Combien de sécurité suffit à l'entreprise

Le volume de données dans les entreprises continue d’augmenter de façon incontrôlée. Les entreprises détiennent aujourd’hui en moyenne près de 40% de données en plus que l’année dernière. Cette croissance s’accompagne de défis majeurs en termes de sécurité et de protection des données. Il faut absolument protéger les données sensibles contre des tiers non autorisés, mais aussi contre la négligence ou les abus intentionnels de la part d’initiés. Cet impératif fait l’objet d’un large consensus.

On s’entend en revanche beaucoup moins sur la portée de cette protection ou sur ce qui peut être considéré comme une sécurité suffisante. De bonnes mesures de sécurité sont-elles vraiment suffisantes si l’objectif est de tenir les cybercriminels à distance et de sécuriser les données critiques de l’entreprise? Est-ce que bien faire les choses suffit? Commençons par examiner l’environnement des menaces cyber dans lequel les entreprises opèrent. Aujourd’hui, les attaques externes visent principalement les employés et pas les vulnérabilités de l’infrastructure technique. Si les solutions techniques et les contrôles d’accès restent indispensables pour mettre en place une cyberdéfense durable, ils ne constituent qu’un des aspects d’une stratégie de défense globale.

Que ce soit par le biais de liens malveillants, de comptes compromis ou d’ingénierie sociale, les cybercriminels visent la dernière ligne de défense de nombreuses entreprises: les employés - une dernière ligne souvent insuffisamment protégée.

La cybersécurité à l’heure de la nouvelle normalité

Avec des millions d’employés travaillant toujours plus à domicile, les organisations sont devenues plus vulnérables. Les cybercriminels en sont conscients et ne perdent pas de temps à exploiter la situation à leur avantage. Avant même que l’OMS ne classe officiellement le nouveau coronavirus comme une pandémie mondiale, l’équipe Threat Intelligence de Proofpoint a découvert un grand nombre de tentatives de hameçonnage liées à COVID-19.

Bâtir dès aujourd’hui la défense de demain

Au moyen d’attaques d’ingénierie sociale, les cybercriminels trompent les employés pour voler des informations de connexion, accéder à des données confidentielles, rediriger le paiement des salaires ou d’autres versements. Connue comme la menace la plus coûteuse pour la cybersécurité, une méthode se distingue et a pris de plus en plus d’importance ces dernières années: le Business Email Compromise (BEC), parfois appelée «l’arnaque au président». Face à de telles attaques, il est évident que la cyberdéfense de nombreuses organisations est certes bonne, mais certainement pas suffisante.

S’en prendre aux utilisateurs via leur courrier électronique est aujourd’hui la méthode d’attaque de prédilection des cybercriminels. La grande majorité des stratégies de défense n’en tiennent cependant pas du tout compte: bien que plus de 90% des menaces actuelles proviennent de l’e-mail, seul 10% des dépenses de cybersécurité y sont consacrées.

Il est urgent d’agir. Il faut adopter une approche globale de la sécurité qui couvre tous les vecteurs et tactiques d’attaque. En plus des bonnes solutions déjà utilisées aujourd’hui, il est essentiel de mettre un terme aux courriels falsifiés et à l’utilisation trompeuse de domaines de confiance, ainsi que d’identifier rapidement les comptes cloud compromis. Seule la combinaison de toutes ces mesures permet une amélioration durable de la cybersécurité de l’organisation. Sans quoi, la sécurité des employés et donc celle des données et de la propriété intellectuelle de l’entreprise est abandonnée.

========================

Aujourd’hui, les groupes cybercriminels sont bien organisés

Une chaîne est aussi robuste que son maillon le plus faible, et en matière de cybersécurité, ce sont souvent les collaborateurs. En entretien avec notre rédaction, Irene Marx, Country Manager Suisse et Autriche chez Proofpoint, explique les vulnérabilités exploitées par les cybercriminels et comment s’en protéger. Interview: Colin Wallace

Comment expliquez-vous le changement de comportement des cybercriminels en matière d’attaques?

