L'importance de votre empreinte numérique

Cet article traite de l’empreinte numérique de votre organisation. Il s’agit de ses sites Web, de ses sites de médias sociaux, de ses activités en ligne, de ses bases de données en ligne et, du point de vue des risques, de sa réputation en ligne.

Techniquement parlant, il s’agit de comprendre l’exposition des actifs informatiques et numériques contrôlés et non contrôlés au monde numérique et de gérer les cyber-risques associés.
 

Chapitre 1 : Votre empreinte numérique et pourquoi c’est important

Alors que de nombreuses entreprises sont bien protégées contre les attaques internes, en raison de plusieurs niveaux de pare-feu, de solutions anti-malware et EDR (détection des points de terminaison), beaucoup n’ont pas beaucoup réfléchi à leur périmètre externe.
Voici des exemples d’empreinte numérique :

• Données sensibles ou données privées stockées dans des bases de données en dehors de votre périmètre, en particulier les détails de paiement ou les dossiers médicaux
• Appareils enregistrant des informations sur votre entreprise
• Sites non sécurisés auxquels vos employés pourraient accéder
• Plateformes de médias sociaux utilisées pour publier en ligne où les informations d’identification des médias sociaux sont gérées par votre service marketing et non de manière sécurisée dans le cadre de la gestion des identités et des accès.
• formulaire(s) en ligne
• actifs non gérés tels que les appareils IoT tels que les trackers de fitness
• tout autre site Web ou compte en ligne dans l’ombre numérique informatique de votre organisation
• comptes dormants ou anciens comptes d’anciens employés
• Connexions non tracées Rejoindre des réseaux Wi-Fi publics depuis l’intérieur de votre organisation
• Utilisateurs Internet anonymes accédant à des informations stockées au sein de votre organisation ou exploitant des vulnérabilités
   

Comment fonctionnent les empreintes numériques
 

Habituellement, nous avons besoin d’un pare-feu de périmètre pour protéger nos services exposés, plus, de préférence, un pare-feu d’application Web devant nos applications Web. Nous pourrions même avoir activé l’analyse des vulnérabilités sur notre plage d’adresses IP externes. Dans ce contexte, la question est de savoir si vous avez une vue de toute l’étendue de ce que votre entreprise expose à Internet.

À mesure que les entreprises se développent, leur exposition à Internet devient de plus en plus importante. De nouveaux sites Web, une activité en ligne accrue, une nouvelle application ou un frontal Web orienté client sont lancés. Ou une application basée sur le cloud pourrait être intégrée et hébergée sur un autre continent. Les départements marketing proposent des idées commerciales pour attirer plus de trafic en lançant des concours en ligne ou des contrats de parrainage. Avant de vous en rendre compte, vous n’avez plus une vision de ce qui est exposé à Internet, et encore moins une idée des risques de votre empreinte numérique.

Au fil du temps, la croissance de votre entreprise augmente votre empreinte numérique. Il s’agira donc d’actifs numériques que vous connaissez et d’actifs numériques que vous ne connaissez pas.

Les actifs que vous connaissez pourraient être votre plage d’adresses IP externes, les sites Web principaux, les applications Web importantes, l’infrastructure de messagerie qui sont le plus souvent bien gérées.

Les ressources informatiques que vous ne connaissez pas peuvent être des référentiels de code source, des partages de fichiers basés sur le cloud, des sites Web plus anciens ou tout autre actif qui, pour une raison quelconque, n’a jamais été correctement mis hors service.
En plus de ce qui précède, des actifs hors de votre contrôle tels que l’infrastructure basée sur le cloud ou les applications fournies par des tiers, des filiales de votre entreprise. Ce sont des actifs qui ont un impact sur votre empreinte numérique et peuvent présenter un risque lorsqu’ils sont compromis, mais qui sont en dehors de votre zone de contrôle. La liste ci-dessus donne quelques exemples de la façon dont l’empreinte numérique augmente.

En outre, il existe des actifs malveillants tels que des sites Web lancés par vos services marketing ou RH sans suivre les processus de diligence raisonnable de l’approvisionnement et de l’informatique (sécurité). Bien que ceux-ci aient été lancés pour la croissance de l’entreprise, en ne suivant pas les processus de diligence raisonnable appropriés, votre service informatique (sécurité) pourrait ne pas être au courant d’eux et des risques potentiels qu’ils posent pour les informations confidentielles.

