Pas moins de 15 caractères pour les mots de passe VPN ? La CISA (homologue américaine de notre ANSSI) le recommande… si implémenter le MFA n’est pas possible. Elle en fait part dans la nouvelle version de son « guide du ransomware ».
C’est la première mise à jour de ce document initialement publié en septembre 2020. Si la structure change peu, les ajouts sont nombreux. Y compris au niveau terminologique. Avec, par exemple, la notion de « double extorsion », qui n’était précédemment pas désignée comme telle.
En matière de prévention, l’essentiel des bases étaient déjà posées. À commencer par la nécessité de conserver des sauvegardes hors ligne. À la faveur de cette mise à jour, la CISA a inclus, à ce chapitre, les templates IaC. Tout en conseillant d’envisager des stratégies de backup multicloud. Et, éventuellement, d’utiliser les solutions de stockage immuable des CSP… en prenant garde à bien les configurer. Le zero trust fait aussi son apparition au rang des technologies suggérées pour se prémunir.
Concernant les vulnérabilités logicielles, la plupart des lignes directrices figuraient là aussi déjà dans le document initial. On parle là, entre autres, de maintenir OS et applications à jour ou de sécuriser les protocoles particulièrement exposés comme RDP. Sur ce dernier point, la CISA invitait jusqu’alors à « employer les bonnes pratiques ». Elle a resserré l’étau, appelant désormais à « limiter l’usage » des services de bureau à distance.
Autre protocole critique : SMB. Le message principal n’a pas changé : ne surtout pas utiliser la v1 et la v2. L’ANSSI américaine y a ajouté quelques conseils pour protéger la v3, entre signature SMB et chiffrement UNC. Tout en incitant plus globalement les PME à aller vers des offres cloud managées si elles ont « du mal à maintenir à jour leurs serveurs exposés au réseau Internet ».