Essential Eight

TL;DR

L'Essential Eight est la liste de contrôle pratique de cyberdéfense de l'Australie — huit contrôles répartis entre la prévention, la limitation et la récupération.

Pensez : patching, MFA, renforcement des applications, sauvegardes, et plus encore.

Ce n'est pas un méga-framework, mais il est obligatoire pour les organisations gouvernementales et constitue une base solide pour tous.

Trois niveaux de maturité mesurent votre résistance aux attaquants, des amateurs aux APT.

Synthèse de l'évaluation Essential Eight :

• Effort du développeur : Modéré (Implique le patch des applications, le renforcement des applications utilisateur, potentiellement le contrôle des applications, le support de l'authentification multifacteur (MFA) et l'assurance de l'efficacité des sauvegardes).
• Coût des outils : Modéré (Nécessite des outils pour le patching, le contrôle d'applications/la liste blanche, potentiellement le contrôle des macros, des solutions MFA, des systèmes de sauvegarde, la gestion des privilèges d'administrateur).
• Impact sur le marché : Élevé (Référence obligatoire pour le gouvernement australien ; considérée comme une bonne pratique pour les entreprises australiennes ; bonne base de sécurité à l'échelle mondiale).
• Flexibilité : Élevée (Se concentre sur des résultats d'atténuation spécifiques ; les niveaux de maturité permettent une implémentation progressive basée sur le risque).
• Intensité de l'audit : Modérée (souvent auto-évaluée par rapport aux niveaux de maturité, mais les audits/évaluations sont courants pour la conformité gouvernementale ou l'assurance tierce partie).

Qu'est-ce que l'Essential Eight ?

L'Essential Eight est un ensemble de stratégies d'atténuation de cybersécurité de base développées et recommandées par l'Australian Cyber Security Centre (ACSC). Il est conçu pour protéger les systèmes d'information des organisations contre un éventail de cybermenaces en se concentrant sur des contrôles pratiques et à fort impact. Il est considéré comme le fondement de l'amélioration de la cyber-résilience.

Les stratégies de l'Essential Eight sont regroupées en trois objectifs :

1. Prévenir la livraison et l'exécution de malwares :

* Contrôle des applications : Empêcher l'exécution de programmes non approuvés/malveillants (liste blanche).

* Mettre à jour les applications : Mettre à jour rapidement les applications pour corriger les vulnérabilités de sécurité connues.

* Configurer les paramètres de macro de Microsoft Office : Bloquer ou restreindre les macros provenant d'internet.

* Durcissement des applications utilisateur : Configurer les navigateurs web et autres applications pour bloquer/limiter les contenus potentiellement dangereux (ex: Flash, publicités, Java).

2. Limiter l'étendue des incidents de cybersécurité :

* Restreindre les privilèges administratifs : Limiter l'accès administrateur puissant en fonction des fonctions de l'utilisateur ; utiliser des comptes privilégiés distincts.

* Mettre à jour les systèmes d'exploitation : Mettre à jour rapidement les systèmes d'exploitation.

* Authentification multi-facteurs (MFA) : Mettre en œuvre la MFA pour l'accès aux systèmes/données sensibles, en particulier pour l'accès à distance et les utilisateurs privilégiés.

3. Récupérer les données et maintenir la disponibilité :

* Sauvegardes régulières : Effectuer des sauvegardes quotidiennes des données importantes, des logiciels et des paramètres de configuration. Conserver les sauvegardes en toute sécurité et tester régulièrement le processus de restauration.

L'ACSC définit également des Niveaux de Maturité pour la mise en œuvre de l'Essential Eight (Niveau Un, Niveau Deux, Niveau Trois), représentant des niveaux croissants de capacité à atténuer les techniques adverses.

