Alors que les attaques de rançongiciels continuent de faire des ravages dans les organisations du monde entier, de nombreuses normes et réglementations officielles ont été établies pour résoudre ce problème urgent.

Cet article examine les réglementations et normes communes émises par CISA, NIST, HIPAA, FedRAMP et ISO 27002 et traite de l’importance de suivre les meilleures pratiques de sécurité des mots de passe.

Déterminez si ces normes réglementées sont suffisantes ou si les organisations doivent s’efforcer d’adopter des mesures de sécurité plus robustes.

L’impact des mots de passe faibles sur les attaques de ransomwares

Des mots de passe faibles peuvent augmenter considérablement la vulnérabilité d’une organisation aux attaques de rançongiciels. Selon le Rapport d’enquête sur les violations de données Verizon 2022, 63 % des données compromises étaient dues à un vol ou à une compromission d’informations d’identification. De plus, les attaquants exploitent souvent des mots de passe faibles ou volés pour obtenir un accès non autorisé aux systèmes d’une organisation, ouvrant la voie à des infections par ransomware.

De plus, le Étude sur l’état de la sécurité sans mot de passe 2023 par HYPR ont constaté que 3 organisations sur 5 avaient subi des violations liées à l’authentification au cours des 12 derniers mois. De plus, le coût moyen des cyber-violations liées à l’authentification au cours des 12 derniers mois est passé à 2,95 millions de dollars. Ces statistiques soulignent l’importance de bonnes pratiques de sécurité par mot de passe pour se protéger contre les attaques de ransomwares.

Conseils de CISA, NIST, HIPAA, FedRAMP et ISO 27002

En suivant et en dépassant les directives sur les mots de passe fournies par CISA, NIST, HIPAA, FedRAMP et ISO 27002, les entreprises peuvent renforcer leurs défenses contre les accès non autorisés et réduire leur vulnérabilité aux attaques de ransomwares.

CISA – Renforcement de la défense contre les ransomwares

Le Agence de cybersécurité et de sécurité des infrastructures (CISA) a publié des conseils pour aider les organisations à se protéger contre les attaques de ransomwares. Les directives de la CISA soulignent l’importance de mettre en œuvre un programme de cybersécurité complet, comprenant des sauvegardes régulières, la gestion des correctifs et la formation des utilisateurs, afin de minimiser le risque d’infection par ransomware.

Bien que la CISA ne fournisse pas de recommandations spécifiques sur les mots de passe dans les conseils sur les rançongiciels, elle recommande de suivre les directives de sécurité des mots de passe du NIST. En outre, CISA encourage les organisations à adopter l’authentification multifacteur (MFA) et d’autres contrôles d’accès robustes pour minimiser le risque d’accès non autorisé qui pourrait conduire à des infections par ransomware.

NIST – Un cadre complet pour l’identité numérique

Le National Institute of Standards and Technology (NIST) a publié Publication spéciale 800-63B, qui décrit les meilleures pratiques en matière d’identité et d’authentification numériques. Ce document fournit des conseils précieux sur la sécurité des mots de passe, tels que la recommandation d’utiliser des mots de passe longs et complexes et la mise en œuvre de l’authentification multifacteur (MFA) pour renforcer la sécurité des comptes.

La publication spéciale 800-63B du NIST fournit des conseils détaillés sur les mots de passe. Les principales recommandations comprennent ce qui suit :

• Longueur du mot de passe – Encouragez l’utilisation de mots de passe longs, avec un minimum de 8 caractères pour les mots de passe choisis par l’utilisateur et un minimum de 6 caractères pour les mots de passe générés aléatoirement.
• Complexité – N’imposez pas de règles de complexité, telles que l’exigence de caractères spéciaux ou un mélange de types de caractères.
• Expiration du mot de passe – Découragez les changements de mot de passe périodiques à moins qu’il y ait des preuves de compromis.
• Réutilisation du mot de passe – Encouragez les utilisateurs à éviter de réutiliser les mots de passe sur différents comptes.
• MFA – L’utilisation de l’authentification multifacteur pour une sécurité renforcée est fortement recommandée

HIPAA – Protection des données de santé contre les ransomwares

Le Loi sur la portabilité et la responsabilité de l’assurance maladie (HIPAA) a publié des conseils sur la cybersécurité pour aider les organismes de santé à protéger les données sensibles des patients contre les attaques de ransomwares. Les directives soulignent la nécessité de solides processus de gestion des risques, d’une formation continue de sensibilisation à la sécurité et du respect de la règle de sécurité HIPAA pour protéger les informations de santé électroniques protégées (ePHI).

