TL;DR

The Essential Eight est la liste de contrôle pratique de l'Australie en matière de cyberdéfense : huit contrôles répartis entre la prévention, la limitation et la récupération.

Pensez aux correctifs, au MFA, au durcissement des applications, aux sauvegardes, etc.

Il ne s'agit pas d'un méga-cadre, mais il est obligatoire pour les organismes publics et constitue une base solide pour tous.

Trois niveaux de maturité permettent de mesurer votre résistance aux attaquants, des amateurs aux APT.

Résumé du tableau de bord des huit éléments essentiels :

• Effort du développeur : Modéré (implique l'application de correctifs aux applications, le renforcement des applications utilisateur, potentiellement le contrôle des applications, la prise en charge de l'AMF et la garantie de l'efficacité des sauvegardes).
• Coût de l'outillage : Modéré (nécessite des outils pour les correctifs, le contrôle des applications/la liste blanche, potentiellement le contrôle des macros, les solutions MFA, les systèmes de sauvegarde, la gestion des privilèges de l'administrateur).
• Impact sur le marché : élevé (référence obligatoire pour le gouvernement australien ; meilleure pratique pour les entreprises australiennes ; bonne sécurité de base à l'échelle mondiale).
• Flexibilité : élevée (se concentre sur des résultats spécifiques en matière d'atténuation ; les niveaux de maturité permettent une mise en œuvre progressive en fonction du risque).
• Intensité de l'audit : Modérée (souvent auto-évaluée par rapport aux niveaux de maturité, mais les audits/évaluations sont courants pour la conformité gouvernementale ou l'assurance d'une tierce partie).

Qu'est-ce que les Huit essentiels ?

L'Essential Eight est un ensemble de stratégies de base d'atténuation de la cybersécurité élaborées et recommandées par l'Australian Cyber Security Centre (ACSC). Il est conçu pour protéger les systèmes d'information des organisations contre une série de cybermenaces en se concentrant sur des contrôles pratiques à fort impact. Elle est considérée comme le fondement de l'amélioration de la résilience cybernétique.

Les huit stratégies essentielles sont regroupées en trois objectifs :

1. Empêcher la diffusion et l'exécution de logiciels malveillants :

* Contrôle des applications : Empêcher l'exécution de programmes non approuvés/malveillants (liste blanche).

* Porter des correctifs sur les applications : Mettre à jour rapidement les applications afin de corriger les vulnérabilités connues en matière de sécurité.

* Configurer les paramètres des macros de Microsoft Office : Bloquer ou restreindre les macros provenant d'Internet.

* Durcissement des applications utilisateur : Configurer les navigateurs web et autres applications pour bloquer/limiter les contenus potentiellement dangereux (par exemple, Flash, publicités, Java).

2. Limiter l'ampleur des incidents de cybersécurité :

* Restreindre les privilèges administratifs : Limitez l'accès des administrateurs puissants en fonction des tâches de l'utilisateur ; utilisez des comptes privilégiés distincts.

* Patch des systèmes d'exploitation : Mettre à jour les systèmes d'exploitation en temps voulu.

* Authentification multifactorielle (MFA) : Mettre en œuvre l'authentification multifactorielle pour l'accès aux systèmes/données sensibles, en particulier pour l'accès à distance et les utilisateurs privilégiés.

3. Récupérer les données et maintenir la disponibilité :

* Sauvegardes régulières : Effectuez des sauvegardes quotidiennes des données importantes, des logiciels et des paramètres de configuration. Conservez les sauvegardes en toute sécurité et testez régulièrement le processus de restauration.

L'ACSC définit également des niveaux de maturité pour la mise en œuvre des huit éléments essentiels (niveau un, niveau deux, niveau trois), qui représentent des niveaux croissants de capacité à atténuer les techniques adverses.