Quel est l’impact de votre empreinte numérique

Comme vous pouvez probablement le constater, l’empreinte numérique actuelle de votre entreprise ne fera que croître avec le temps, exposant sa marque et augmentant la quantité d’informations partagées. Ajoutez à cela une augmentation du nombre de tiers, ce qui étend l’empreinte numérique, ce qui développe votre entreprise, mais augmente également votre exposition aux cyber-risques.

Tout cela pourrait vous amener à vous demander comment saisir l’empreinte numérique et gérer les cyber-risques à un niveau acceptable. Dans le chapitre suivant, nous proposons une approche étape par étape pour ne pas se sentir submergé par ce travail important.

Chapitre 2 : Comment avoir une vue de votre empreinte numérique ?
 

Eh bien, la réponse est le bon vieux « ça dépend ». Il existe différentes approches pour générer une vue de votre empreinte numérique.

Ce chapitre comprend une approche proposée et des ressources pour vous aider à démarrer. Chaque étape fournira de nouvelles informations sur votre empreinte numérique et peut être utilisée pour passer à l’étape suivante, ou revenir aux étapes précédentes pour étendre davantage les données. La raison pour laquelle « cela dépend » est qu’au fil du temps, il serait préférable de créer votre propre approche et méthodologie pour cartographier l’empreinte numérique de votre entreprise.

En règle générale, nous faisons la distinction entre l’empreinte numérique active et l’empreinte numérique passive. En termes simples, l’empreinte active est laissée intentionnellement par les utilisateurs et l’empreinte passive est laissée involontairement.

Les exemples d’empreinte numérique active sont les informations d’identification des médias sociaux se connectant à Facebook, Twitter, des groupes sociaux ou des articles de blog. Ou en vous connectant à une application d’actualités, à un site de rencontre, à des images et à des vidéos que nous partageons en ligne sont les moyens les plus courants par lesquels nous créons une empreinte numérique active pour nous-mêmes.

L’empreinte numérique passive est une donnée de traçage numérique connectée à un utilisateur qui est laissée par d’autres utilisateurs ou collectée via des activités que l’utilisateur effectue sans intention. Des exemples d’empreinte passive comprennent l’activité des médias sociaux où d’autres identifient un utilisateur (y compris des images douteuses), les résultats des moteurs de recherche, les visites de sites Web et les visites de sites Web dangereuses, ou les activités en ligne telles que les applications d’achat et le traçage des données financières.

Étape 1 : Lister vos domaines
 

Tout commence par une vue d’ensemble de vos domaines, comme company.com, company.org, etc. Habituellement, toutes ces informations peuvent être facilement extraites de votre DNS (Domain Name Server). 

Dans certains cas, vos domaines peuvent être gérés complètement en dehors de votre zone de contrôle. Dans ce cas, vous devrez demander les enregistrements A ou AAAA au(x) tiers(s) qui gèrent vos domaines. Si vous le faites, demandez également à avoir une vue d’ensemble de toutes les adresses IP associées et autres enregistrements DNS. Tels que CNAME et PTR (autres domaines et sous-domaines), MX (serveurs de messagerie), NS (enregistrements de serveur de noms, qui peuvent fournir des liens vers d’autres DNS contenant vos informations). Gardez à l’esprit que vous devrez peut-être itérer sur différents serveurs de noms pour obtenir une image complète de vos domaines.

Si, pour une raison quelconque, vous n’avez pas accès à votre DNS, il existe des outils simples qui peuvent vous aider à creuser, héberger, DNSEnum, dnsmap et AMASS. Et quand vous voulez vraiment trouver tous les domaines, vous pouvez gratter les TLD (Top Level Domains) et leurs bases de données pour trouver tous les domaines existants contenant le nom de votre entreprise par exemple.
 

Donc, la liste de vos domaines nécessite un peu d’investigation et de persévérance afin d’obtenir une vue complète.
 

Étape 2 : Lister vos sous-domaines
 

L’étape suivante consiste à énumérer vos sous-domaines. C’est assez facile si vous avez reçu une sortie complète de votre DNS. Sinon, mais si vous avez toujours une liste de tous vos domaines disponibles, vos sous-domaines peuvent être énumérés avec des outils facilement disponibles tels que AMASS, subfinder, cert.sh, massdns, altdns. La liste des sous-domaines vous aidera à comprendre l’étendue de votre empreinte numérique. Il fournit également une vue de tous vos sites Web et applications (étant donné qu’il y en a un actif sur le sous-domaine).

