Archives par mot-clé : entreprise

Cloud, Entreprise

Législation européenne sur le cloud : Un changement favorable aux fournisseurs américains

Dans un revirement surprenant, il semble que l’Europe n’exige finalement pas que les fournisseurs de cloud soient exemptés des lois non européennes. Cette évolution est une bonne nouvelle pour les entreprises américaines cherchant à offrir plus facilement leurs services aux gouvernements.

Bien que la loi n’ait pas encore été finalisée, la dernière version, selon Reuters, ne précise plus que les règles de cybersécurité pour les contrats cloud doivent éviter les lois non européennes.

Cela marque un changement par rapport à une version précédente, qui exigeait que les entreprises américaines souhaitant fournir des services cloud à l’Europe ou à ses États membres établissent une coentreprise avec une entité européenne. Dans le cadre de cette collaboration, les données des clients européens devaient être stockées et traitées au sein de l’Union.

Ces principes ont été vivement critiqués, non seulement par les fournisseurs de cloud, mais aussi par les banques, les chambres de compensation, les assureurs et les start-ups, qui préféraient des exigences techniques à des règles politiques et de souveraineté générales.

Ce changement représente une évolution positive pour les fournisseurs de cloud américains. Précédemment soumises à la législation américaine, ces entreprises pouvaient, dans des cas exceptionnels, être contraintes de coopérer avec les enquêtes américaines. De plus, elles n’étaient peut-être pas autorisées à divulguer de telles informations à leurs clients européens.

Selon Reuters, la version adaptée est actuellement examinée par les états membres. La version finale devrait suivre ultérieurement.

Cybersécurité, Entreprise

L’employé, le meilleur ami des pirates

21 % des cyber incidents survenus dans les entreprises en France au cours des deux dernières années auraient été provoqués par des employés.

Selon une récente étude, les violations des politiques de sécurité de l’information d’une organisation par ses employés sont aussi dangereuses que les attaques de cyberpirates externes à l’organisation. En France, au cours des deux dernières années, 21 % des cyber incidents survenus dans les entreprises ont été provoqués par des employés qui ont intentionnellement violé les protocoles de sécurité. Ce chiffre est presque égal aux dommages causés par les violations de la cybersécurité, dont 22 % sont dues à des piratages informatiques.

La perception selon laquelle l’erreur humaine est l’une des principales causes des cyberincidents dans les entreprises est bien établie. Mais les choses ne sont pas aussi tranchées. Le niveau de cybersécurité d’une organisation dépend de nombreux facteurs dont il n’est pas si simple de rendre compte. L’étude visait à recueillir des informations sur les différents groupes de personnes influençant la cybersécurité, en tenant compte à la fois du personnel interne et des acteurs externes.

L’étude a révélé que, outre les erreurs involontaires, les violations de la politique de sécurité de l’information par les employés constituaient l’un des plus gros problèmes pour les entreprises. Les personnes interrogées dans des organisations du monde entier ont déclaré que des actions intentionnelles visant à enfreindre les règles de cybersécurité avaient été menées par des employés des services informatiques et non informatiques au cours des deux dernières années.

En France

En France, ces violations de politiques telles que celles commises par les responsables de la sécurité informatique ont été à l’origine de 8 % des cyberincidents survenus au cours des deux dernières années. D’autres professionnels de l’informatique et leurs collègues non informaticiens ont provoqué respectivement 6 % et 7 % des cyberincidents en enfreignant les protocoles de sécurité.

En ce qui concerne le comportement individuel des employés, le problème le plus courant réside dans le fait qu’ils font délibérément ce qui leur est interdit et, inversement, qu’ils ne font pas ce qui est exigé. En France, les personnes interrogées affirment que près d’un quart (21 %) des incidents de cybersécurité survenus au cours des deux dernières années sont dus à l’utilisation de mots de passe faibles ou au fait que ceux-ci n’ont pas été modifiés en temps voulu. La seconde cause (14 %) des atteintes à la cybersécurité est la consultation par le personnel de sites web non sécurisés.

Par ailleurs, 14 % des entreprises françaises interrogées déclarent avoir été confrontées à des incidents de cybersécurité dus au fait que les employés n’ont pas mis à jour les logiciels ou les applications utilisés en temps et en heure.

L’utilisation de services ou de dispositifs non sollicités est un autre vecteur important de violation intentionnelle de la politique de sécurité de l’information. En France, 11 % des entreprises ont subi des cyberincidents parce que leurs employés ont utilisé des systèmes non autorisés pour partager des données. Les employés de 21 % des entreprises ont intentionnellement accédé à des données par le biais d’appareils non autorisés, tandis que 11 % du personnel ont envoyé des données à des adresses électroniques personnelles. Une autre action signalée est le déploiement de l’informatique fantôme (Shadow IT) sur les appareils professionnels – 10 % des personnes interrogées indiquent que cela a été à l’origine de leurs cyberincidents.

Fait alarmant, les personnes interrogées en France admettent que, outre le comportement irresponsable déjà mentionné, 18 % des actions malveillantes ont été commises par des employés à des fins d’enrichissement personnel. Autre constatation intéressante, les violations intentionnelles de la politique de sécurité de l’information par les employés constituent un problème relativement important dans les services financiers, comme l’indiquent 34 % des personnes interrogées dans ce secteur.