• Niveau de maturité 1 : se concentre sur l'atténuation des effets des adversaires qui utilisent principalement des outils et des techniques courants pour obtenir un accès et un contrôle initiaux.
• Niveau de maturité deux : il s'agit d'atténuer les effets des adversaires qui utilisent des techniques plus avancées et tentent activement de contourner les contrôles et de brouiller les pistes.
• Niveau de maturité trois : Se concentre sur l'atténuation des effets des adversaires sophistiqués, y compris les acteurs parrainés par l'État, qui sont plus ciblés, plus persistants et plus adaptables.

Chaque niveau de maturité comporte des exigences de mise en œuvre spécifiques pour chacune des huit stratégies.

Pourquoi est-ce important ?

Les huit éléments essentiels sont cruciaux, en particulier dans le contexte australien :

• Défense de base efficace : Fournit un ensemble de contrôles éprouvés et hiérarchisés qui atténuent considérablement les vecteurs d'attaques cybernétiques les plus courants (tels que les logiciels malveillants, l'hameçonnage, le vol d'informations d'identification).
• Mandat du gouvernement australien : la mise en œuvre (souvent au niveau de maturité deux ou plus) est obligatoire pour les agences du gouvernement fédéral australien dans le cadre de la politique de sécurité de protection (PSPF).
• Meilleure pratique de l'industrie (Australie) : Largement adoptée et recommandée comme norme de base pour les entreprises australiennes afin d'améliorer leur cyber-résilience.
• Pratique et réalisable : Il se concentre sur des contrôles techniques concrets plutôt que sur des systèmes de gestion complexes, ce qui le rend relativement simple à comprendre et à mettre en œuvre.
• Atténuation rentable : La mise en œuvre de ces contrôles de base est souvent plus rentable pour prévenir les violations que pour gérer les conséquences.
• Attentes de la chaîne d'approvisionnement : De plus en plus, les organisations (gouvernementales et privées) attendent de leurs fournisseurs qu'ils respectent les huit principes essentiels.
• Amélioration de la résilience cybernétique : Rend les systèmes fondamentalement plus difficiles à compromettre et plus faciles à restaurer en cas d'incident.

Même en dehors de l'Australie, les Huit éléments essentiels constituent une base solide pour l'hygiène en matière de cybersécurité.

Quoi et comment mettre en œuvre (technique et politique)

La mise en œuvre des huit éléments essentiels implique le déploiement de contrôles techniques et de politiques de soutien pour chaque stratégie, en vue d'atteindre un niveau de maturité spécifique :

1. Contrôle de l'application :
   
   • Utilisez des outils (comme Microsoft AppLocker ou des solutions tierces) pour définir et appliquer des listes d'applications approuvées (exécutables, scripts, installateurs) autorisées à fonctionner. Bloquer tout le reste. Nécessite une création minutieuse de la base de référence et une gestion continue.
2. Applications de correctifs :
   
   • Mettre en œuvre un processus solide de gestion des correctifs. Utiliser des outils automatisés pour rechercher les correctifs manquants pour les applications (navigateurs web, Office, visionneuses PDF, Java, Flash, etc.) Appliquer les correctifs critiques/élevés dans des délais définis (par exemple, 48 heures pour ML2/3 pour les applications orientées vers l'internet).
3. Configurer les paramètres de macro de Microsoft Office :
   
   • Utiliser les objets de stratégie de groupe (GPO) ou les paramètres MDM pour bloquer les macros provenant d'endroits non fiables (Internet, pièces jointes aux courriels). N'autoriser les macros qu'à partir de sources fiables et signées, si elles sont nécessaires à l'activité de l'entreprise. Vérifier rigoureusement toute exception.
4. Durcissement de l'application utilisateur :
   
   • Configurer les navigateurs web pour bloquer ou désactiver les contenus à haut risque (par exemple, Flash, publicités web, applets Java). Empêcher les utilisateurs d'outrepasser facilement ces paramètres. Utiliser le filtrage du contenu web. Configurer Office, les visionneuses de PDF, etc., pour empêcher l'exécution de liens/embarquements d'objets ou l'exécution de scripts, dans la mesure du possible.
5. Restreindre les privilèges administratifs :
   