Étape 3 : Listez vos adresses IP
 

Tout sur Internet n’est pas lié à un (sous-)domaine ou ne contient pas une application Web. Certains résultats seront liés aux adresses IP. Pensez à vos serveurs de messagerie, VPN, accès pour les tiers.

Lorsque vous aurez extrait les informations de votre DNS, vous aurez également recueilli beaucoup d’adresses IP. Allez-y et recherchez-les dans les bases de données WHOIS et où dans le monde vos adresses IP sont émises: RIPE, APNIC, ARIN, LACNIC ou AFRINIC.
Cela vous permettra de déterminer à quelle plage IP et à quel propriétaire appartiennent les adresses IP.
 

En outre, cela vous permettra de savoir s’il appartient à votre organisation, à un fournisseur d’hébergement ou à d’autres.
 

Enfin, votre adresse IP fera partie d’une plage d’adresses IP. Cela vaut la peine d’étendre votre mappage d’empreinte numérique à ces adresses IP pour déterminer si elles contiennent des ressources appartenant à votre organisation ou si la plage IP est hébergée par des tiers.
 

Étape 4 : Étendre à vos tiers
 

À ce stade, vous devez avoir une bonne vue des domaines, sous-domaines et adresses IP hébergés par votre organisation et hébergés par des tiers. Vous souhaitez avoir un mappage de ces éléments aux tiers concernés.

Ensuite, affectez des personnes de contact à ces entreprises externes. Si vous découvrez quelque chose qui doit être modifié ou mis à jour, vous savez immédiatement qui contacter. Si vous ne disposez pas de ces informations, il est possible que quelqu’un de votre service des achats, des ressources humaines ou des ventes et du marketing puisse vous aider. Il y a de fortes chances qu’ils mettent en place un site Web sans en informer le service informatique.
 

Étape 5 : Énumérez vos actifs, dressez la liste de vos services et obtenez une idée approximative des risques
 

Une fois que vous avez l’aperçu ci-dessus, vous devez entrer dans les détails. L’utilisation d’un scanner de port tel que NMAP énumère également tous les services exécutés sur ces adresses IP. Il vous permettra de trouver rapidement des applications web mais aussi s’il s’agit d’un serveur de messagerie, DNS, FTP, ou peut-être même de certains services non autorisés (RDP, VNC, Telnet). Veillez à ne scanner que les adresses IP appartenant à votre organisation.
Ensuite, l’outil Eyewitness peut vous aider à déterminer quels sous-domaines contiennent un site Web actif, et même créer une capture d’écran pour un coup d’œil rapide sans avoir à les taper manuellement dans votre navigateur. Cela fournit des informations directes et précieuses sur ce qui est réellement hébergé sur ce (sous-)domaine.

Les versions gratuites de Qualys ou Tenable Nessus, ou l’outil open source Greenbone Vulnerability Management (anciennement OpenVAS) peuvent commencer à générer une liste de vulnérabilités connues sur toutes les adresses IP, domaines et sous-domaines que vous avez recherchés précédemment. En utilisant cette liste, vous pouvez rapidement commencer à corriger les systèmes obsolètes et les systèmes présentant des vulnérabilités critiques. Gardez à l’esprit qu’il s’agit d’actifs exposés qui, en cas de cyberincident, peuvent avoir un impact sur votre entreprise.

Enfin, en utilisant le SSLabs gratuit de Qualys, vous pouvez générer une vue basée sur les risques sur tous vos certificats SSL. Contiennent-ils des chiffrements faibles ? Utilisent-ils des protocoles cryptographiques obsolètes ? Vont-ils bientôt expirer? Ces informations peuvent vous aider à avoir une idée de votre exposition aux cyber-risques.
 

Étape 6 : Itérer
 

Pour chaque étape décrite ci-dessus, vous rencontrerez probablement de nouvelles adresses IP, domaines ou sous-domaines. Chaque fois, il est recommandé de répéter les étapes précédentes, car vous pourriez trouver encore plus d’informations qui peuvent vous aider à comprendre votre exposition aux cyber-risques.

Par exemple, la sortie de vos certificats peut générer plus de sous-domaines, ou la plage IP d’un certain actif contient des sites Web de marque d’entreprise pour lesquels vous n’avez même pas trouvé d’entrée DNS.
 

L’usurpation de site Web est une menace pour les entreprises. La façon dont cela fonctionne, c’est que les cybercriminels créent une copie de votre site Web comme un canular ou utilisent potentiellement des informations et des médias du site réel imitant votre site Web pour paraître réel et envoyer des courriels d’hameçonnage dans le but de recueillir des informations.
 