« Outre les menaces externes à la cybersécurité, de nombreux facteurs internes peuvent conduire à des incidents dans n’importe quelle organisation. Comme le montrent les statistiques, les employés de n’importe quel service, qu’il s’agisse de non-informaticiens ou de professionnels de la sécurité informatique, peuvent avoir une influence négative sur la cybersécurité, que ce soit intentionnellement ou non. C’est pourquoi il est important de prendre en compte les méthodes de prévention des violations de la politique de sécurité informatique lors de la mise en place des dispositifs et des mesures de sécurité, c’est-à-dire de mettre en œuvre une approche intégrée de la cybersécurité. D’après nos recherches à l’échelle mondiale« , commente Alexey Vovk, responsable de la sécurité de l’information chez l’éditeur Russe Kaspersky, auteur de l’étude.

Cybersécurité, Entreprise

L’indice mondial de risque cybernétique a connu une amélioration

Pas de quoi faire la fête, mais il semble que les entreprises se préparent mieux aux cyber attaques.

D’après le Cyber Risk Index (CRI) semestriel de Trend Micro, une entreprise de cybersécurité, les organisations sont mieux préparées aux attaques et le niveau de risque cybernétique a baissé de « élevé » à « modéré ». Toutefois, malgré cette amélioration, les organisations continuent de craindre les cyberattaques, 78 % d’entre elles craignant de subir une attaque réussie cette année encore.

Selon Jon Clay, le VP of Threat Intelligence chez Trend Micro, l’indice mondial de risque cybernétique a connu une amélioration de +0,01, ce qui est une première depuis le lancement de l’enquête il y a trois ans, indiquant que les organisations prennent des mesures pour améliorer leur préparation contre les cybermenaces. Cependant, Clay souligne que des efforts supplémentaires sont nécessaires, notamment en ce qui concerne la formation du personnel, qui représente un risque majeur pour les organisations.

Bien que le niveau de menace ait diminué en Europe et dans la zone APAC, il en est autrement en Amérique du Nord et du Sud. En Europe, le score du CRI s’est amélioré de +0,12 au S2 2022, mais malgré cette baisse de la menace, la majorité des organisations européennes restent pessimistes quant à leurs prévisions. En effet, 78 % des participants à l’enquête estiment qu’il est « probable », voire « très probable », qu’ils subissent une cyberattaque réussie cette année. Les cinq principales menaces redoutées par les entreprises sont le détournement de clics, le vol de données de connexion, le rançongiciel, les botnets et la crypto-extraction.

Le personnel est identifié comme le principal risque pour l’infrastructure des entreprises, apparaissant deux fois dans le top cinq des risques. Cette situation n’est pas surprenante selon Trend Micro, car le travail hybride est de plus en plus courant. Les autres risques identifiés par les entreprises sont l’informatique dans le nuage et les fournisseurs, les employés mobiles, les appareils et applications IoT, ainsi que les ordinateurs de bureau et portables.

Cybersécurité, Entreprise

Augmentation des fausses applications Cloud

Un rapport sur les menaces révèle les nouvelles sources principales de renvois vers de fausses pages de connexion, ainsi que l’augmentation des fausses applications cloud tierces exploitées pour tromper les utilisateurs.

Une nouvelle étude explique comment la prédominance des applications cloud a changé la façon dont les cybercriminels livrent les attaques de phishing pour voler des données.

Le rapport « Netskope Cloud and Threat Report: Phishing » détaille les tendances relatives aux méthodes de diffusion du phishing, telles que les fausses pages de connexion et applications cloud tierces conçues pour imiter les versions légitimes. Il analyse également les cibles de ce type attaques ainsi que l’hébergement des contenus frauduleux.

Bien que l’email reste le principal moyen d’acheminer des liens de phishing vers de fausses pages de connexion dans le but de voler des noms d’utilisateur, des mots de passe ou encore des codes d’authentification multifacteur, le rapport révèle que les utilisateurs cliquent plus fréquemment sur des liens de phishing provenant d’autres canaux, notamment des sites internet et des blogs, des médias sociaux et des résultats de moteurs de recherche. Le rapport décrit également l’augmentation du nombre de fausses applications cloud tierces conçues pour inciter les utilisateurs à autoriser l’accès à leurs données et à leurs ressources dans le cloud.

Les nombreuses origines du phishing

Traditionnellement considérée comme la principale menace de phishing, seules 11 % des tentatives d’attaques proviennent de services de messagerie web, tels que Gmail, Microsoft Live et Yahoo. Les sites internet et les blogs, en particulier ceux hébergés sur des services gratuits, sont les sources les plus courantes en matière de phishing, avec 26 %. Le rapport a identifié deux techniques principales : l’utilisation de liens malveillants par le biais de spams sur des sites web et des blogs légitimes, et l’exploitation de sites internet et de blogs créés spécifiquement pour promouvoir le contenu frauduleux.

Les renvois de moteurs de recherche vers des pages de phishing sont également devenus courants, car les cybercriminels exploitent les vides de données. Ainsi, ils créent des pages centrées sur des termes de recherche peu courants et sur lesquelles ils peuvent facilement s’imposer dans les premiers résultats pour ces termes. Parmi les exemples identifiés par le Threat Labs de Netskope dans l’exploitation de cette technique, figurent le mode d’emploi de fonctionnalités spécifiques de logiciels connus, les réponses à des questionnaires pour des cours en ligne ou encore les manuels d’utilisation de divers produits pour les entreprises et les particuliers.

