Mythes courants sur la sensibilisation à la cybersécurité
Alors que nous entrons dans le mois de sensibilisation à la cybersécurité , nous devons nous préparer à la vague de mythes et d’idées fausses sur la sécurité, souvent amplifiés avec de bonnes intentions mais des effets néfastes. Ces sujets peuvent être controversés même parmi les professionnels chevronnés, c'est pourquoi nous adopterons une approche axée sur les données et nous nous adresserons à la population d'entreprises la plus large.
Cette ampleur est souvent source de désaccord. Chaque entreprise doit avoir ses propres discussions sur les risques et les pertes acceptables, les modèles de menaces applicables et les acteurs de menaces probables, ainsi que sur la manière dont son environnement est unique. Le fil conducteur reste cependant les données, l’expertise et l’objectivité, et non les connaissances tribales, l’imitation sans compréhension et les biais de confirmation et de survie.
Nous aborderons les « trois grands » : cliquer sur des liens dans les e-mails, utiliser le Wi-Fi public et le « juice jacking » ou les dangers du chargement USB gratuit des téléphones.
#1 Cliquer sur les liens dans les e-mails
Emporter: Enseignez des indicateurs clairs de phishing et d'escroqueries, mais des conseils irréalistes tels que « ne cliquez pas sur les liens » sont improductifs, voire nuisibles.
La sensibilisation à « l'utilisation sûre » est puissante, elle aide les employés à mieux utiliser la technologie tout en abordant les problèmes courants, mais des années de demande aux gens de changer des comportements fondamentaux comme « ne pas cliquer sur les liens » ne semblent pas fonctionner. Le rapport d'enquête sur les violations de données 2023 de Verizon indique que 74 % de toutes les violations incluent l'élément humain (et pas seulement le courrier électronique) et l' étude 2022 Information Risk Insights du Cyentia Institute classe le phishing parmi les trois principales techniques d'accès initial dans 18 des 20 secteurs (classé 4e dans les services d'information et autres services).
Des accidents se produisent, et même un employé bien intentionné et formé cliquera sur un lien malveillant au fil du temps. C’est l’une des raisons pour lesquelles les programmes de sécurité continuent d’investir dans la sécurité des e-mails et des appareils après avoir passé des années à convaincre les utilisateurs d’utiliser les e-mails différemment. Plus inquiétant encore est le temps consacré à ce sujet dans le cadre de précieuses formations de sensibilisation à la sécurité, causant encore plus de tort en perdant l'attention du public par manque de praticité.
Les entreprises doivent être plus résilientes qu’un employé qui clique sur un lien. Les employés peuvent aider, notamment pour les rapports de vérité sur le terrain (« voir quelque chose, dire quelque chose »), mais l’atténuation de ce risque est la responsabilité des équipes de sécurité.
#2 Utilisation du Wi-Fi public
Emporter: Le Wi-Fi public peut être utilisé en toute sécurité, même dans un contexte professionnel.
La croyance persiste selon laquelle les réseaux Wi-Fi publics sont moins fiables ou plus dangereux que les réseaux domestiques ou professionnels. Pourtant, il n’existe aucun rapport sur l’exploitation massive du Wi-Fi public, y compris entre 2020 et 2022 avec la montée en flèche du travail à distance. La Federal Trade Commission (FTC) a mis en garde contre l'utilisation du Wi-Fi public en 2011, mais en 2023, elle a mis à jour ses directives pour refléter les développements techniques qui rendent son utilisation sûre .
En comparaison, nous avons des vols d’ordinateurs portables et d’appareils, comme des délits d’opportunité dans un espace public, un risque plus probable atténué par des investissements dans le cryptage du stockage, la gestion des appareils mobiles (MDM) et les politiques de verrouillage. Un exemple de sous-population est la liste archivée des violations signalées d'informations médicales protégées non sécurisées affectant 500 personnes ou plus du Bureau des droits civils (OCR) du ministère de la Santé et des Services sociaux, montrant plus de 4,6 000 incidents de vol ou de perte d'un ordinateur portable ou d'un autre appareil électronique portable depuis 2009 affectant plus de 345 millions de personnes.
Pendant ce temps, le trafic du réseau local poursuit sa tendance à la sécurité :
- Le rapport de transparence de Google sur le « cryptage HTTP sur le Web » montre un trafic crypté à plus de 90 % sur Google et une adoption généralisée du trafic crypté par les systèmes d'exploitation comme Windows et Mac.
- Les statistiques de Let's Encrypt sur le pourcentage de pages Web chargées par Firefox à l'aide de HTTPS à partir de la télémétrie Firefox de Mozilla montrent qu'environ 80 % du trafic des utilisateurs mondiaux est crypté et qu'environ 90 % du trafic des utilisateurs des États-Unis et du Japon est crypté.