À présent, vous pourriez penser que c’est probablement plus facile à dire qu’à faire. Cela peut prendre beaucoup d’efforts et une collection d’outils pour générer une vue d’ensemble de votre empreinte numérique. Cependant, cela peut en valoir la peine car cela peut révéler des problèmes que vous ne connaissiez pas. Des sites Web que vous pensiez n’exister plus, des domaines attribués à des adresses IP appartenant à d’autres parties, ou même une liste de vulnérabilités vous exposant à des intrus potentiels que vous préférez garder à l’écart.
Sur cette note, dans le chapitre suivant, nous aborderons l’impact potentiel de la chaîne d’approvisionnement des fournisseurs et des tiers sur l’empreinte numérique d’une entreprise. Il est important d’examiner de près les différents types d’impact afin de comprendre comment commencer à atténuer les risques et limiter l’exposition aux risques.
 

Chapitre 3 : L’impact de votre chaîne d’approvisionnement sur votre empreinte numérique
 

Les actifs qui composent votre empreinte numérique, comme le serveur sur lequel votre site Web s’exécute ou votre infrastructure de messagerie, peuvent ne pas être hébergés dans vos locaux, mais quelque part dans le cloud. Souvent, cela signifie que la gestion de ce système est hors de votre zone de contrôle.

Ainsi, si vous trouvez une vulnérabilité dans ce système, un processus interne déclenche le processus de communication et de correction avec le fournisseur de cloud. Il en va de même pour l’application Web exécutée sur ce système. Il y a de fortes chances qu’il ne soit pas développé en interne, mais par une partie externe, et probablement par un fournisseur différent de la société de cloud. Vous devrez également commencer un autre processus de communication avec ce tiers.
 

Un scénario probable peut être le suivant : une analyse de l’empreinte numérique de notre entreprise qui a trouvé un certain nombre d’actifs exposés, dont l’un est une application Web développée par un fournisseur externe, hébergée sur un système géré par un fournisseur externe différent. Dans une chaîne d’approvisionnement numérique, alors que notre empreinte numérique est attribuée à notre entreprise, dans la pratique, elle se compose en fait de morceaux répartis sur différents fournisseurs et même des emplacements géographiques.
 

Avoir une vue complète de l’exposition de notre empreinte numérique signifie donc prendre en compte non seulement l’exposition de nos propres systèmes et applications, mais aussi de ceux de nos fournisseurs, situés en dehors de notre zone de contrôle direct.
La question suivante est de savoir jusqu’où va cette exposition. Notre application Web est-elle située dans un environnement à locataire unique ou multiple ? Si l’acquisition du système et la négociation du contrat sont passées par les processus normaux approuvés, il y a de fortes chances que vous disposiez déjà de cette information.
 

Cependant, il est également possible qu’un autre service ait commandé une autre application Web hébergée en dehors des processus normaux. De plus, le fournisseur a-t-il été choisi à partir d’une liste de fournisseurs préapprouvés? Ou ont-ils (au hasard) choisi leur propre fournisseur? Si tel est le cas, comment pouvons-nous nous assurer que ce fournisseur applique des principes de sécurité solides? Nous sommes intéressés s’ils effectuent un codage sécurisé, des tests de sécurité réguliers sur leur code et leurs systèmes, gèrent les données de notre entreprise en toute sécurité ou s’ils ont un plan de continuité des activités en cas d’impact sur la disponibilité de nos actifs.
 

La bonne nouvelle est que la mesure de l’exposition et des risques des actifs dans notre zone de contrôle est simple. Nous pouvons exécuter des analyses de vulnérabilité actives, exécuter des tests de pénétration, vérifier la configuration et y remédier. Cependant, c’est une autre histoire avec les fournisseurs externes. La diligence raisonnable impliquée devrait vous fournir suffisamment d’assurance que votre entreprise est entre de bonnes mains.

Il n’est pas facile de répondre à des questions telles que qui peut effectuer une analyse de vulnérabilité ou un test de pénétration. La raison pour laquelle, dans le chapitre suivant, nous prendrons le taureau par les cornes et partagerons une approche sur la façon d’avoir un meilleur contrôle sur la relation avec les fournisseurs externes. En fin de compte, il est essentiel que nous gérions les risques à un niveau acceptable pour notre entreprise et que nous disposions d’une assurance de sécurité.
 