« Les employés des entreprises ont été formés à repérer les messages de phishing dans les emails et les SMS. Les cybercriminels ont donc adapté leurs méthodes et incitent les utilisateurs à cliquer sur des liens de phishing dans des endroits moins attendus,  explique Ray Canzanese, de chez Netskope. Même si nous ne pensons pas forcément à la possibilité d’une attaque de phishing en surfant sur internet ou sur notre moteur de recherche préféré, nous devons tous faire preuve du même niveau de vigilance et de scepticisme qu’avec les emails entrants. Cela suppose de ne jamais saisir d’informations d’identification ou de données sensibles dans une page après avoir cliqué sur un lien. Il faut toujours se rendre directement sur les pages de connexion.« 

La montée en puissance des fausses applications cloud tierces

Le rapport révèle une autre méthode de phishing importante, qui consiste à inciter les utilisateurs à autoriser l’accès à leurs données et leurs ressources dans le cloud par le biais de fausses applications cloud tierces. Cette tendance est particulièrement inquiétante car l’accès aux applications tierces est omniprésent et constitue une surface d’attaque considérable. En moyenne, les utilisateurs finaux des entreprises ont accordé à plus de 440 applications tierces l’accès à leurs données et applications Google, avec une entreprise ayant jusqu’à 12 300 plugins différents accédant aux données, soit une moyenne de 16 plugins par utilisateur. Tout aussi alarmant, plus de 44 % de toutes les applications tierces accédant à Google Drive ont accès soit à des données sensibles, soit à toutes les données de Google Drive d’un utilisateur, ce qui incite les cybercriminels à créer de fausses applications tierces pour le cloud.

La nouvelle génération d’attaques de phishing est à nos portes. Avec la prédominance des applications cloud et l’évolution de la nature de leur utilisation, des extensions Chrome ou d’applications, les utilisateurs sont invités à autoriser l’accès dans ce qui est devenu un vecteur d’attaque négligé.

Cette nouvelle tendance des fausses applications tierces est un phénomène que nous surveillons et suivons de près pour nos clients. Nous nous attendons à ce que ces types d’attaques augmentent au fil du temps. Les entreprises doivent donc s’assurer que les nouvelles voies exploitées, telles que les autorisations OAuth, sont limitées ou verrouillées. Les employés doivent également être conscients de ces attaques et examiner minutieusement les demandes d’autorisation de la même manière qu’ils examinent les emails et les SMS.

Les employés continuent à cliquer et à être victimes de liens malveillants

Il est largement admis qu’il suffit d’un seul clic pour compromettre gravement une organisation. Alors que la sensibilisation et la formation des entreprises au phishing ne cessent de gagner en importance, le rapport révèle qu’en moyenne 8 utilisateurs sur 1 000 dans l’entreprise ont cliqué sur un lien de phishing ou ont tenté d’accéder d’une autre manière à un contenu de phishing.

Les utilisateurs sont attirés par de faux sites internet conçus pour imiter les pages de connexion légitimes. Les cybercriminels hébergent principalement ces sites internet sur des serveurs de contenu (22 %), suivis par des domaines nouvellement enregistrés (17 %). Une fois que les utilisateurs ont entré des informations personnelles sur un faux site, ou lui ont accordé l’accès à leurs données, les cybercriminels sont en mesure de collecter les noms d’utilisateur, les mots de passe et les codes d’authentification multifacteur.

La situation géographique joue un rôle dans le taux d’accès au phishing. L’Afrique et le Moyen-Orient présentent le pourcentage le plus élevé d’utilisateurs accédant à des contenus de phishing; en Afrique ce taux est supérieur de plus de 33 % à la moyenne, et il est plus de deux fois supérieur à la moyenne au Moyen-Orient. Les cybercriminels utilisent fréquemment la peur, l’incertitude et le doute (FUD) pour mettre au point des appâts de phishing et tentent également de tirer parti des grands sujets d’actualité. Au Moyen-Orient en particulier, ils semblent réussir à concevoir des leurres qui tirent parti des problèmes politiques, sociaux et économiques de la région.

Cybersécurité, Entreprise

Vos anciens employés sont-ils partis avec vos données ?

Seuls 40% des dirigeants de PME en France sont certains que leurs anciens employés ne peuvent pas accéder aux actifs numériques de leur entreprise.

Une récente enquête sur le comportement des petites et moyennes entreprises en temps de crise montre que les réductions de personnel peuvent entraîner des risques supplémentaires en matière de cybersécurité. Preuve en est, seuls 40% des dirigeants d’entreprises françaises sont sûrs que leurs anciens employés n’ont pas accès aux données stockées dans le cloud de l’entreprise, et seulement 39% d’entre eux sont certains qu’ils ne peuvent plus utiliser les comptes de l’entreprise. En comparaison à la moyenne globale, s’élevant respectivement à 51% et 53% (des chiffres toujours insuffisants), la France fait figure de mauvaise élève.

Si les études ont montré que les entreprises se sont attachées à fidéliser leurs équipes au maximum pendant la pandémie, il n’en reste pas moins que nombre d’entre elles risquent encore de devoir recourir à des suppressions de postes afin de réduire les coûts en temps de crise. Kaspersky a interrogé plus de 1 300 dirigeants de petites et moyennes entreprises pour connaître les stratégies privilégiées pour maintenir les activités à flot, et quels risques cyber ces mesures pourraient entraîner.

Parmi les personnes interrogées, plus de la moitié des répondants et 6 Français sur 10 ont dit être incapable d’affirmer avec certitude que leurs ex-employés n’ont pas accès aux actifs numériques de l’entreprise. Sur la base de ces données, il apparaît que les réductions de personnel peuvent faire courir des risques supplémentaires à la sécurité des données de l’entreprise et à ses moyens d’existence. L’utilisation abusive de ces données par d’anciens employés dans le cadre d’un nouvel emploi ou pour se faire de l’argent est une préoccupation majeure pour les dirigeants d’entreprises. Les résultats de l’enquête suggèrent que la plupart d’entre eux s’inquiètent de voir d’anciens collaborateurs partager les données internes de l’entreprise avec de nouveaux employeurs (63% à l’international, 66% en France), ou qu’ils fassent usage de données corporate comme les bases de données de leurs prospects existants pour se lancer à leur compte (60%).

