Connaître son attaquant : identifier les menaces de sécurité modernes

1


3

Des sociétés de toutes tailles font l’objet d’attaques. Selon une étude de l’Agence de l’Union européenne pour la cybersécurité (ENISA), tous les types de menaces de cybersécurité ont augmenté l’année dernière, avec une hausse de 22 % des attaques DDoS par rapport à l’année précédente et une multiplication par deux du coût de la gestion d’une attaque par rançongiciel sur la même période.

Une enquête du gouvernement britannique a révélé une statistique encore plus alarmante : près d’un quart des entreprises ne considèrent pas la cybersécurité comme une priorité absolue, ce qui pourrait expliquer pourquoi tant de sociétés sont exposées, même aux attaques les plus simples.

Tout cela montre que, malgré la maturité croissante du marché de la cybersécurité, de nombreuses organisations continuent de considérer la sécurité comme une question technique et non commerciale, alors que les violations de données détruisent souvent la réputation des marques, ébranlent la confiance des clients et mettent même certaines petites sociétés en faillite. C’est une préoccupation majeure dans un monde où le télétravail et le travail hybride ont changé la donne en matière de sécurité.

Nous examinons ici comment la maturité en matière de cybersécurité commence avec vos collaborateurs.

Intégrer la sécurité dans votre culture

Les sociétés doivent réagir à cette situation, à tous les niveaux depuis le conseil d’administration jusqu’aux collaborateurs. Dans son récent résumé des problèmes auxquels sont confrontés les DSI, le cabinet de conseil McKinsey est direct quant à la nécessité de placer la sécurité au cœur de toute organisation et au fait que les mesures de sécurité ne doivent pas être considérées comme un mal nécessaire ou une simple question technique. McKinsey va plus loin en soulignant qu’il ne s’agit pas seulement de mettre à niveau les produits.

« La solution… consiste à reconnaître que la sécurité est avant tout une question de culture et de gestion et non une question technique », indique le rapport.

Les meilleures sociétés le reconnaissent et ont modifié leur mode de gestion des problèmes de sécurité. Ce sont elles qui font en sorte que les DSI et/ou les RSSI siègent aux conseils d’administration, mettent en place des programmes de formation complets et se battent pour obtenir de meilleurs budgets et des ressources plus importantes. Comme nous le verrons plus loin, ces changements font une grande différence, non seulement en intégrant la sécurité dans les activités habituelles, mais aussi en rendant ces organisations moins vulnérables aux attaques et aux pertes de données qui en résultent.

Les sociétés qui ne mettent pas en place ces types de mesures sont vulnérables, et les cybercriminels le savent. C’est pourquoi tant de failles de sécurité sont imputables au piratage psychologique plutôt qu’à des prouesses technologiques, et pourquoi les cybercriminels s’attaquent si souvent aux éléments les plus vulnérables : par essence, ils exploitent la plupart des victimes au moyen d’attaques très simples et faciles.

C’est un problème majeur : selon une étude, 98 % des failles de sécurité sont imputables au piratage psychologique. Et en soi, cela indique que le problème ne concerne pas seulement la technologie.

Organiser des formations de sensibilisation à la sécurité pour lutter contre le piratage psychologique

La forme la plus courante d’attaque par piratage psychologique est de loin l’hameçonnage, c’est-à-dire l’envoi d’un message sous une forme ou une autre par e-mail. Le principe du piratage psychologique est de provoquer une émotion (la curiosité, la joie ou la peur) dans le but de conduire au même résultat final : le destinataire est tenté de cliquer sur le lien, qui peut tranquillement télécharger un logiciel malveillant ou amener la victime peu méfiante sur un site Web où des cybercriminels espèrent voler ses informations ou accéder à son appareil.

Les pirates psychologiques peuvent être extrêmement malins et cibler soigneusement leurs destinataires. Une personne peut recevoir un cadeau inattendu pour son anniversaire, une autre peut bénéficier d’une « première écoute exclusive » d’une nouvelle chanson. De nombreux moyens permettent d’attirer l’attention des utilisateurs, comme les avis d’imposition. Ainsi, le HMRC britannique (département responsable de la collecte des taxes) a détecté une augmentation de 73 % des attaques par hameçonnage par e-mail au cours des six premiers mois de la pandémie de COVID-19.

Les collaborateurs doivent être attentifs à certains signes d’alerte. L’adresse e-mail de l’expéditeur correspond-elle exactement à l’adresse attendue ? Parmi les indicateurs à surveiller, citons le remplacement du 0 par le O ou du 1 par le I, ou un domaine de premier niveau inconnu. L’e-mail peut comporter une formule de salutation générique, telle que « Cher client » ou « Cher utilisateur », tandis que l’adresse e-mail elle-même peut ne pas sembler authentique.

Ainsi, en tenant compte des conseils de McKinsey selon lesquels la sécurité est une question de gestion et de culture, que devraient faire les sociétés pour mieux se protéger ? La réponse est claire : il convient de renforcer les procédures, de mieux informer les collaborateurs par le biais de formations de sensibilisation à la sécurité et de définir des politiques claires pour faire face aux cyberattaques.

