Externalisation des projets, télétravail, multiplication des points d’accès, innovation, nouvelles techniques de cyberattaques : comment les entreprises peuvent-elles s’armer contre les menaces potentielles ? Comment les CTO et CIO peuvent-ils obtenir un environnement de travail à la fois sécurisé et simple d’utilisation pour tous les employés, tout en atteignant leurs objectifs de croissance ?
Cyberattaques : comment les entreprises peuvent-elles limiter les risques dans un contexte global qui favorise les menaces ?
En 2022, 9 entreprises sur 10 ont été la cible de cybercriminels¹. Face à la recrudescence des attaques, les Etats engagent des actions concrètes : déblocage de budgets, renforcement de la coopération internationale, nouvelle réglementation. Les entreprises quant à elles ont conscience de l’importance de renforcer la sécurité de leur environnement. Surtout dans un contexte d’hybridation du travail qui favorise les risques d’attaques : 79 % des entreprises reconnaissent que le télétravail a eu un impact négatif sur leurs systèmes de sécurité, les risques pouvant venir des collaborateurs ou des partenaires externes². Paradoxalement, elles n’auraient prévu que 10 % d’augmentation budgétaire cette année à cet effet³.
Protection contre l'ingénierie sociale et les menaces internes : une approche à plusieurs niveaux
Avec les vagues actuelles de licenciements dans de nombreuses entreprises technologiques, les menaces d'initiés pourraient augmenter de manière exponentielle cette année. Elles peuvent créer un flot d'employés mécontents qui pourraient potentiellement nuire aux activités de leurs anciens employeurs. Les anciens employés qui avaient accès à des données sensibles et/ou à des connaissances critiques de l'environnement pourraient potentiellement causer des dommages irréversibles.
L’ingénierie sociale et menaces internes sont des actes malveillants bien identifiés, néanmoins, il n'existe pas de solution miracle pour protéger les organisations contre ces attaques. Cependant, les stratégies de sécurité doivent être intégrées dans l'architecture et les principes de conception d'une organisation (plutôt qu'une réflexion après coup) et composée de divers mécanismes de défense complémentaires, des personnes aux outils technologiques. Par exemple :
- La mise en œuvre d'une méthode MFA robuste et l'exploitation de FIDO 2.0 avec des clés matérielles pour réduire l'exposition à l'exploitation de « la fatigue MFA ».
- L'application d'une politique de confiance complète pour les appareils avec des outils de sécurité étendus pour les appareils des utilisateurs finaux afin de compléter la méthode MFA.
- Considérez le RBAC (Role-Based Access Control) et le CBAC (Contextual-Based Access Control) comme faisant partie de vos mécanismes d'autorisation. Attribuez des rôles et des privilèges en fonction des rôles des employés, des besoins d'accès (privilèges, système...) et assurez une bonne adéquation entre les rôles et les responsabilités des employés et la nécessité de leur accès aux données critiques pour effectuer leur travail.
- Inclure et affiner les mécanismes de détection comportementale pour signaler et enquêter sur les activités suspectes ou inhabituelles, par exemple le même utilisateur qui se connecte à plusieurs sessions à partir de divers emplacements ou systèmes.
- Construire un programme de sensibilisation à la formation sur mesure pour les employés, spécifiquement basé sur leur rôle et les données auxquelles ils ont accès - puis tester leur sensibilisation avec des méthodes engageantes et gratifiantes pour leur permettre d'apprendre de leurs erreurs.
- Développer l'accès au moindre privilège et les modèles de confiance zéro dans l'architecture de sécurité d'une organisation, en attribuant l'accès et les autorisations les moins nécessaires pour effectuer des tâches spécifiques.
S’adapter aux menaces : s'appuyer sur l’automatisation et l'Intelligence Artificielle
Les entreprises ne doivent pas se fier uniquement aux humains et aux processus manuels en matière de sécurité : L'Intelligence Artificielle a énormément progressé ces dernières années. L'IA analyse à la fois une quantité hallucinante de signaux, qui seraient impossible à gérer par un humain et peut identifier les menaces inconnues ou les activités malveillantes pour empêcher leur propagation en temps quasi réel. De cette façon, la défense ne se contente pas de suivre le rythme, mais peut aussi être proactivement préventive pour réduire le risque d'attaques.
De nombreux outils peuvent prédire les menaces futures et permettre de les anticiper : quand quels types d'attaques sont les plus probables, ou quels employés et équipes sont les plus susceptibles d'être en danger. En outre, ils permettent d’automatiser les contrôles manuels et les processus récurrents tels que les politiques de sécurité et ainsi soulager les équipes en charge déjà très sollicitées.
L’exposition aux risques fait partie du quotidien : se préparer aux situations d'urgence grâce aux "Red Team".
Les experts en sécurité doivent sensibiliser l'ensemble de leur personnel. Le meilleur moyen d'y parvenir est de simuler des menaces réelles. Pour cela, on utilise ce qu'on appelle des "Red Team", qui agissent tels de véritables cybercriminels. Ce faisant, ils doivent se dévoiler le plus tard possible pour sauver les apparences. Les Red Team permettent de tester la sensibilisation des employés à la sécurité, mais elles aident aussi les équipes de sécurité elles-mêmes à détecter, à réagir et à contenir une éventuelle crise sans exposer les organisations à des menaces réelles.