Dans l’ensemble, 31% des responsables interrogés considèrent les réductions d’effectifs comme une mesure à considérer pour réduire les coûts en cas de crise. Les chefs d’entreprise français sont moins disposés à envisager des réductions d’effectifs que la moyenne globale, avec seulement 20% des répondants estimant qu’il s’agit là d’une possibilité.

Les mesures de réduction des coûts les plus pratiquées en France incluent la diminution des dépenses marketing (41%) et des dépenses liées aux véhicules (34%), suivie par la diminution des coûts attribués à la formation du personnel (24 %). Quant à la cybersécurité, 14% des dirigeants de PME françaises sont susceptibles de réduire les sommes allouées à ce poste de dépense, c’est plus que la moyenne, et très au-dessus, par exemple, des 5% obtenus au Royaume-Uni !

« Tout accès non autorisé peut devenir un réel problème pour toutes les entreprises, car cela peut affecter la compétitivité d’une société lorsque les données de celles-ci sont transférées à un concurrent, vendues ou supprimées » explique Bertrand Trastour, directeur général de Kaspersky France. « Ce problème se complique lorsque les employés utilisent des services non professionnels (« shadow IT ») qui ne sont pas directement déployés ou contrôlés par les départements informatiques de l’entreprise. Si l’utilisation de ces services n’est pas maîtrisée après le licenciement d’un employé, il est fort probable que l’ex-employé ait toujours accès aux informations partagées via ces applications.« 

Sécurité de votre entreprise

Gardez le contrôle du nombre de personnes ayant accès aux données critiques de l’entreprise, en réduisant la quantité de données accessibles à l’ensemble des employés. Il est plus probable que les incidents adviennent dans des entreprises où trop d’employés manipulent des informations confidentielles qui peuvent être vendues ou utilisées d’une manière ou d’une autre.

Mettez en place une politique d’accès aux actifs de l’entreprise, notamment aux boîtes mail, aux dossiers partagés et aux documents en ligne. Tenez-la à jour et pensez à supprimer l’accès si un employé quitte l’entreprise. Utilisez un logiciel de sécurité d’accès au cloud pour gérer et surveiller l’activité des employés dans les services de cloud de votre entreprise, et vous aider à appliquer les politiques de sécurité.

Effectuez des sauvegardes régulières des données essentielles de l’entreprise pour garantir leur sécurité en cas d’urgence.

Effectuez une veille régulière des données essentielles de l’entreprise ayant pu fuite, comme la veille proposée par le service veille ZATAZ.

Donnez des directives claires quant à l’utilisation des services et des ressources externes. Les employés doivent savoir quels outils ils doivent ou ne doivent pas utiliser et pourquoi. Lors du passage à un nouveau logiciel de travail, il faut mettre en place une procédure pour que les services informatiques et les autres responsables puissent le valider en amont.

Encouragez les employés à avoir des mots de passe forts pour tous les services numériques qu’ils utilisent, et à en changer régulièrement.

Rappelez régulièrement au personnel l’importance de respecter les règles de base en matière de cybersécurité (gestion sécurisée des comptes, des mots de passe, des e-mails et bonnes pratiques en ligne). Un programme de formation complet permettra à vos travailleurs non seulement d’acquérir les connaissances nécessaires mais aussi de les mettre en pratique.

Cybersécurité

Quelles sont les cybermenaces les plus courantes pour les environnements industriels ?

Face à la prolifération des cybermenaces, aucune entreprise n’est à l’abri, indépendamment de sa taille et de son domaine d’activité. Si les secteurs numériques, tels que le commerce électronique, ont longtemps constitué des cibles privilégiées, le monde de l’industrie est à son tour dans le collimateur des criminels.

L’une des principales raisons réside dans l’obsolescence ou la faiblesse de processus de cybersécurité qui n’ont été pas renforcés, voire mis à jour depuis longtemps. Il n’est pas rare que les systèmes en place continuent d’utiliser les mêmes protocoles de sécurité que lors de leur lancement, de sorte que les attaques peuvent rapidement et facilement interférer avec les opérations. On croit à tort que les cyberattaques sont de plus en plus sophistiquées ou complexes ; en réalité, les criminels s’appuient sur des tactiques bien établies et recherchent les opportunités les plus évidentes et les plus rapidement accessibles.

Pour renforcer leur posture de sécurité, les dirigeants doivent donner la priorité à leurs systèmes de cybersécurité et, avant toute chose, savoir où se trouvent les menaces les plus courantes au sein de leur entreprise.

Protéger les processus stratégiques

En matière de cybersécurité, les criminels sont plus véloces que les entreprises. Les criminels ne se contentent généralement pas de provoquer des perturbations temporaires ; ils attaquent là où ils savent que les dommages seront les plus importants, à savoir les processus essentiels au bon fonctionnement de l’entreprise.

Lorsqu’ils sont parvenus à toucher ces processus stratégiques, les hackers peuvent déclencher une réaction en chaîne à de nombreux autres niveaux de l’entreprise, notamment logistique, amplifiant ainsi la portée de leur attaque.

Prenons l’exemple de l’industrie des hydrocarbures : une attaque conçue pour mettre hors service un serveur qui contrôle des pompes à pétrole peut entraîner un arrêt immédiat de la production. En ciblant le cœur de son modèle industriel, cette agression paralyse littéralement le bon fonctionnement de l’entreprise.

Protéger les employés

Dans le monde moderne où nombre d’entreprises fonctionnent selon une approche fragmentée, les cybercriminels disposent de multiples points d’entrée pour lancer leurs offensives. Généralement peu sophistiquées ni même ciblées, ces attaques ont plutôt tendance à « ratisser » aussi largement que possible avant de se focaliser sur un individu ou un objectif spécifique. Le plus souvent, une erreur commise de façon involontaire par un employé ou un équipement non protégé constitue la meilleure porte d’entrée.

