BLOG

7 (autres) mythes sur la cybersécurité qui nuisent à votre entreprise

Miniature de Dan Woods
Dan Woods
Publié le 23 mai 2022

Il y a deux ans, j’ai écrit sur sept mythes en matière de cybersécurité qui créent des risques commerciaux et poussent des équipes de sécurité bien intentionnées à se concentrer sur les mauvaises choses.

À l’époque, nous étions au début d’une pandémie mondiale et nos vies, tant dans le monde réel que numérique, changeaient rapidement, et d’une certaine manière de manière permanente. Depuis lors, le monde a été choqué économiquement, politiquement et technologiquement. Les progrès technologiques ont pris une ampleur sans précédent, alors qu’ils étaient déjà vertigineux. Les États-nations engagés dans la cyberguerre ont frappé directement le portefeuille de leurs citoyens ordinaires. Certes, après deux ans, ces mythes seraient totalement différents, n’est-ce pas ?

Faux. Comme le dit le dicton « plus ça change », plus les choses changent, plus elles restent les mêmes. Les sept mythes originaux sont toujours très pertinents, mais je propose sept mythes supplémentaires sur la cybersécurité qui découlent de l’immuabilité de la condition humaine.

Mythe n°1 : Seul un petit nombre de comptes de réseaux sociaux sont faux.

De nombreuses entreprises savent qu’elles ont des bots, mais la réalité est que les sociétés de médias sociaux ne savent souvent pas et ne veulent pas savoir combien de bots elles ont réellement.

Il y a quelques années, nous avons réalisé une preuve de concept avec un site de réseautage social qui a montré que 98 % de leurs connexions étaient des robots automatisés. Cette entreprise était très fière de sa croissance rapide et enthousiaste quant à l’avenir, mais il s’est avéré qu’elle n’avait qu’un dixième des abonnés qu’elle pensait avoir.

L’importance de cette connaissance a été révélée au grand jour avec l’acquisition de Twitter. La valeur de l’entreprise repose en grande partie sur le nombre d’utilisateurs. Le défi lancé par Elon Musk à l’entreprise de démontrer que les robots spammeurs et les faux comptes représentent moins de 5 % est une attente légitime pour tout investisseur, annonceur, partenaire commercial potentiel et même ses utilisateurs.

Je prédis que le nombre de bots sur Twitter est plus proche de 50 % ou plus. (Note: Sur la base de recherches ultérieures, j'ai révisé cette estimation dans un article de blog plus récent.) Les entreprises devraient être tenues de valider que les utilisateurs sont humains et de gérer et d’atténuer efficacement le trafic de leurs robots.

En termes simples, le succès des robots malveillants indique une défaillance de sécurité. La prévention des robots est essentielle pour garantir l’intégrité des informations circulant sur ces sites, mais aussi pour disposer de données précises permettant aux entreprises de prendre des décisions commerciales importantes et pour les autres personnes faisant affaire avec elles.

Mythe n°2 : La prévention des robots est un projet de bricolage interne.

Nous avons vu de bonnes entreprises avec de gros budgets et un personnel technique brillant se battre contre des robots pendant des années. Pourtant, lorsque nous analysons le trafic de robots dans ces organisations, nous nous attendons à voir des robots sophistiqués qui ont évolué pour surmonter leurs défenses, ce n’est tout simplement pas le cas.

Les entreprises luttent contre les robots en bloquant les adresses IP, les régions et les systèmes autonomes. C’est ici que nous voyons l’évolution du trafic de robots malveillants : les attaques proviennent désormais de centaines de milliers, voire de millions d’adresses IP. Ces défenses de la couche réseau ne vous mèneront pas bien loin.

Mon mantra est que les signaux côté client sont rois. Vous devez disposer de données biométriques comportementales. Vous devez interroger le navigateur et interroger l'appareil. Tous ces signaux pris dans leur ensemble permettent d’identifier non seulement les robots, mais également les humains malveillants.

Les entreprises pensent également qu’elles peuvent sortir de cette situation en embauchant du personnel, mais il n’existe aucun moyen d’embaucher suffisamment de personnel informatique pour résoudre un problème aussi vaste. La seule façon de lutter réellement contre l’automatisation est de recourir à l’automatisation.

Mythe n°3 : L’attention doit toujours être portée sur une nouvelle menace mystérieuse à l’horizon.

Ceux d’entre nous qui travaillent dans le domaine de la sécurité, dans la presse technologique et dans les relations publiques des entreprises partagent une peur commune face aux acteurs de la menace qui innovent constamment et restent en avance sur nous. Mais à bien des égards, les attaques restent les mêmes, avec seulement de légères modifications en cours de route.

La plupart des robots que nous voyons aujourd’hui présentent le même niveau de sophistication qu’il y a cinq ans. Ils viennent simplement d’endroits différents. Le bourrage d'informations d'identification fonctionne toujours malgré l'authentification à deux facteurs et/ou le CAPTCHA. Les attaquants n’innoveront pas de nouveaux vecteurs d’attaque tant que le vecteur d’origine reste efficace. Il leur suffit de trouver un moyen d’esquiver les nouvelles défenses.