Mais même sans les Red Teams, des exercices devraient être organisés régulièrement dans les entreprises à des fins de formation, pour mesurer comment les équipes réagissent lors d’une violation de la sécurité. L’objectif étant d’utiliser ce retour d’expérience pour améliorer les procédures de réponse aux incidents et renforcer les réflexes à adopter par les équipes lorsque les risques se présentent (simulation d’ingénierie sociale, phishing, …)
Conclusion :
Avec les vagues actuelles de licenciements dans de nombreuses entreprises technologiques, les menaces d'initiés pourraient augmenter de manière exponentielle cette année. Elles peuvent créer un flot d'employés mécontents qui pourraient potentiellement nuire aux activités de leurs anciens employeurs. Les anciens employés qui avaient accès à des données sensibles et/ou à des connaissances critiques de l'environnement pourraient potentiellement causer des dommages irréversibles.
L’ingénierie sociale et menaces internes sont des actes malveillants bien identifiés, néanmoins, il n'existe pas de solution miracle pour protéger les organisations contre ces attaques. Cependant, les stratégies de sécurité doivent être intégrées dans l'architecture et les principes de conception d'une organisation (plutôt qu'une réflexion après coup) et composée de divers mécanismes de défense complémentaires, des personnes aux outils technologiques. Par exemple :
Les entreprises ne doivent pas se fier uniquement aux humains et aux processus manuels en matière de sécurité : L'Intelligence Artificielle a énormément progressé ces dernières années. L'IA analyse à la fois une quantité hallucinante de signaux, qui seraient impossible à gérer par un humain et peut identifier les menaces inconnues ou les activités malveillantes pour empêcher leur propagation en temps quasi réel. De cette façon, la défense ne se contente pas de suivre le rythme, mais peut aussi être proactivement préventive pour réduire le risque d'attaques.
De nombreux outils peuvent prédire les menaces futures et permettre de les anticiper : quand quels types d'attaques sont les plus probables, ou quels employés et équipes sont les plus susceptibles d'être en danger. En outre, ils permettent d’automatiser les contrôles manuels et les processus récurrents tels que les politiques de sécurité et ainsi soulager les équipes en charge déjà très sollicitées.
L’exposition aux risques fait partie du quotidien : se préparer aux situations d'urgence grâce aux "Red Team".
Les experts en sécurité doivent sensibiliser l'ensemble de leur personnel. Le meilleur moyen d'y parvenir est de simuler des menaces réelles. Pour cela, on utilise ce qu'on appelle des "Red Team", qui agissent tels de véritables cybercriminels. Ce faisant, ils doivent se dévoiler le plus tard possible pour sauver les apparences. Les Red Team permettent de tester la sensibilisation des employés à la sécurité, mais elles aident aussi les équipes de sécurité elles-mêmes à détecter, à réagir et à contenir une éventuelle crise sans exposer les organisations à des menaces réelles.
Mais même sans les Red Teams, des exercices devraient être organisés régulièrement dans les entreprises à des fins de formation, pour mesurer comment les équipes réagissent lors d’une violation de la sécurité. L’objectif étant d’utiliser ce retour d’expérience pour améliorer les procédures de réponse aux incidents et renforcer les réflexes à adopter par les équipes lorsque les risques se présentent (simulation d’ingénierie sociale, phishing, …)
Conclusion :
Les experts en sécurité doivent sensibiliser l'ensemble de leur personnel. Le meilleur moyen d'y parvenir est de simuler des menaces réelles. Pour cela, on utilise ce qu'on appelle des "Red Team", qui agissent tels de véritables cybercriminels. Ce faisant, ils doivent se dévoiler le plus tard possible pour sauver les apparences. Les Red Team permettent de tester la sensibilisation des employés à la sécurité, mais elles aident aussi les équipes de sécurité elles-mêmes à détecter, à réagir et à contenir une éventuelle crise sans exposer les organisations à des menaces réelles.
Mais même sans les Red Teams, des exercices devraient être organisés régulièrement dans les entreprises à des fins de formation, pour mesurer comment les équipes réagissent lors d’une violation de la sécurité. L’objectif étant d’utiliser ce retour d’expérience pour améliorer les procédures de réponse aux incidents et renforcer les réflexes à adopter par les équipes lorsque les risques se présentent (simulation d’ingénierie sociale, phishing, …)
La situation économique et politique mondiale actuelle n'a pas facilité le travail des équipes de cybersécurité en 2022. Et pour être tout à fait réaliste : il est peu probable que la situation s'apaise cette année. C'est pourquoi il est encore plus important pour les entreprises de toutes tailles et de tous secteurs d'être proactives et d'utiliser les standards de l’industrie en matière de sécurité (NIST, AAA, FIDO 2.0, etc.), ainsi que les Red Teams et les outils basés sur l'IA pour aider à identifier rapidement les menaces, même à un stade précoce. Néanmoins, les outils et méthodes en matière de sécurité sont toujours en évolution et parfois se superposent. Ici, l’important est de construire une stratégie de sécurité avec des processus technologiques qui permettront aux entreprises de mettre en œuvre les stratégies de sécurité les plus efficaces de la meilleure façon possible. Il est également primordial d’impliquer les équipes, de les sensibiliser à l’importance de la sécurité au sein de l’organisation, de leur démontrer qu’elle est au cœur de l’entreprise et vitale pour sa pérennité. La sécurité ne devrait jamais être une réflexion après coup et devrait être une priorité pour tous les collaborateurs. En fin de compte, la sécurité ne peut être efficace et couronnée de succès que si elle est considérée comme un catalyseur permettant aux entreprises de progresser.
¹ Enquête Dell Technologies : Global Data Protection Index 2022
² Rapport IT Security Economics de Kaspersky
³ Rapport de Verizon 2022