• Niveau de maturité un : Se concentre sur l'atténuation des menaces des adversaires qui utilisent principalement des outils et techniques courants pour obtenir un accès initial et un contrôle.
• Niveau de maturité deux : Se concentre sur l'atténuation des menaces des adversaires utilisant des techniques plus avancées, cherchant activement à contourner les contrôles et à effacer leurs traces.
• Niveau de maturité trois : Se concentre sur l'atténuation des menaces des adversaires sophistiqués, y compris les acteurs étatiques, qui sont plus ciblés, persistants et adaptatifs.

Chaque niveau de maturité a des exigences d'implémentation spécifiques pour chacune des huit stratégies.

Pourquoi est-ce important ?

L'Essential Eight est essentiel, en particulier dans le contexte australien :

• Défense de Base Efficace : Fournit un ensemble de contrôles éprouvés et priorisés qui atténuent significativement les vecteurs d'attaques cyber les plus courants (tels que les malwares, le phishing, le vol d'identifiants).
• Mandat du gouvernement australien : La mise en œuvre (souvent jusqu'au niveau de maturité deux ou plus) est obligatoire pour les agences du gouvernement fédéral australien dans le cadre du Protective Security Policy Framework (PSPF).
• Meilleure pratique sectorielle (Australie) : Largement adoptée et recommandée comme norme de référence pour les entreprises australiennes afin d'améliorer leur cyber-résilience.
• Pratique et exploitable : Se concentre sur des contrôles techniques concrets plutôt que sur des systèmes de gestion complexes, ce qui le rend relativement simple à comprendre et à mettre en œuvre.
• Atténuation Rentable : La mise en œuvre de ces contrôles fondamentaux est souvent plus rentable pour prévenir les violations que pour gérer les conséquences.
• Attentes en matière de chaîne d'approvisionnement : De plus en plus, les organisations (gouvernementales et privées) attendent de leurs fournisseurs qu'ils démontrent leur adhésion aux Essential Eight.
• Résilience cybernétique améliorée : Rend fondamentalement les systèmes plus difficiles à compromettre et plus faciles à récupérer en cas d'incident.

Même en dehors de l'Australie, l'Essential Eight représente une base solide en matière d'hygiène cybernétique.

Quoi et comment implémenter (Technique et Politique)

La mise en œuvre de l'Essential Eight implique le déploiement de contrôles techniques et de politiques de soutien pour chaque stratégie, visant un niveau de maturité spécifique :

1. Contrôle d'application :
   
   • Utilisez des outils (comme Microsoft AppLocker, des solutions tierces) pour définir et appliquer des listes d'applications approuvées (exécutables, scripts, installateurs) autorisées à s'exécuter. Bloquez tout le reste. Nécessite une création de base de référence minutieuse et une gestion continue.
2. Appliquer les correctifs aux applications :
   
   • Mettez en œuvre un processus robuste de gestion des correctifs. Utilisez des outils automatisés pour rechercher les correctifs manquants pour les applications (navigateurs web, Office, lecteurs PDF, Java, Flash, etc.). Appliquez les correctifs critiques/élevés dans des délais définis (par exemple, 48 heures pour les ML2/3 pour les applications exposées à Internet).
3. Configurer les paramètres des macros Microsoft Office :
   
   • Utilisez les objets de stratégie de groupe (GPO) ou les paramètres MDM pour bloquer les macros provenant d'emplacements non fiables (internet, pièces jointes d'e-mail). Autorisez les macros uniquement à partir de sources fiables et signées si nécessaire pour la fonction métier. Examinez rigoureusement toute exception.
4. Durcissement des applications utilisateur :
   
   • Configurez les navigateurs web pour bloquer ou désactiver les contenus à haut risque (ex. : Flash, publicités web, applets Java). Empêchez les utilisateurs de contourner facilement ces paramètres. Utilisez le filtrage de contenu web. Configurez Office, les lecteurs de PDF, etc., pour empêcher l'exécution de l'intégration d'objets (OLE) ou l'exécution de scripts lorsque cela est possible.
5. Restreindre les privilèges administratifs :
   
