseau.

En effet, les organisations enfouissent souvent ces solutions dans leur réseau interne pensant que personne ne pourra y accéder. Cependant, dès que le réseau est exposé, les cyber-attaquants peuvent se faufiler jusqu’à ces solutions caduques… et peut-être même via l’accès que le vendeur s’est réservé !

 

Que faire ? 

Bien qu’il soit préférable de mettre à jours ces solutions, il n’est pas toujours possible de le faire comme nous l’avons vu plus haut. Dans ce cas, il existe tout de même plusieurs solutions pour les sécuriser au mieux : d’une décision stratégique impliquant une migration vers le cloud à l’isolement du système ou du moins à la restriction d’accès à un minimum d’utilisateurs.

Suivez les recommandations d’Erka Koivunen, notre conseiller en sécurité IT :

  • Externalisez le système défectueux qui se trouve sur votre réseau 

Beaucoup de CRMs, ERPs et logiciels comptables ont une version dans le cloud qui correspond très certainement à celle que vous avez sur votre site. Je ne dis pas que le cloud va miraculeusement résoudre tous vos problèmes, mais il peut y contribuer. Au lieu de vous préoccuper de vos serveurs qui ne peuvent plus recevoir de correctifs, vous allez vous focaliser sur vos données et la sécurisation de vos points d’accès incluant le navigateur. Migrez vers un système moderne ou commencez à planifier un projet de verrouillage. Quel que soit votre choix, cela passe par une renégociation de votre abonnement de service.

  • Isolez les serveurs, limitez les accès et contrôlez les utilisations.

Prenez bien garde à ce que vos serveurs particulièrement exposés soient mis à l’écart sur un réseau à part. Aucun trafic ne doit entrer ou sortir sauf si des cas de figure sont prévus et justifiés. Renforcez la vérification des connexions à tous les niveaux : sur chaque point nodal, du côté serveur et du coté client, dans le cœur du microprocesseur tout autant que dans le périmètre du réseau. Assurez-vous que l’historique des connexions soit conservé autre part que sur le système potentiellement compromis et régulièrement analysé afin de détecter toute activité anormale.

  • Identifier les utilisateurs légitimes et refuser les autres accès

Ecartez la menace posée par le réseau de l’entreprise et autre serveurs concernés, en segmentant les accès au réseau et en déplaçant les utilisateurs privilégiés avec des accès légitimes sur un réseau local séparé. Les stagiaires n’ont très certainement pas besoin de l’accès aux bases de facturation et l’ensemble du bureau n’a pas à avoir accès au système de paye, donc mettez cela au pas si ce n’est pas le cas ! Pensez à mettre en place un VPN interne pour les principaux utilisateurs si la typologie de votre réseau ne se prête pas à une segmentation stricte. Et si déplacer les points d’accès sur un réseau local isolé est encore trop compliqué, pensez à limiter les accès aux services sensibles en introduisant des solutions du type Terminal Service ou Citrix qui sera isolé de l’environnement de travail. Vous pourrez alors y installer les applications clients accessibles sur le réseau de l’entreprise même si en réalité elles tournent dans un espace isolé. Cela permet au passage de régler le problème d’avoir à supporter les vieux navigateurs ou plugins dépassés dont certaines applications raffolent. La grande majorité de l’infrastructure aura le droit aux toutes dernières mises à jour sans avoir à se soucier de leur compatibilité avec les systèmes expirés.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s