Des techniques éprouvées, telles que l’hameçonnage, sont encore abondamment utilisées, car il suffit aux cybercriminels de déterminer le « maillon faible » et de l’attaquer rapidement. Dans de nombreux cas, il s’agira d’un employé qui clique sans réfléchir sur un lien dans un courriel, ou qui utilise à domicile un ordinateur non sécurisé. Ces tentatives se révèlent peu risquées et peu coûteuses pour les attaquants, lesquels peuvent lancer des attaques d’ampleur quasi illimitée dans le monde entier.

En deux mots, pour protéger une entreprise, il est essentiel de bien protéger ses employés. L’une des bonnes pratiques consiste à encourager les collaborateurs à observer des mesures de sécurité élémentaires et à les former régulièrement à l’hygiène numérique. En dépit de leur simplicité évidente, ces initiatives de façon significative contribuent à limiter les risques de cyberattaque.

Protéger le service informatique

Plus une entreprise s’en remet à la technologie, plus la surface d’attaque à protéger sera étendue. L’intégration de nouveaux logiciels ou de nouveaux équipements au sein des processus stratégiques doit s’accompagner d’une réflexion en amont afin de protéger au mieux la technologie. Les entreprises qui adoptent de nouveaux systèmes sans prendre la peine de les sécuriser correctement offrent des opportunités en or aux cybercriminels.

En fait, compte tenu de leur dépendance croissante vis-à-vis des processus numériques, les entreprises doivent traiter les risques numériques de la même façon que les risques juridiques. Toutes les entreprises mesurent les menaces juridiques auxquelles elles sont exposées, et c’est pour éviter tout problème de cet ordre qu’elles se reposent sur des experts en droit. Un état d’esprit similaire doit animer l’approche de la cybersécurité.

Aucune entreprise ne signera un partenariat, un accord de fusion, ni même un contrat standard sans l’avoir soumis à un avocat, et c’est exactement ce qui doit se passer avec les nouvelles technologies. Pour limiter les risques de cyberattaque, les entreprises doivent prendre contact avec des experts et des professionnels de la cybersécurité avant d’adopter une nouvelle technologie, comme ils solliciteraient leurs avocats avant de parapher un nouveau contrat. Cette approche doit s’inscrire au cœur de la culture des entreprises afin de renforcer leur hygiène numérique.

Compliquer la tâche des pirates

Une cybersécurité efficace repose sur un concept a priori simple : faire en sorte qu’il soit incroyablement difficile et coûteux pour les cybercriminels de tenter une attaque.

Le simple fait d’intégrer d’emblée une approche renforcée de la sécurité dans les systèmes informatiques a un effet dissuasif important.

Afficher une certaine forme de visibilité et des capacités de détection, tout en accélérant la réactivité aux menaces constitue à cet égard un bon point de départ. Il convient dans cette optique de déployer de façon précoce des solutions de cybersécurité efficaces, avant de les améliorer de manière dynamique et continue. Un plan d’action élémentaire mis en place rapidement et actualisé régulièrement exercera un effet nettement plus dissuasif sur les agresseurs potentiels que vous l’imaginez à première vue. (Par Eduardo Di Monte, Cybersecurity Portfolio Strategic Growth Leader Rockwell Automation)

Cybersécurité, Entreprise

1 employé sur 10 respecte la cybersécurité de son entreprise !

Plus d’un tiers des travailleurs à distance ignore ou contourne les règles de cybersécurité de leur organisation. Seuls 16 % des travailleurs français à distance appliqueraient strictement les politiques de sécurité de leur entreprise.

Une étude baptisée « Au-delà des frontières : l’avenir de la cybersécurité dans le nouveau monde du travail » met en évidence les risques introduits par les employés français lorsqu’ils travaillent à distance. Lorsque Forrester Consulting, qui a réalisé l’étude pour Tenable, a demandé aux entreprises si elles étaient convaincus du respect des mesures cybersécurité de leurs employés, 39 % des responsables de la sécurité et des dirigeants d’entreprise ont répondu qu’ils étaient très ou complètement convaincus. Cependant, 34 % des employées assurent ignorer ou contourner ces mêmes mesures prises par l’entreprise.

Les entretiens réalisés avec les employés à distance ont montré une image différente de ce à quoi s’attendaient les dirigeants et les responsables IT. Lorsqu’on leur a demandé ce qui était important pour eux, 82 % des employés français travaillant à distance ont répondu que la protection des données des clients était assez ou très importante. Cependant, 64 % d’entre eux ont déclaré utiliser un appareil personnel pour accéder à ces informations. La situation est similaire en ce qui concerne la protection de la propriété intellectuelle de l’entreprise : 66 % des employés distants ont déclaré qu’elle était importante, tandis que 30 % utilisent un appareil personnel pour y accéder. En fait, seuls 61 % des employés à distance déclarent suivre systématiquement les mesures de protection des données, de la propriété intellectuelle et des systèmes de leur entreprise lorsqu’ils travaillent à domicile.