Les entreprises doivent prendre en compte les menaces émergentes et essayer de s’y préparer, mais le secteur doit également continuer à atténuer les menaces de l’année dernière.

Mythe n°4 : Gérer plusieurs clouds est un défi difficile qui nécessite un talent inaccessible.

Le monde du cloud multiple est une réalité dans laquelle vivent aujourd’hui de nombreuses entreprises, voire la plupart. Que ce soit en raison d’une acquisition, d’une intégration avec un partenaire ou simplement de la capture des meilleures fonctionnalités, le multicloud est là pour rester.

Pourtant, lorsque je demande aux entreprises si elles sont présentes dans plusieurs clouds, la réponse que j’entends à plusieurs reprises est « oui, malheureusement ». Les entreprises qui opèrent sur plusieurs clouds le font parfois à contrecœur et ne saisissent pas l’opportunité de tirer le meilleur parti de tous les mondes.

Aujourd’hui, il n’y a aucune raison pour que la gestion et la sécurisation de votre parc informatique sur plusieurs clouds soient une tâche ardue. Les fournisseurs de cloud ont intégré l’interopérabilité dans leurs stratégies, et de nombreux autres fournisseurs ont conçu des solutions conçues pour éliminer le fardeau de l’intégration, abstraire leurs fonctionnalités sur plusieurs clouds et les fournir via une interface simple et unifiée.

Mythe n° 5 : Sécuriser l’architecture et les appareils de l’entreprise est suffisant.

Les équipes de sécurité se concentrent sur l’infrastructure de l’entreprise, ses serveurs, ses ordinateurs, ses postes de travail, tout ce qui se trouve à l’intérieur de l’organisation. Ce sur quoi ils ne se concentrent pas vraiment, ce sont les réseaux domestiques de tous les employés de l’organisation .

Un attaquant pourrait vouloir cibler le PDG pour accéder à des informations sur les fusions et acquisitions ou à d'autres informations stratégiques, mais monétiser cela n'est pas aussi simple que de cibler un commis aux comptes fournisseurs ou un administrateur informatique. À l’heure où le travail à domicile est plus courant que jamais, les réseaux domestiques constituent une faille émergente pour les mauvais acteurs .

Mythe n°6 : Vous pouvez faire confiance à vos employés.

Les menaces internes présentent un avantage considérable, tout simplement parce qu’il est dans la nature humaine de supposer le meilleur de ceux qui nous entourent. Mais le fait est que vous ne pouvez pas embaucher 50 ou 100 employés sans courir le risque bien réel d’introduire une ou deux pommes pourries dans le panier.

Les employés mécontents ne laissent pas seulement de mauvaises critiques sur Glassdoor. Ils peuvent copier des fichiers sensibles sur une clé USB et sortir sans hésiter. On craint même de plus en plus qu’ils puissent laisser des logiciels malveillants dans le système.

J’ai depuis longtemps une théorie selon laquelle les initiés sont probablement également à l’origine de nombreuses attaques de ransomware. Un administrateur informatique peut facilement créer un personnage sur le dark web, lui donner accès au système pour installer des logiciels malveillants, puis émettre une demande de rançon et, à son tour, demander à l’entreprise de payer la rançon. Il est important de noter que je n’ai pas encore vu de preuve de cela, mais l’incitation est certainement là.

Mythe n° 7 : Nos plus grandes cybermenaces proviennent d’acteurs étatiques qui ciblent les infrastructures.

Lorsque le pipeline Colonial a été attaqué il y a un an, provoquant de longues files d’attente dans les stations-service qui ont incommodé les consommateurs de la côte Est, l’incident a fait la une des journaux internationaux.

Pourtant, on parle peu, voire pas du tout, des millions d’Américains qui sont victimes d’escroqueries en ligne chaque année, dont beaucoup sont des personnes âgées vivant de leur épargne-retraite. Il s’agit d’une menace énorme pour notre filet de sécurité sociale qui peut avoir des effets dévastateurs sur les personnes et leurs familles, bien plus que de devoir faire la queue et payer plus cher pour l’essence.

J'ai passé des années dans les forces de l'ordre à enquêter sur la cybercriminalité, le plus souvent avec des résultats frustrants, et ce problème est une de mes passions. Les attaques sur nos infrastructures sont importantes et bien réelles, mais lorsque vous écoutez les histoires de ces victimes, il est clair que la cyberfraude généralisée devrait attirer davantage d’attention qu’elle ne l’est.

Si vous souhaitez en savoir plus sur la gestion et la défense contre les robots, l'identification et l'atténuation des menaces ou la mise en œuvre du principe de confiance zéro au sein de votre organisation, voici quelques suggestions de lectures supplémentaires :

_____

Par Dan Woods, responsable mondial du renseignement chez F5