Chapitre 4 : Vue sur la sécurité et l’exposition aux risques de votre empreinte numérique
 

Pour rappel, votre empreinte numérique est un ensemble d’actifs dans votre propre zone de contrôle (c’est-à-dire développés et hébergés au sein de votre entreprise) ou en dehors de votre zone de contrôle (c’est-à-dire développés et/ou hébergés à l’extérieur de votre entreprise). La gestion des risques, tels qu’une violation de données, et l’exposition d’un actif contrôlé ou non contrôlé est complètement différente.

Une formule éprouvée pour protéger votre empreinte numérique consiste à avoir une bonne hygiène des données, à exécuter des analyses de vulnérabilité, des évaluations de sécurité et à revoir périodiquement la configuration. D’autres activités manuelles (ou semi-automatisées) peuvent fournir une vue élaborée et technique des risques de votre actif.
 

Bien que ces activités vous fournissent une mine d’informations, il y a quelques inconvénients. 

• Le résultat de ces évaluations est généralement de nature très technique. Bien que cela soit formidable pour déterminer exactement ce qui doit être rectifié et où, cela nécessite une certaine interprétation pour le traduire en une mesure de risque de plus haut niveau.
   
• Dans le même temps, les actifs en cours d’évaluation sont sensibles aux problèmes de disponibilité. Bien que les scanners de vulnérabilité aient aujourd’hui un très faible risque d’impact sur la disponibilité de vos actifs, ils ne sont toujours pas parfaits. L’histoire est encore plus vraie avec les hacks éthiques ou les tests de pénétration, où il est fortement recommandé de les exécuter dans un environnement de test au lieu de l’environnement de production (mais alors, l’environnement de test est-il une copie exacte de l’environnement de production?).
   
• Bien que l’exécution d’une analyse automatisée des vulnérabilités puisse être effectuée à relativement peu de frais, une évaluation manuelle de la sécurité ou un test de pénétration peut être assez coûteux en fonction de la portée et de la profondeur demandées. Ces évaluations manuelles sont également très limitées dans le temps et offrent une vue « ponctuelle ». Les analyses de vulnérabilité automatisées et les tests de pénétration sont limités à la portée, ils n’évalueront que la portée que vous leur fournissez.  La portée est ici essentielle. Si vous exécutez une analyse automatisée des vulnérabilités sur votre empreinte numérique complète, vous devez connaître exactement la portée de votre empreinte. Quelle est la liste complète des URL, adresses IP, applications Web, etc. Compte tenu du coût de celui-ci, la portée d’une évaluation de sécurité ou d’un test de pénétration sera très limitée.
   
• Enfin, l’exécution de ces types de tests est généralement effectuée uniquement sur des actifs contrôlés. Leur exécution sur des actifs non contrôlés doit être correctement définie dans des contrats ou d’autres accords avec la partie propriétaire de ces actifs.

Contrer les inconvénients énumérés ci-dessus peut être difficile. Une solution idéale serait de mettre en place un système d’évaluation rentable, hautement automatisé et à faible impact, capable de générer une mesure objective qui représente votre exposition au risque. En même temps, cela vous permet de vous plonger dans les détails techniques. En termes simples, avec un système peu coûteux et hautement automatisé fonctionnant chaque semaine, vous obtenez un aperçu complet de votre portée et une mesure de risque initiale pour vous aider à déterminer où dépenser vos ressources de test d’intrusion coûteuses.

Dans ce cas, l’évaluation que vous avez mise en place devrait être en mesure de vous fournir cette métrique pour les actifs contrôlés et non contrôlés (c’est-à-dire ceux liés à votre entreprise, mais détenus par un fournisseur ou un tiers).

Pour conclure, l’approche ci-dessus associée au bon outil peut aider à entamer la discussion sur l’exposition aux risques non seulement avec votre service informatique interne (sécurité et risque), mais également avec vos tiers. Il est courant que ces discussions aboutissent à l’exécution d’évaluations de sécurité manuelles ou de tests de pénétration sur vos actifs non contrôlés.
Les quatre chapitres présentent l’empreinte numérique et pourquoi elle est importante.  Ensuite, l’objectif est Comment obtenir une vue de votre empreinte numérique, suivi de L’impact de votre chaîne d’approvisionnement sur votre empreinte numérique.  Enfin, dans Une vue sur la sécurité et l’exposition aux risques de votre empreinte numérique, l’objectif est de partager une stratégie sur la façon de rassembler tout cela.
C’est l’histoire de l’empreinte numérique. J’espère que cela vous a permis de mieux comprendre comment voir l’exposition des actifs contrôlés et / ou non contrôlés et comment commencer à gérer les cyber-risques associés.