La règle de sécurité HIPAA exige que les entités couvertes mettent en œuvre des politiques et des procédures de mot de passe pour vérifier l’identité des personnes accédant aux informations de santé électroniques protégées (ePHI). Aucun guide spécifique sur les mots de passe n’est fourni, mais HIPAA encourage le respect des meilleures pratiques de l’industrie, telles que les directives du NIST.

FedRAMP – Sécurisation des services basés sur le cloud

Le Programme fédéral de gestion des risques et des autorisations (FedRAMP) a établi un cadre pour assurer la sécurité des services basés sur le cloud utilisés par les agences fédérales. Ce cadre comprend des évaluations de sécurité rigoureuses, des autorisations et une surveillance continue pour atténuer le risque d’attaques de ransomwares sur les services cloud.

Les contrôles de sécurité de FedRAMP sont basés sur la publication spéciale NIST 800-53. Les recommandations de mot de passe incluent –

• Longueur du mot de passe – Minimum de 12 caractères pour les systèmes à fort impact et 8 caractères pour les systèmes à impact modéré.
• Complexité – Encouragez l’utilisation d’un mélange de lettres majuscules et minuscules, de chiffres et de caractères spéciaux.
• Expiration du mot de passe – Exiger des changements de mot de passe tous les 60 jours pour les systèmes à fort impact et tous les 90 jours pour les systèmes à impact modéré.
• MFA – Mandater l’authentification multifacteur pour l’accès à distance aux systèmes d’information fédéraux.

ISO 27002 – Contrôle des informations d’authentification

L’Organisation internationale de normalisation (ISO) a publié le Norme ISO 27002, qui fournit des lignes directrices sur les systèmes de gestion de la sécurité de l’information (ISMS). Parmi ses recommandations, la norme souligne l’importance des contrôles d’authentification forts, y compris les mots de passe complexes et l’authentification MFA.

ISO 27002 recommande aux organisations d’établir une politique de mot de passe qui inclut les éléments suivants :

• Longueur du mot de passe – Encouragez l’utilisation de mots de passe suffisamment longs sans spécifier de longueur exacte.
• Complexité – Recommandez une combinaison de différents types de caractères, tels que des lettres majuscules et minuscules, des chiffres et des caractères spéciaux.
• Expiration du mot de passe – Définissez une période appropriée en fonction de l’évaluation des risques de l’organisation.
• Réutilisation du mot de passe – Limitez la réutilisation des mots de passe précédemment utilisés.
• MFA – Encouragez l’utilisation de l’authentification multifacteur, le cas échéant.

L’importance des meilleures pratiques de sécurité des mots de passe

Bien que ces réglementations et normes fournissent une base solide pour la prévention des ransomwares, les organisations ne doivent pas se fier uniquement à elles. Dans une analyse, il a été découvert 83% des mots de passe compromis satisfaire aux exigences de longueur et de complexité des mots de passe des normes réglementaires relatives aux mots de passe. Un domaine majeur de la cybersécurité où les organisations peuvent s’améliorer est la sécurité des mots de passe.

Selon une étude de Specops, les mots de passe doivent comporter 12 caractères ou plus pour assurer une sécurité adéquate. Cependant, de nombreuses normes réglementées recommandent toujours une longueur minimale de seulement huit caractères. Les mots de passe plus courts peuvent être plus facilement déchiffrés par les attaquants, compromettant potentiellement l’ensemble du réseau d’une organisation.