   • Mettez en œuvre le principe du moindre privilège. N'attribuez des droits d'administrateur que lorsque cela est nécessaire. Utilisez des comptes distincts pour les tâches privilégiées et les activités quotidiennes (e-mail, navigation). Gérez de manière sécurisée les comptes privilégiés (mots de passe/phrases de passe robustes, MFA). Journalisez et surveillez les opérations privilégiées.
6. Appliquer les correctifs aux systèmes d'exploitation :
   
   • À l'instar du patching applicatif, mettez en œuvre un processus et des outils pour rechercher et appliquer rapidement les correctifs de sécurité du système d'exploitation, en particulier les plus critiques (par exemple, dans les 48 heures pour les systèmes ML2/3 exposés à Internet).
7. Authentification Multi-Facteurs (MFA) :
   
   • Mettez en œuvre la MFA pour tous les accès privilégiés, l'accès à distance (VPN, RDP, webmail) et l'accès aux référentiels de données importants. Utilisez des méthodes d'authentification fortes (par exemple, applications d'authentification, clés FIDO2, cartes à puce). Évitez les méthodes facilement phishables comme les SMS lorsque cela est possible pour les niveaux supérieurs.
8. Sauvegardes quotidiennes :
   
   • Mettez en œuvre des sauvegardes quotidiennes automatisées des données critiques, des configurations et des images système. Assurez-vous que les sauvegardes sont stockées en toute sécurité (hors ligne, hors site, chiffrées). Testez régulièrement le processus de restauration (au moins annuellement, de préférence trimestriellement pour les niveaux supérieurs) pour vérifier l'exhaustivité et la fiabilité.

L'atteinte de niveaux de maturité supérieurs nécessite généralement plus d'automatisation, des délais de patching plus courts, une journalisation/surveillance plus complète, des contrôles plus stricts (par exemple, une MFA plus robuste) et des tests plus fréquents (par exemple, la restauration de sauvegardes).

Erreurs courantes à éviter

Lors de la mise en œuvre de l'Essential Eight, les erreurs courantes incluent :

1. Le considérer uniquement comme une checklist : Mettre en œuvre des contrôles techniques sans les politiques, procédures et formations de soutien nécessaires pour les rendre efficaces à long terme.
2. Mauvaise implémentation : Mettre en place des contrôles (comme le contrôle d'application ou le MFA) de manière incorrecte ou incomplète, laissant des lacunes ou créant une friction utilisateur excessive.
3. Application incohérente : Appliquer des contrôles à certains systèmes mais pas à d'autres au sein du périmètre défini.
4. Négliger la cadence de patching : Ne pas respecter les délais requis pour le patching des applications et des systèmes d'exploitation, en particulier pour les vulnérabilités critiques.
5. Contrôle faible des privilèges administratifs : Accorder des droits d'administrateur excessifs ou ne pas utiliser efficacement des comptes privilégiés distincts.
6. Lacunes de la MFA : Mettre en œuvre la MFA mais négliger des domaines clés comme l'accès à distance ou l'accès aux services cloud sensibles.
7. Sauvegardes non testées : Effectuer des sauvegardes sans jamais tester le processus de restauration, pour découvrir qu'elles ne fonctionnent pas lors d'un incident réel.
8. Ignorer les niveaux de maturité : Viser un niveau spécifique sans comprendre ou satisfaire toutes les exigences de ce niveau pour l'ensemble des huit stratégies. Votre maturité n'excède pas celle de votre contrôle le plus faible.