   • Appliquer le principe du moindre privilège. Attribuer des droits d'administrateur uniquement lorsque cela est nécessaire. Utiliser des comptes distincts pour les tâches privilégiées et les activités quotidiennes (courrier électronique, navigation). Gérer les comptes privilégiés de manière sécurisée (mots de passe/phrases de passe forts, MFA). Consigner et surveiller les opérations privilégiées.
6. Patch Systèmes d'exploitation :
   
   • Comme pour les correctifs des applications, il convient de mettre en œuvre un processus et des outils permettant de rechercher et d'appliquer rapidement les correctifs de sécurité du système d'exploitation, en particulier les correctifs critiques (par exemple, dans les 48 heures pour les systèmes ML2/3 orientés vers l'internet).
7. Authentification multifactorielle (MFA) :
   
   • Mettez en œuvre l'AMF pour tous les accès privilégiés, les accès à distance (VPN, RDP, webmail) et l'accès aux référentiels de données importants. Utilisez des méthodes d'authentification forte (par exemple, des applications d'authentification, des clés FIDO2, des cartes à puce). Évitez les méthodes faciles à pirater, comme les SMS, dans la mesure du possible pour les niveaux supérieurs.
8. Sauvegardes quotidiennes :
   
   • Mettre en œuvre des sauvegardes quotidiennes automatisées des données critiques, des configurations et des images du système. Veiller à ce que les sauvegardes soient stockées en toute sécurité (hors ligne, hors site, cryptées). Tester régulièrement le processus de restauration (au moins une fois par an, de préférence une fois par trimestre pour les niveaux supérieurs) pour vérifier qu'il est complet et fiable.

Pour atteindre des niveaux de maturité plus élevés, il faut généralement davantage d'automatisation, des délais de correction plus courts, une journalisation/surveillance plus complète, des contrôles plus stricts (par exemple, une MFA plus forte) et des tests plus fréquents (par exemple, la restauration des sauvegardes).

Les erreurs courantes à éviter

Lors de la mise en œuvre des huit principes essentiels, les erreurs les plus courantes sont les suivantes :

1. Le traiter comme une simple liste de contrôle : Mettre en œuvre des contrôles techniques sans les politiques, les procédures et la formation nécessaires pour les rendre efficaces à long terme.
2. Mauvaise mise en œuvre : Mise en place de contrôles (comme le contrôle des applications ou l'AMF) de manière incorrecte ou incomplète, laissant des lacunes ou créant des frictions excessives pour l'utilisateur.
3. Application incohérente : L'application des contrôles à certains systèmes mais pas à d'autres dans le champ d'application défini.
4. Négliger la cadence des correctifs : Ne pas respecter les délais requis pour la mise à jour des applications et des systèmes d'exploitation, en particulier les vulnérabilités critiques.
5. Faible contrôle des privilèges administratifs : Accorder des droits d'administration excessifs ou ne pas utiliser efficacement des comptes privilégiés distincts.
6. Lacunes de l'AMF : Mise en œuvre de l'AMF mais absence de domaines clés tels que l'accès à distance ou l'accès à des services en nuage sensibles.
7. Sauvegardes non testées : Effectuer des sauvegardes mais ne jamais tester le processus de restauration, et découvrir qu'elles ne fonctionnent pas lors d'un incident réel.
8. Ignorer les niveaux de maturité : Viser un niveau spécifique sans comprendre ou satisfaire pleinement à toutes les exigences de ce niveau dans les huit stratégies. La maturité d'une entreprise dépend de son contrôle le plus faible.