Aller au-delà des normes réglementées

À mesure que les attaques de rançongiciels deviennent plus sophistiquées, les entreprises doivent garder une longueur d’avance et mettre en œuvre des mesures de sécurité plus robustes. Cela peut impliquer :

• Mettre à jour et renforcer régulièrement les politiques de mot de passe, telles que l’application de mots de passe plus longs, les exigences de complexité et les changements de mot de passe réguliers.
• Accroître la sensibilisation des employés à la sécurité grâce à des programmes de formation, en veillant à ce que tous les membres du personnel sachent bien identifier et éviter les tentatives de phishing et autres vecteurs d’attaque.
• Mettre en œuvre des outils de sécurité avancés, tels que des solutions de détection et de réponse aux terminaux (EDR), pour surveiller et répondre aux menaces potentielles en temps réel.
• Effectuer des évaluations de sécurité régulières et des tests de pénétration pour identifier et corriger les vulnérabilités au sein de l’infrastructure de l’organisation.
• Collaborer avec des pairs du secteur et des experts en sécurité pour partager des connaissances et se tenir au courant des dernières tendances en matière de ransomwares et de techniques d’attaque.

Viser une norme de sécurité plus élevée

Alors que les normes réglementées pour la prévention des ransomwares, telles que CISA, NIST, HIPAA, FedRAMP et ISO 27002, fournissent des conseils précieux et un point de départ solide pour les organisations, il est crucial de reconnaître que ces normes peuvent ne pas suffire. En allant au-delà des normes réglementées, les organisations peuvent réduire considérablement le risque d’être victime d’une attaque de ransomware.

Alors que les menaces de rançongiciels évoluent et deviennent de plus en plus sophistiquées, les entreprises doivent rester proactives et vigilantes dans leurs efforts de cybersécurité. Cela implique de respecter les normes réglementées et de s’efforcer de les dépasser, notamment en matière de sécurité des mots de passe et de formation des employés. En adoptant une approche globale et adaptative de la prévention des ransomwares, les entreprises peuvent mieux protéger leurs données et actifs critiques contre la menace omniprésente des attaques.

Protégez votre organisation contre les ransomwares avec la politique de mot de passe Specops

De nombreuses organisations utilisent les services de domaine Microsoft Active Directory comme solution de gestion des identités et des accès sur site pour sécuriser les ressources. Cependant, Active Directory manque d’outils natifs fournissant des politiques de mot de passe modernes et efficaces. De plus, les stratégies de mot de passe natives d’Active Directory ne protègent pas contre les mots de passe incrémentiels ou violés, qui conduisent souvent à des attaques de rançongiciels.

Politique de mot de passe Specops fournit aux organisations des outils de politique de mot de passe modernes pour relever les défis de la sécurisation des mots de passe contre les attaques actuelles. Il permet aux organisations de définir des règles personnalisées et de répondre aux exigences réglementaires. Il fournit également des commentaires en temps réel aux utilisateurs finaux, aidant les utilisateurs à voir ce que l’on attend d’eux. De plus, les administrateurs peuvent configurer le vieillissement basé sur la longueur, permettant aux utilisateurs d’attendre plus longtemps entre les changements de mot de passe en fonction de la force du mot de passe.

Les organisations peuvent utiliser les stratégies de groupe existantes qu’elles ont mises en place pour étendre la sécurité des mots de passe à l’aide des options de sécurité de la stratégie de mot de passe Specops. Notez les fonctionnalités et capacités suivantes :

• Listes de dictionnaires personnalisés
• Bloquez plus de 3 milliards de mots de passe compromis avec Breached Password Protection
• Messagerie client informatif de l’utilisateur final en cas d’échec du changement de mot de passe
• Les utilisateurs reçoivent des commentaires dynamiques en temps réel avec le client Specops Authentication
• Expiration du mot de passe basée sur la longueur avec notifications par e-mail personnalisables
• Bloquer les noms d’utilisateur, les noms d’affichage, les mots spécifiques, les caractères consécutifs, les mots de passe incrémentiels et réutiliser une partie du mot de passe actuel
• Ciblage granulaire basé sur les GPO pour tout niveau de GPO, ordinateur, utilisateur ou population de groupe

En savoir plus sur la politique de mot de passe Specops et télécharger une version d’essai gratuite ici : Filtre de mot de passe Active Directory – Politique de mot de passe Specops

Sponsorisé et écrit par Logiciel Specops