- Le rapport de transparence « Cryptage des e-mails en transit » de Google montre que plus de 90 % des e-mails vers et depuis Google (Gmail) sont cryptés.
- La fonctionnalité de sécurité DNS présente encore des défis d’adoption qui sont quelque peu atténués par la prise en charge du cryptage puissant pour le trafic des applications et l’omniprésence du VPN et de ses équivalents pour le trafic géré par l’entreprise. L'adoption de DNSSEC est faible (~ 5 % des domaines .com sécurisés selon le tableau de bord DNSSEC de Verisign ), mais a décollé en 2020 et a connu une croissance soutenue. De même, DNS sur HTTPS (DoH) est pris en charge par les systèmes d’exploitation et les navigateurs.
À moins que l’appareil ne dispose de services réseau, ce qui devrait être une exception extrême pour les appareils des utilisateurs, le Wi-Fi public présente peu ou pas de risque unique par rapport à tout autre réseau Wi-Fi. Pour ceux qui adoptent une approche Zero Trust, le Wi-Fi public est un excellent exemple de ce qu’il faut faire pour ne jamais faire confiance au réseau, qu’il s’agisse de réseaux publics ou privés.
#3 « Juice jacking » ou les dangers de la recharge USB gratuite pour les téléphones
Emporter: Cette attaque a été prouvée sur plusieurs modèles de téléphones, mais il n'existe aucune donnée confirmée suggérant son utilisation, et l'atténuation des risques pour l'utilisateur est peu coûteuse, il est donc généralement prudent d'utiliser un chargeur USB gratuit en cas de besoin.
Bien qu'il y ait des moments où vous pourriez vouloir éviter les stations de charge USB, par exemple lorsque vous laissez votre téléphone sans surveillance pour qu'il soit volé ou lors d'une conférence sur la sécurité où les « démonstrations » de ces attaques sont plus probables, il n'existe aucune donnée confirmée soutenant l'amplification que reçoit le « juice jacking ».
- La Commission fédérale des communications (FCC) indique qu'elle n'a connaissance d'aucun cas confirmé de cette attaque .
- Snopes a vérifié les avertissements de « juice jacking » émis par le bureau du procureur du comté de Los Angeles en 2019 et par la FCC et le Federal Bureau of Investigation (FBI) en 2023 et n'a trouvé aucune preuve d'utilisation généralisée. Ceci a été référencé par KrebsOnSecurity lors de son rapport sur les avertissements de 2023 de la FCC et du FBI.
Pour ceux qui sont préoccupés par ce risque, l’atténuation est peu coûteuse, tant pour l’employeur que pour l’employé :
- Utilisez des adaptateurs de charge de prise électrique vers USB et de petites batteries mobiles qui sont devenues des bagages à main standard, en particulier pour les voyageurs d'affaires.
- Sélectionnez « Charger uniquement » si le téléphone vous demande si vous souhaitez « partager des données » ou « faire confiance à cet ordinateur » ou similaire lors du branchement en USB.
- Si le risque pour un utilisateur est jugé significativement plus élevé, envisagez d’investir dans des chargeurs et des câbles spéciaux qui bloquent ou ne transportent pas de données.
Le plus grand risque pour les stations de recharge USB gratuites est que l'appareil soit laissé sans surveillance et que quelqu'un s'enfuie avec. Encore une fois, les investissements des entreprises dans la gestion des appareils et l’application des règles d’hygiène constituent généralement des mesures d’atténuation raisonnables.
Pourquoi la sensibilisation accrue à ces sujets est-elle mauvaise ? Une plus grande sensibilisation n’est-elle pas toujours une bonne chose ?
La sécurité reçoit généralement peu ou pas d’attention positive de la part des collègues et la formation obligatoire de l’entreprise ne suscite pas d’enthousiasme. Ces moments précieux et ces premières impressions font partie des ressources les plus coûteuses dont disposent les équipes de sécurité.
Dans le meilleur des cas, tout temps passé sur du matériel qui n’est pas essentiel, pas pertinent, inexact ou irréaliste est une perte de temps. Dans le pire des cas, les équipes de sécurité perdent leur public et ne recevront pas d’attention la prochaine fois, quelle que soit l’importance de leur message.
La question macroéconomique est de savoir pourquoi des mythes et des idées fausses comme ceux-ci persistent. Une partie du problème est humaine, comme mentionné au début de l’article.
L’autre aspect est structurel, lorsque des idées fausses comme celles-ci sont inscrites dans les cadres de conformité et les accords commerciaux. De telles prescriptions vieillissent rarement bien, surtout lorsqu’elles sont rédigées avec des spécificités qui ne sont pas mises à jour en fonction de la technologie. Cela laisse les programmes de sécurité mettre en œuvre des exigences obsolètes ou mythiques qui sont reprises par leurs équipes et transmises à leur prochain employeur. Ces connaissances infectées sont pires qu’un logiciel malveillant.