Les questions que les auditeurs/évaluateurs pourraient poser (accent mis sur les développeurs)

Si les évaluations Essential Eight se concentrent souvent sur l'administration des systèmes et l'infrastructure, les développeurs peuvent être impliqués, notamment en ce qui concerne les correctifs, le renforcement et les configurations sécurisées des applications :

• (Applications de correctifs) "Quel est le processus d'identification et de correction des vulnérabilités dans les bibliothèques tierces utilisées par vos applications ?" (En rapport avec le SCA)
• (Durcissement de l'application utilisateur) "Comment les paramètres de sécurité sont-ils configurés pour les composants web ou les cadres utilisés dans l'application afin de prévenir les attaques courantes côté client ?"
• (Restreindre les privilèges des administrateurs) "L'application elle-même applique-t-elle le principe du moindre privilège pour les différents rôles d'utilisateur ? Comment les fonctions administratives au niveau de l'application sont-elles protégées ?"
• (Application de correctifs aux systèmes d'exploitation) "Comment vous assurez-vous que le système d'exploitation et les environnements d'exécution dans lesquels votre application est déployée sont corrigés conformément à la politique en vigueur ? (Interaction avec les équipes Ops/Platform)
• (MFA) "L'application prend-elle en charge ou applique-t-elle le MFA pour la connexion des utilisateurs, en particulier pour les fonctions sensibles ?"

Les évaluateurs rechercheront des preuves de l'existence de processus de correction, de configurations sécurisées (à la fois côté serveur et éventuellement côté client en ce qui concerne le renforcement des applications), et de la manière dont les applications s'intègrent à des contrôles plus larges tels que l'AMF et la journalisation.

Des gains rapides pour les équipes de développement

Les équipes de développement peuvent soutenir directement les objectifs d'Essential Eight:

1. Priorité à la correction des dépendances : intégrer les outils SCA et établir un processus de mise à jour rapide des bibliothèques présentant des vulnérabilités critiques/élevées connues. (Appuie les applications de correctifs)
2. Configuration sécurisée des applications : S'assurer que les applications sont livrées avec des paramètres par défaut sécurisés et que les dépendances sont configurées de manière sécurisée. (prend en charge le durcissement des applications utilisateur, les applications de correctifs)
3. Limiter les privilèges des applications : Concevoir des applications pour qu'elles s'exécutent avec le minimum de privilèges nécessaires au système d'exploitation ou au service. (Prend en charge la restriction des privilèges d'administration)
4. Prise en charge de l'intégration MFA : S'assurer que les applications s'intègrent correctement avec les solutions standard de MFA pour l'authentification des utilisateurs. (Prise en charge de l'AMF)
5. Produire des versions sécurisées : Veiller à ce que le processus de construction lui-même n'introduise pas de vulnérabilités et à ce que les artefacts soient stockés en toute sécurité. (Soutient indirectement plusieurs stratégies)
6. Fournir des crochets de journalisation : Construire des applications avec des capacités de journalisation claires pour les événements liés à la sécurité afin de répondre aux exigences de surveillance. (Prise en charge indirecte des sauvegardes et de la sécurité au sens large)

Ignorez ceci et... (Conséquences de la non-conformité)

Pour les agences gouvernementales australiennes, le fait de ne pas satisfaire aux huit exigences essentielles imposées par la PSPF constitue une non-conformité à la politique gouvernementale, pouvant conduire à des conclusions d'audit et à des mesures correctives. Pour les entreprises :

• Risque accru d'attaques courantes : Ignorer ces stratégies rend les organisations très vulnérables aux ransomwares, au phishing, aux infections par logiciels malveillants et au vol d'informations d'identification - le pain et le beurre de la plupart des cyberattaques.
• Impact plus important des incidents : L'absence de contrôles tels que les correctifs, les restrictions administratives et les sauvegardes signifie que les incidents sont susceptibles d'être plus étendus, plus dommageables et plus difficiles à réparer.
• Incapacité à répondre aux exigences des gouvernements/partenaires : De plus en plus, les appels d'offres et les contrats (en particulier ceux liés au gouvernement) exigent la démonstration de l'alignement sur les Huit éléments essentiels. La non-conformité bloque les opportunités.
• Atteinte à la réputation : Une violation due à l'absence de mise en œuvre de contrôles de base, largement recommandés, tels que les "huit principes essentiels", peut nuire considérablement à la réputation de l'entreprise.
• Questions réglementaires/juridiques potentielles : Bien qu'il ne s'agisse pas d'une législation directe (en dehors de la CRFP), le fait de ne pas mettre en œuvre les meilleures pratiques reconnues telles que les huit principes essentiels pourrait être considéré comme une négligence en cas d'atteinte aux données personnelles (loi sur la protection de la vie privée) ou d'impact sur les infrastructures critiques.