En creusant un peu plus, l’étude montre que seuls 18 % des employés à distance respectaient strictement les mandats de leur entreprise en matière de restriction d’accès aux données et aux systèmes via des appareils personnels. Cette situation est préoccupante si l’on considère que seulement 32 % des responsables de la sécurité estiment avoir une visibilité élevée ou complète sur les appareils appartenant aux employés. Le plus inquiétant est peut-être que 34 % des employés ont déclaré qu’ils ignoreraient ou contourneraient les politiques de cybersécurité de leur organisation, tandis que 36 % ont déclaré que l’un des défis auxquels ils étaient confrontés était le manque de clarté des politiques et pratiques de sécurité de leur organisation. Des données internes, professionnelles que les pirates adorent ! Le Service Veille de ZATAZ a d’ailleurs reçu, il y a quelques jours, un cadeau d’une société (qui en a profité pour souscrire un abonnement, merci 🙂 à la suite d’une découverte du SVZ : des données internes qui servaient à la préparation d’une fraude au président. Les factures et les informations incluent dans l’ensemble des documents étaient exploités, au téléphone, par un/des escroc(s).

« Les employés veulent avoir la possibilité de travailler de n’importe où. Le défi est de savoir comment ils peuvent le faire en toute sécurité, explique David Cummins, vice-président de la région EMEA chez Tenable. Cette étude confirme ce que nous soupçonnons déjà : les employés distants se connectent à des informations sensibles de l’entreprise à partir d’appareils personnels sur des réseaux domestiques non sécurisés. Les équipes de sécurité doivent accepter cette réalité et changer leur perception du risque. Elles ont besoin d’une visibilité sur l’ensemble du paysage des menaces et disposer de l’intelligence nécessaire pour prévoir les cybermenaces qui auront le plus grand impact sur l’entreprise. En tandem, elles doivent également mettre en œuvre des profils de risque adaptatifs pour les utilisateurs afin de surveiller et de vérifier en permanence chaque tentative d’accès aux données de l’entreprise, avec la possibilité de refuser les demandes qui ne répondent pas aux règles établies. »

Cybersécurité, Entreprise

La sécurité des entreprises, un point essentiel à renforcer

En ce qui concerne la mise en place d’un programme mature de sensibilisation à la sécurité, l’argent n’est pas toujours le plus gros défi. Trop souvent, le véritable problème est le temps, car il n’y en a jamais assez. Cela a sans aucun doute été le cas pour beaucoup d’entre nous au cours de l’année écoulée, et c’est particulièrement vrai pour les défenseurs sur le front qui tentent de mettre en place des programmes de sensibilisation à la sécurité interne dans les entreprises du monde entier.

La sensibilisation à la sécurité est censée être une tâche essentielle, qui fait partie de leurs fonctions. Pourtant, selon des études récentes, de moins en moins de ces employés sont en mesure de consacrer le temps nécessaire au lancement et au fonctionnement efficace de ces programmes.

En effet, les conclusions du 2021 SANS Security Awareness Report (rapport 2021 du SANS sur la sensibilisation à la sécurité) doivent résonner comme un signal d’alarme pour toute organisation qui souhaite s’améliorer sur l’aspect humain du cyber-risque.

Les bénéfices d’une sécurité mieux appliquée

À partir d’une analyse détaillée des comportements de plus de 1 500 professionnels de la sécurité issus de 91 pays différents, le rapport du SANS Institute révèle que plus de 75 % des professionnels de la sécurité déclarent consacrer moins de la moitié de leur temps à la sensibilisation à la sécurité.

Accaparés par une multitude de demandes contradictoires, ces professionnels confirment qu’il n’y a littéralement pas assez d’heures dans la journée pour assumer leurs responsabilités en matière de sensibilisation à la sécurité. Par conséquent, la sensibilisation à la sécurité représente au mieux un travail à temps partiel de leur part.

Cela nous amène à la deuxième problématique la plus souvent signalée comme un obstacle à la capacité des entreprises à maintenir un programme mature de sensibilisation à la sécurité : le manque de personnel dûment certifié pour travailler sur le programme et le mettre en œuvre.

Enfin, le manque de budget a été identifié comme le troisième obstacle majeur qui empêche de nombreuses entreprises de mettre en œuvre une stratégie globale de sensibilisation à la sécurité.

Il est clair que de nombreuses entreprises ont encore des obstacles importants à surmonter en ce qui concerne leurs démarches de sensibilisation à la sécurité.

Heureusement, il existe quelques mesures clés que les organisations peuvent prendre pour accélérer leur programme.

D’abord, assurer les effectifs et les moyens

Pour combler ce fossé entre les aspirations et la réalité, le rapport du SANS indique que la clé du succès consiste à disposer d’au moins trois employés équivalents temps plein (ETP) chargés de gérer le programme de sensibilisation à la sécurité. Mais il est tout aussi important de s’assurer que ces rôles sont assumés par les bonnes personnes, disposant des compétences nécessaires.

En effet, les résultats de l’étude du SANS révèlent que trop souvent les responsabilités en matière de sensibilisation à la sécurité sont déléguées à du personnel aux antécédents très techniques, qui n’ont pas toujours les compétences nécessaires pour communiquer avec le personnel en des termes faciles à comprendre.

Pour optimiser la réussite du programme, les organisations doivent plutôt chercher à nommer des personnes qui, en plus d’être des cyberspécialistes compétents, maîtrisent les compétences interpersonnelles et non techniques nécessaires pour transmettre ou « vendre » efficacement les priorités stratégiques de l’organisation en matière de sécurité de façon pragmatique.

Ensuite, placer des responsables en modèles à suivre

Ces dernières années, la sensibilisation à la sécurité, qui était l’apanage des RH ou des équipes chargées des questions juridiques et de conformité, est devenue la principale préoccupation des directeurs informatiques. Toutefois, le rapport du SANS recommande de confier de plus en plus la responsabilité première de la sensibilisation à la sécurité et de la gestion de la confiance au responsable de la sécurité informatique (RSSI).