Les services de sécurité informatique ont fait un excellent travail. Dans la grande majorité des entreprises, la protection réseau ne souffre pratiquement d’aucune lacune et si une faille technique apparaît, elle est immédiatement corrigée. Mais il y a une vulnérabilité plus importante pour laquelle on ne dispose d’aucun correctif: les collaborateurs. Il est bien plus facile et rentable pour les cybercriminels d’envoyer des courriels frauduleux aux utilisateurs, de voler leurs identifiants et de les tromper en utilisant des techniques d’ingénierie sociale sophistiquées. Les attaques sont aussi beaucoup plus ciblées et professionnelles qu’il y a quelques années. À l’époque, il était relativement facile d’identifier un e-mail de phishing à partir des fautes de frappe et de grammaire ou des expéditeurs douteux. Aujourd’hui, les groupes cybercriminels sont bien organisés - à la manière d’une entreprise légitime - et ils opèrent de manière bien plus ciblée que par le passé.

Dans quelle mesure la vulnérabilité des organisations a-t-elle augmenté depuis le début de la crise du coronavirus?

Deux facteurs entrent en jeu. Premièrement, on a rapidement vu apparaître des techniques d’ingénierie sociale exploitant la pandémie de COVID-19. Au premier semestre, ces techniques de hameçonnage ont prédominé, du moins sur le plan thématique. Au mois de mars déjà, nous avons observé une campagne de phishing appâtant l’utilisateur avec un prétendu guide de l’Organisation mondiale de la santé (OMS) pour se préparer à la COVID-19. Deuxièmement, une grande partie du personnel travaillant depuis son domicile, le périmètre de sécurité classique est devenu inefficace – quand bien même les employés constituent depuis longtemps le véritable périmètre. Nous recommandons donc une approche de la stratégie de sécurité centrée sur les personnes. La tendance au télétravail a assurément accéléré la numérisation. Toutefois, si les outils sont désormais disponibles, un rattrapage est nécessaire en termes de conformité et de sécurité. De ce point de vue, il est vrai que la surface d’attaque a encore augmenté.

Comment les gens peuvent-ils reconnaître les tentatives d’hameçonnage?

Les experts en sécurité doivent sensibiliser les utilisateurs au fait que le courrier électronique offre de nombreuses possibilités de tromperie au niveau technique. Il est relativement facile d’utiliser n’importe quel texte pour désigner le nom de l’expéditeur. Il ne faut donc jamais se fier au nom de l’expéditeur et toujours faire attention à l’adresse de l’expéditeur figurant dans l’en-tête de l’e-mail. Il est également possible de simuler ce champ, mais c’est plus compliqué techniquement. Les pirates apprécient également les «domaines sosies». Très peu d’utilisateurs le remarquent à première vue qu’un «m» dans l’URL a été remplacé par un «rn», mais c’est exactement ce à quoi il faut faire attention.

À quoi les employés doivent-ils prêter une attention particulière en termes de sécurité lorsqu’ils sont en télétravail?

Avant toute chose, je tiens à souligner qu’il existe de très bons moyens techniques pour sécuriser les employés en télétravail. Au lieu de se borner à éviter le mal, on peut par exemple légitimer le bien. Il existe notamment des possibilités techniques pour légitimer l’utilisation de ses propres domaines, de sorte que les courriers électroniques avec des domaines falsifiés ne peuvent plus servir à des attaques. Ainsi, vous protégez non seulement vos propres employés, mais aussi vos partenaires commerciaux. Cela étant dit, il ne faut en aucun cas négliger une formation adéquate. Davantage qu’un pur transfert de connaissances, on parle aujourd’hui d’une sensibilisation globale. En fin de compte, l’objectif devrait être d’apporter un changement durable dans le comportement des utilisateurs et d’en faire une dernière ligne de défense solide pour la sécurité dans l’entreprise.