Ce que les auditeurs/évaluateurs pourraient demander (Axé sur les développeurs)

Alors que les évaluations Essential Eight se concentrent souvent sur l'administration système et l'infrastructure, les développeurs peuvent être impliqués, notamment en ce qui concerne le patching des applications, le durcissement et les configurations sécurisées :

• (Correction des applications) « Quel est le processus pour identifier et corriger les vulnérabilités dans les bibliothèques tierces utilisées par vos applications ? » (Lié à SCA)
• (Durcissement de l'Application Utilisateur) "Comment les paramètres de sécurité sont-ils configurés pour les composants web ou les frameworks utilisés au sein de l'application afin de prévenir les attaques côté client courantes ?"
• (Restreindre les privilèges d'administrateur) "L'application elle-même applique-t-elle le principe du moindre privilège pour les différents rôles d'utilisateur ? Comment les fonctions administratives au niveau de l'application sont-elles protégées ?"
• (Mise à jour des systèmes d'exploitation) "Comment vous assurez-vous que les systèmes d'exploitation et les environnements d'exécution sur lesquels votre application est déployée sont mis à jour conformément à la politique ?" (Interaction avec les équipes Ops/Plateforme)
• (MFA) "L'application prend-elle en charge ou impose-t-elle la MFA pour la connexion des utilisateurs, en particulier pour les fonctions sensibles ?"

Les évaluateurs rechercheront des preuves de processus de patching, de configurations sécurisées (côté serveur et potentiellement côté client, liées au durcissement des applications), et de la manière dont les applications s'intègrent à des contrôles plus larges comme le MFA et la journalisation.

Gains rapides pour les équipes de développement

Les équipes de développement peuvent directement soutenir les objectifs de l'Essential Eight :

1. Prioriser la correction des dépendances : Intégrer les outils SCA et établir un processus pour mettre à jour rapidement les bibliothèques présentant des vulnérabilités critiques/élevées connues. (Soutient la correction des applications)
2. Configuration sécurisée des applications : Assurez-vous que les applications sont livrées avec des paramètres par défaut sécurisés et que les dépendances sont configurées de manière sécurisée. (Soutient le durcissement des applications utilisateur, la mise à jour des applications)
3. Limiter les privilèges des applications : Concevoir les applications pour qu'elles s'exécutent avec le minimum de privilèges nécessaires au niveau du système d'exploitation ou du service. (Prend en charge la restriction des privilèges d'administrateur).
4. Prise en charge de l'intégration MFA : S'assurer que les applications peuvent s'intégrer correctement aux solutions MFA standard pour l'authentification des utilisateurs. (Prend en charge le MFA)
5. Produire des builds sécurisés : S'assurer que le processus de build lui-même n'introduit pas de vulnérabilités et que les artefacts sont stockés de manière sécurisée. (Soutient indirectement plusieurs stratégies)
6. Fournir des hooks de journalisation : Développer des applications avec des capacités de journalisation claires pour les événements pertinents pour la sécurité afin de soutenir les exigences de surveillance. (Soutient indirectement les sauvegardes et la sécurité au sens large)

Ignorez ceci et... (Conséquences de la non-conformité)

Pour les agences gouvernementales australiennes, le non-respect des exigences de l'Essential Eight imposées par le PSPF constitue une non-conformité avec la politique gouvernementale, pouvant entraîner des constatations d'audit et des mesures correctives requises. Pour les entreprises :

• Risque accru d'attaques courantes : Ignorer ces stratégies rend les organisations très vulnérables aux ransomwares, au phishing, aux infections par logiciels malveillants et au vol d'identifiants – le quotidien de la plupart des cyberattaques.
• Impact plus élevé des incidents : Le manque de contrôles tels que le patching, la restriction d'administration et les sauvegardes signifie que les incidents sont susceptibles d'être plus répandus, plus dommageables et plus difficiles à récupérer.
• Incapacité à satisfaire aux exigences gouvernementales/partenaires : De plus en plus, les appels d'offres et les contrats (en particulier ceux liés au gouvernement) exigent la démonstration de l'alignement avec l'Essential Eight. La non-conformité bloque les opportunités.
• Atteinte à la réputation : Subir une violation due à l'incapacité de mettre en œuvre des contrôles de base largement recommandés comme l'Essential Eight peut entraîner un préjudice réputationnel important.
• Problèmes réglementaires/juridiques potentiels : Bien qu'il ne s'agisse pas d'une législation directe (en dehors du PSPF), le fait de ne pas mettre en œuvre les meilleures pratiques reconnues comme l'Essential Eight pourrait être considéré comme de la négligence en cas de violation impliquant des données personnelles (Loi sur la protection de la vie privée) ou impactant une infrastructure critique.