Chargé d’aider le conseil d’administration à comprendre les problèmes de sécurité potentiels et responsable de la gestion des cyberrisques de l’entreprise, le RSSI occupe une position idéale pour veiller à intégrer la sensibilisation à la sécurité dans la stratégie de sécurité générale. C’est pourquoi le SANS recommande que les programmes de sensibilisation soient gérés par une personne dédiée à plein temps qui fasse partie de l’équipe de sécurité et soit placée sous les ordres directs du RSSI.

Le message clé ici est que la personne chargée de la sensibilisation à la sécurité doit faire partie de l’équipe de sécurité et en être le prolongement, et ne pas être déconnectée des autres démarches de sécurité.

Les clés du succès

À la lumière des récents changements opérationnels rapides mis en œuvre en réponse à la COVID-19, l’investissement dans la sensibilisation à la sécurité est vital si les organisations renforcer l’efficacité de leur gestion du risque humain. Recruter un nombre suffisant de personnes, dotées des compétences appropriées pour mettre en œuvre le programme, n’est qu’un début.

Pour parvenir à des améliorations significatives, les membres du conseil d’administration doivent se faire les principaux défenseurs de leurs programmes de sensibilisation à la sécurité et prioriser un financement proportionné en regard des autres efforts déployés en matière de sécurité. Il sera ensuite essentiel de veiller à ce que des personnes suffisamment haut placées pour bénéficier d’une autorité et d’une connaissance réelles des priorités de sécurité les plus stratégiques de l’organisation assument la responsabilité finale de l’élaboration du programme en fonction des besoins de sécurité en constante évolution de l’entreprise. (Tim Bandos, RSSI chez Digital Guardian)

Cybersécurité

64% des entreprises ont plus de 1 000 dossiers sensibles auxquels l’ensemble de leurs employés ont un accès libre

Voici un nouveau rapport qui permet de comprendre l’un des gros malaises au sein de nos entreprises. Six entreprises sur 10 laisseraient accés à l’ensemble de leurs employés à plus de 1 000 dossiers sensibles.

Ce rapport vise les risques liés aux systèmes de fichiers. Un volume énorme, on parle ici de de quatre milliards de fichiers dans 56 grandes organisations en France, USA, Angleterre ou encore Allemagne. Le secteur financier compte parmi les plus matures en matière de cybersécurité, mais il n’en demeure pas moins que les entreprises de services financiers sont parmi les plus visées par des cyberattaques, indique le rapport de Varonis, du fait des données sensibles qu’elles collectent auprès de leurs clients.

Cette étude met en lumière que les données des sociétés questionnées sont encore très largement exposées à des failles, menaces internes ou encore des attaques par ransomware. Des données qui mettent également sous la pression d’une non-conformité aux réglementations, telles que le RGPD, ou encore la norme PCI-DSS spécifique au monde bancaire.

Des données, comme les courriels, qui peuvent trés rapidement, dans les mains de pirates, finir en pourriel/spam (définition du spam) ou encore en spear phishing, un hameçonnage de données ciblées.

Dans les organisations analysées, en moyenne 10,8 millions de dossiers sont accessibles à tous les employés. Cela atteint jusqu’à 20 millions dans les plus grands groupes (plus de 1500 employés). En moyenne, un(e) employé(e) d’une société de services financiers a accès à 13% du total des dossiers de l’entreprise. Dans les petites entreprises (entre 1 et 500 employés pour ce rapport), un employé a en moyenne accès à plus d’un demi-million de fichiers, et ainsi une liberté illimitée de consulter, copier, déplacer et modifier les données qu’ils contiennent. Le problème est d’autant plus grave que plus de 20% de ces fichiers comportent des données sensibles sur des employés ou clients.

Au sein de ces dossiers, se trouvent de nombreuses données sensibles : 64% des entreprises analysées ont plus de 1000 dossiers sensibles auxquels l’ensemble de leurs employés ont un accès libre. En moyenne, 69 % des données au sein de sociétés du secteur financiers sont « obsolètes », c’est-à-dire non consultées depuis plus de 90 jours. Ces données incluent souvent des données critiques, et elles sont ainsi tout autant exposées à des failles, et devraient faire l’objet d’une gestion appropriée (archivage sécurisé, suppression). Autre chiffre important : dans 59% des entreprises analysées, Varonis a identifié plus de 500 mots de passe qui n’expirent jamais. (le rapport)

Communiqué de presse

6 professionnels français de la cybersécurité sur 10 pensent que la cyberguerre est une menace imminente

Six professionnels français de la cybersécurité sur dix (59%) pensent que la cyberguerre est une menace pour leur organisation, et pourtant un quart (26 %) admettent ne pas avoir de stratégie en place pour atténuer ce risque.

C’est l’un des enseignements de l’étude mondiale « 10 in 10 : La cyber depuis 10 ans et dans 10 ans » réalisée par Bitdefender cette année. Cela a de quoi inquiéter, particulièrement en cette période de bouleversements mondiaux sans précédent, car la moitié des professionnels de la sécurité informatique (50 %) s’accordent à dire que l’accélération de la cyberguerre sera préjudiciable à l’économie dans les 12 prochains mois.

Les RSSI et les professionnels de l’informatique renforcent toutefois leurs défenses : 37% des français estimant avoir besoin d’une stratégie contre la cyberguerre dans les 12 à 18 prochains mois.

43% des professionnels français craignent qu’un ransomware détruise leur entreprise, à court terme

La menace du ransomware est toujours aussi présente.

  • Lors de la crise de 2020, les ransomwares ont fait un bond, 43 % des professionnels de l’informatique ont constaté une augmentation des ransomwares et 60 % des professionnels français s’attendent à une augmentation des ransomwares dans les 12 à 18 prochains mois. Plus inquiétant, ils sont 43% de français à craindre qu’un ransomware détruise leur entreprise dans les 12-18 mois à venir si leurs investissements en sécurité n’augmentent pas !