Examiner votre politique de sécurité

Il est donc essentiel que les organisations élaborent une politique de sécurité qui indique aux collaborateurs comment travailler en toute sécurité, comment éviter les pièges évidents et, surtout, comment réagir en cas de faille de sécurité.

Les sociétés européennes doivent être particulièrement attentives à ce dernier point, compte tenu des devoirs qui leur incombent vis-à-vis du RGPD. De nos jours, les entreprises peuvent être soumises à de lourdes amendes si les données de leurs clients ne sont pas protégées de manière adéquate, comme si la perte de données sensibles n’était pas suffisamment pénalisante.

Pour commencer, une politique de sécurité doit couvrir une utilisation acceptable : ce à quoi les équipements de la société peuvent servir et ce à quoi ils ne peuvent pas servir. C’est d’autant plus important depuis que les collaborateurs ont commencé à travailler à domicile pendant la pandémie. En fixant par écrit le mode d’utilisation des ordinateurs portables, les sociétés peuvent mettre en place un certain niveau de contrôle. Cela permet également de définir la politique relative au partage des mots de passe et à l’utilisation des équipements de la société par les membres de la famille, une question qui a posé des problèmes lors du confinement dû à la COVID-19.

La statistique la plus effrayante de cette enquête du gouvernement britannique est peut-être que la COVID-19 a eu peu d’impact sur l’attitude des sociétés en matière de sécurité. L’étude révèle que 84 % des entreprises n’ont apporté aucune modification à leurs politiques de sécurité, malgré l’augmentation massive du nombre de télétravailleurs.

De plus, étant donné que de nombreux facteurs indiquent que le nombre de télétravailleurs est amené à augmenter, ces entreprises s’exposent à des problèmes.

Délivrer des conseils, permettre l’authentification multifacteur

Mais une politique de sécurité peut aller beaucoup plus loin. Elle peut définir des conseils pour les mots de passe afin que les collaborateurs n’utilisent pas le mot de passe « 123456 » ou « motdepasse », ou, ce qui est à peine mieux, le nom de leurs enfants ou de leurs animaux domestiques. Il est possible de définir des limites minimales de caractères et des changements réguliers. Les sociétés s’intéressent désormais à l’authentification à deux facteurs pour améliorer la sécurité, les analystes de Gartner préconisant de mettre l’accent sur la sécurité par identification d’abord, compte tenu de l’évolution vers le travail hybride.

Il peut également y avoir des directives strictes quant à l’ouverture des pièces jointes et l’utilisation d’appareils, tels que les clés USB, qui peuvent servir à introduire des logiciels malveillants.

Pour finir, il convient d’établir une politique claire et bien définie en matière de violations. Il s’agit de définir clairement la notion de violation (et son degré de gravité), les responsabilités des collaborateurs et une structure de rapport claire.

Les organisations ne doivent pas non plus ignorer la formation. La sécurité IT fait l’objet de beaucoup de désinformation, et les sociétés peuvent apporter leur aide dans ce domaine, même si cela n’est pas directement lié à leurs propres équipements ou services.

Par exemple, les réseaux sociaux peuvent constituer un obstacle particulier. Il peut s’agir de conseils sur les niveaux d’information pouvant être fournis sur les comptes personnels, par exemple la publication des dates d’anniversaire, du nom de jeune fille de la mère, de la première adresse, etc.

Il s’agit d’un aspect plus difficile à surveiller pour les employeurs, mais ils peuvent certainement jouer un rôle dans la formation et s’assurer que les utilisateurs sont conscients du type d’informations que les pirates psychologiques utilisent.

Améliorer la culture, et mettre en place un nouveau modèle de sécurité

Il est clair que les sociétés doivent commencer à réfléchir de manière plus globale à la sécurité IT. Il ne suffit plus (si tel a déjà été le cas) de mettre en place des pare-feu et des logiciels antivirus et de veiller à ce que les ordinateurs portables et les PC soient entièrement protégés.

Une organisation peut disposer des meilleurs produits de cybersécurité, parmi les plus modernes, mais si la culture n’est pas orientée vers les meilleures pratiques, l’entreprise sera toujours vulnérable. Dans le même temps, étant donné le volume des attaques et la réussite des cybercriminels, toute stratégie de cybersécurité doit comprendre « la détection, la mesure corrective et la réponse » comme un tout, et non comme des composantes individuelles.

Un processus de formation des utilisateurs et une politique de sécurité complète ne permettent pas à une société d’être protégée à 100 %, mais contribuent dans une certaine mesure à en renforcer la sécurité.

Pour découvrir comment Dell Technologies peut vous aider à résoudre certains de ces problèmes grâce à la sécurité intrinsèque, le nouveau modèle de sécurité qui est sécurisé dès sa conception, cliquez ici.

En savoir plus sur les solutions Dell Technologies et VMware APEX Cloud Services – Cloud-as-a-service | Dell Technologies France