FAQ

Le programme "Essential Eight" est-il obligatoire en Australie ?

Elle est obligatoire pour les entités du gouvernement fédéral australien en vertu du Protective Security Policy Framework (PSPF). Pour les entreprises privées, elle est considérée comme une bonne pratique et est de plus en plus attendue, en particulier pour celles qui travaillent avec le gouvernement ou dans des secteurs critiques, mais elle n'est pas (encore) largement imposée par la loi.

Quels sont les huit niveaux de maturité essentiels ?

L'ACSC a défini trois niveaux de maturité (un, deux et trois). Chaque niveau représente une capacité croissante à se défendre contre des attaquants plus sophistiqués en exigeant une mise en œuvre plus stricte des huit stratégies d'atténuation. Une organisation doit satisfaire à toutes les exigences d'un niveau spécifique dans l'ensemble des huit stratégies pour atteindre ce niveau de maturité global.

Quel niveau de maturité mon organisation doit-elle viser ?

L'ACSC conseille aux organisations de cibler un niveau de maturité en fonction de leur profil de risque - en tenant compte de la probabilité d'être ciblé et des conséquences potentielles d'une compromission. Les entités gouvernementales australiennes visent souvent le niveau deux ou plus. Les entreprises doivent procéder à une évaluation des risques afin de déterminer un objectif approprié.

Quel est le lien entre les huit éléments essentiels et la norme ISO 27001 ou la norme NIST CSF ?

Les huit éléments essentiels se concentrent sur un ensemble spécifique et prioritaire de stratégies d'atténuation technique. La norme ISO 27001 est une norme plus large de système de gestion de la sécurité de l'information (SGSI) qui couvre la gouvernance, la gestion des risques et un éventail plus large de contrôles (y compris de nombreux contrôles techniques qui s'alignent sur les E8). Le NIST CSF est un cadre de haut niveau pour l'organisation des activités de cybersécurité. La mise en œuvre des huit éléments essentiels permet de répondre à de nombreuses exigences de contrôle technique de la norme ISO 27001 et s'aligne sur les fonctions "Protéger" et "Récupérer" du CSF du NIST.

L'Essential Eight est-il réservé aux environnements Windows ?

Bien qu'ils aient été conçus à l'origine pour les systèmes Microsoft Windows (comme en témoignent les contrôles tels que les paramètres des macros Office), les principes qui sous-tendent les huit éléments essentiels (correctifs, contrôle des applications, MFA, sauvegardes, etc.) sont applicables et adaptables à d'autres systèmes d'exploitation (Linux, macOS) et environnements en nuage, même si les méthodes de mise en œuvre spécifiques diffèrent.

Comment la conformité aux huit principes essentiels est-elle évaluée ?

L'évaluation implique souvent une auto-évaluation par rapport aux spécifications du modèle de maturité de l'ACSC. Pour la conformité gouvernementale ou l'assurance d'une tierce partie, des audits ou des évaluations formels peuvent être menés par des parties indépendantes, examinant les configurations techniques, les politiques, les procédures et les preuves de mise en œuvre pour chaque stratégie au niveau de maturité cible. Des outils comme Introspectus Assessor peuvent automatiser certaines parties de la vérification technique.

Où puis-je trouver le guide officiel des Huit éléments essentiels ?

Le site web de l'Australian Cyber Security Centre (ACSC) (cyber.gov.au) est la source officielle des stratégies d'atténuation des Huit éléments essentiels et des spécifications détaillées du modèle de maturité.