FAQ

L'Essential Eight est-il obligatoire en Australie ?

Il est obligatoire pour les entités du gouvernement fédéral australien dans le cadre du Protective Security Policy Framework (PSPF). Pour les entreprises privées, il est considéré comme une bonne pratique et de plus en plus attendu, en particulier pour celles qui travaillent avec le gouvernement ou dans des secteurs critiques, mais il n'est pas largement imposé par la loi (pour l'instant).

Que sont les niveaux de maturité Essential Eight ?

Il existe trois niveaux de maturité (Un, Deux, Trois) définis par l'ACSC. Chaque niveau représente une capacité croissante à se défendre contre des attaquants plus sophistiqués en exigeant une mise en œuvre plus stricte des huit stratégies d'atténuation. Une organisation doit satisfaire à toutes les exigences d'un niveau spécifique pour chacune des huit stratégies afin d'atteindre ce niveau de maturité global.

Quel niveau de maturité mon organisation devrait-elle viser ?

L'ACSC conseille aux organisations de viser un niveau de maturité basé sur leur profil de risque – en tenant compte de la probabilité d'être ciblé et des conséquences potentielles d'une compromission. Les entités gouvernementales australiennes visent souvent le niveau deux ou plus. Les entreprises devraient effectuer une évaluation des risques pour déterminer un objectif approprié.

Comment l'Essential Eight se rapporte-t-il à ISO 27001 ou au NIST CSF ?

L'Essential Eight se concentre sur un ensemble spécifique et priorisé de stratégies d'atténuation techniques. L'ISO 27001 est une norme plus large de Système de Management de la Sécurité de l'Information (SMSI) couvrant la gouvernance, la gestion des risques et un éventail plus large de contrôles (y compris de nombreux contrôles techniques qui s'alignent sur l'E8). Le NIST CSF est un cadre de haut niveau pour organiser les activités de cybersécurité. La mise en œuvre de l'Essential Eight aide à satisfaire de nombreuses exigences de contrôle technique de l'ISO 27001 et s'aligne sur les fonctions 'Protéger' et 'Récupérer' du NIST CSF.

L'Essential Eight est-il uniquement destiné aux environnements Windows ?

Bien que conçus à l'origine principalement pour les systèmes Microsoft Windows (ce qui se reflète dans des contrôles tels que les paramètres de macros Office), les principes derrière les Essential Eight (patching, contrôle des applications, MFA, sauvegardes, etc.) sont applicables et adaptables à d'autres systèmes d'exploitation (Linux, macOS) et environnements cloud, bien que les méthodes d'implémentation spécifiques diffèrent.

Comment la conformité à Essential Eight est-elle évaluée ?

L'évaluation implique souvent une auto-évaluation par rapport aux spécifications du modèle de maturité de l'ACSC. Pour la conformité gouvernementale ou l'assurance tierce, des audits ou évaluations formels peuvent être menés par des parties indépendantes, examinant les configurations techniques, les politiques, les procédures et les preuves de mise en œuvre pour chaque stratégie au niveau de maturité cible. Des outils comme Introspectus Assessor peuvent automatiser certaines parties de la vérification technique.

Où puis-je trouver les directives officielles de l'Essential Eight ?

Le site web du Centre Australien de Cybersécurité (ACSC) (cyber.gov.au) est la source officielle des stratégies d'atténuation Essential Eight et des spécifications détaillées du Modèle de Maturité.