En France, près de la moitié des sociétés ont été victimes d’une cyberattaque en 2022, selon le baromètre de cybersécurité du CESIN, le phishing restant le vecteur d’attaque le plus fréquent (73 %). Ces compromissions touchent aujourd’hui tous types d’entreprises, aussi bien dans le secteur public que privé, quelles que soient leur taille et leur activité.
Comment limiter les risques de compromission de données en 2023 ?
En effet, les cybercriminels sont à l’affût de la moindre faille, et les mauvaises habitudes ou pratiques à risques exposent les organisations à risques importants de fuite de données. C’est pourquoi il est essentiel de renforcer sa cyber-hygiène et de ne pas considérer le cyber-risque comme une fatalité. Des moyens efficaces existent en effet pour lutter contre ces attaques et en limiter les conséquences.
Risques posés par les employés autorisés à utiliser leurs propres appareils
Les compromissions des comptes constituent encore l’un des problèmes de sécurité actuels les plus sérieux. Pourtant, certaines entreprises n’en font pas assez pour protéger les données de leurs employés, ni pour leur apprendre à se défendre contre les cyber-risques, alors que la menace évolue. Ainsi, nos recherches ont révélé que 54 % des salariés ne suivent pas de formations régulières sur la cybersécurité. De plus, près de 57 % des personnes interrogées ont admis avoir utilisé un appareil mis à disposition par leur employeur à des fins personnelles au cours des 12 derniers mois. Un grand nombre de professionnels déclarent même les avoir déjà cassés ou perdus, alors que ceux-ci servent fréquemment pour s’identifier aux comptes professionnels.
En outre, la majorité des collaborateurs se connectent grâce à des méthodes d’authentification très basiques, qui se sont avérées inefficaces contre les tactiques de vol d’informations d’identification les plus courantes aujourd’hui. Les mots de passe, par exemple, restent vulnérables face à des méthodes telles que le phishing, les attaques de type brute force et « man-in-the-middle » (MITM). Ainsi, certaines organisations s’orientent désormais vers une authentification qui les élimine complètement, faisant appel à des solutions physiques telles que des clés de sécurité pour justifier son identité. Celles-ci confèrent une protection optimale contre le phishing, car il faudrait que l’attaquant soit en possession de la clé physique pour contourner l’authentification multifacteur (MFA).
Assurer un mode d’authentification résistant au phishing
À l’ère du travail hybride ou à distance, il est primordial de fournir un accès sécurisé aux applications professionnelles, que ce soit sur les appareils personnels ou ceux de l’entreprise. Pour ce faire, la mise en place d’une solution d’authentification forte, à double facteur (2FA) ou multifacteur, est recommandée. Lors de son application, l’utilisateur doit compléter deux ou plusieurs étapes visant à vérifier son identité. Ceci rajoute un obstacle supplémentaire pour le cybercriminel et l’empêche d’accéder à un compte pouvant lui permettre d’infiltrer des systèmes critiques. En revanche, toutes les formes d’authentification ne se valent pas. Les options les plus utilisées, les mots de passe à usage unique (OTP) envoyés par SMS et les applications d’authentification mobile par exemple, sont plus faciles à détourner par les cybercriminels, car elles restent vulnérables au phishing, aux attaques Man-in-the-middle, et aux prises de contrôle de comptes. De plus, du point de vue du confort d’utilisation et de l’expérience, bien que la saisie d’un code puisse sembler plutôt accessible, elle peut vite devenir rébarbative au vu du nombre de connexions et d’applications utilisées chaque jour. Enfin, cette méthode exige que l’appareil de l’utilisateur soit chargé, et qu’il capte le signal à un moment précis, ce qui représente des facteurs variables, indépendants de la volonté de l’utilisateur.
Les organisations doivent mettre en œuvre des formes d'authentification plus modernes et plus robustes - qui offrent également une meilleure expérience utilisateur - en envisageant de passer à l'authentification sans mot de passe et d'adopter l'authentification forte à deux facteurs et l'authentification multifacteur. Par exemple, FIDO2 est une norme d'authentification ouverte hébergée par l'Alliance FIDO, qui offre des options d'authentification modernes étendues, notamment l'authentification forte à facteur unique (sans mot de passe), l'authentification forte à deux facteurs et l'authentification multifactorielle. FIDO2 reflète l'ensemble la plus récente de normes d'authentification numérique et constitue un élément clé dans la résolution des problèmes liés à l'authentification traditionnelle et à l'élimination de l'utilisation globale des mots de passe. Les utilisateurs s’identifient ainsi plus facilement via des appareils dotés de dispositifs de protection intégrés (des lecteurs d’empreintes digitales, des appareils photo de smartphones ou des clés de sécurité matérielles, par exemple) pour accéder à leurs informations numériques. Ces solutions modernes se sont avérées être les options de cybersécurité les plus efficaces à l'échelle de l'entreprise, à la fois conviviales et comblant le fossé entre l'authentification des utilisateurs internes et externes.
Importance de la formation et de la communication
Aujourd’hui, les professionnels sont de plus en plus conscients de la nécessité d’améliorer leur cyber-hygiène et de se former aux bonnes pratiques en ligne. En effet, les utilisateurs non sensibilisés à la cybersécurité ne sont pas en mesure d’identifier les tentatives de compromission, ou même d’en limiter l’impact à leur niveau. Par conséquent, il est essentiel que les entreprises proposent des formations continues, et régulièrement mises à jour, à l’ensemble de leur personnel pour lutter efficacement contre la multiplication des cyberattaques. Aussi, lors du déploiement de nouvelles techniques de sécurité, elles doivent à tout prix souligner les gains et avantages en termes de facilité d’utilisation des solutions choisies, afin de garantir leur bonne adoption.
Face aux cybermenaces de plus en plus sophistiquées, les organisations doivent renforcer leurs systèmes de défense. Pour y parvenir, la formation approfondie de leur personnel, combinée à la mise en place de solutions d’authentification modernes telles que la 2FA et la MFA, constituent une étape incontournable d’une stratégie de sécurité globale pour protéger efficacement leurs ressources et leurs données.