Comment expliquer cette augmentation des attaques de ransomware ? La réponse remontant du terrain est principalement, l’ampleur des gains… Presque la moitié des professionnels français de (46 %) pensent que l’entreprise pour laquelle ils travaillent paierait une rançon pour empêcher la publication de ses données/informations.

Un changement radical dans la communication est très attendu

La cyberguerre et les ransomwares sont des sujets complexes. La complexité inhérente aux sujets de la sécurité informatique rend toutefois difficile l’obtention d’investissements et de soutien internes pour les projets. C’est pourquoi les professionnels français de la sécurité informatique sont d’avis qu’un changement est nécessaire. En fait, 55 % d’entre eux estiment que pour accroître les investissements dans la cybersécurité, la manière dont ils communiquent sur la sécurité doit changer radicalement.

La question est de savoir quels changements doivent être apportés :

  • 39% des professionnels français de la cybersécurité (39 %) pensent qu’à l’avenir, il faudra communiquer davantage avec le grand public et les clients, tant à l’intérieur qu’à l’extérieur de l’organisation, afin qu’ils comprennent mieux les risques.
  • En outre, 38 % soulignent qu’il faut faciliter une meilleure communication avec les cadres dirigeants, en particulier lorsqu’il s’agit de comprendre les risques commerciaux au sens large.
  • Enfin, 40 % des professionnels français estiment que l’utilisation d’un langage moins technique aiderait l’industrie à mieux communiquer, afin que l’ensemble de l’organisation puisse comprendre les risques et la manière de rester protégé.

Neeraj Suri, Professeur reconnu et Président de la Chair in Cybersecurity de l’Université de Lancaster, Royaume-Uni, commente : « La raison pour laquelle 63% des professionnels estiment que la cyberguerre est une menace pour leur organisation est simple. La dépendance à l’égard de la technologie est à son comble et si quelqu’un devait supprimer le Wi-Fi à la maison ou au bureau, personne ne pourrait plus rien faire. Cette dépendance n’existait pas il y a quelques années, elle n’était même pas aussi élevée il y a quelques mois. Cette forte dépendance à l’égard de la technologie n’ouvre pas seulement la porte aux ransomwares ou aux menaces sur l’Internet des Objets industriels mais aussi à la cyberguerre qui peut être si catastrophique qu’elle peut ruiner les économies. Près d’un quart des professionnels de l’informatique n’ont pas actuellement de stratégie de protection contre la cyberguerre, et la raison est probablement la complaisance. Comme ils n’ont pas subi d’attaque, ou n’ont pas vu à grande échelle les dommages qui peuvent être causés, ils n’ont pas investi le temps nécessaire pour s’en protéger ». 

La diversité – en particulier la neurodiversité – est la clé du succès futur

En dehors des changements drastiques qui sont nécessaires dans la façon dont les professionnels de la cybersécurité communiquent, il est également nécessaire de trouver des solutions à la problématique du manque d’experts. L’industrie de la sécurité informatique dans son ensemble souffre depuis longtemps d’une pénurie de compétences, et cela semble rester un problème permanent et de plus en plus évident :

  • 15 % des professionnels de la sécurité informatique estiment que la plus grande évolution de la cybersécurité au cours des 12-18 mois sera l’augmentation du déficit de compétences.

Si le déficit de compétences se poursuit pendant encore cinq ans, 28 % des RSSI et des DSI pensent qu’il pourra être la cause de la destruction d’entreprises. Et une autre moitié (50 %) des professionnels de la sécurité informatique pense que le déficit de compétences sera gravement perturbateur s’il se poursuit pendant les cinq prochaines années.

Aujourd’hui, cependant, il faudra plus que le simple recrutement de travailleurs qualifiés pour apporter un changement positif et protéger les organisations. En 2015, 52 % des travailleurs de la sécurité informatique auraient convenu qu’il y avait un manque de diversité dans la cybersécurité et qu’il s’agissait d’une préoccupation importante. Cinq ans plus tard, en 2020, la situation reste exactement la même – et c’est un toujours un problème important puisque 40 % des RSSI/DSI et des professionnels de la sécurité informatique affirment que le secteur de la cybersécurité doit refléter la société qui l’entoure pour être efficace.

De plus, 76 % des RSSI et 72 % des professionnels de la sécurité informatique estiment qu’il est nécessaire de diversifier les compétences des personnes chargées de la cybersécurité. En effet, plus spécifiquement en France, 36 % des professionnels de l’informatique estiment que la neurodiversité renforcera les défenses de la cybersécurité, et 29 % ont révélé qu’une main-d’œuvre plus neurodiversifiée permettra d’égaliser le rapport de force avec les attaquants.

Liviu Arsene, Analyste en cybersécurité internationale chez Bitdefender, conclut : « 2020 a été une année de changement, non seulement pour le monde en général, mais aussi pour l’industrie de la sécurité. Le paysage de la sécurité évolue rapidement alors qu’il tente de s’adapter à la nouvelle normalité, de la main-d’œuvre distribuée aux nouvelles menaces. Parmi les nouvelles menaces, on trouve la cyberguerre. Elle préoccupe beaucoup les entreprises et l’économie, mais tout le monde n’est pas préparé à y faire face. Dans le même temps, les professionnels de l’informatique ont dû se tenir au courant des nouvelles menaces provenant d’une ancienne source, les ransomwares, qui peuvent affecter les résultats des entreprises si elles ne sont pas traitées avec soin. La seule chose que nous savons, c’est que le paysage de la sécurité va continuer à évoluer. Des changements vont se produire, mais nous pouvons maintenant nous assurer qu’ils se produiront pour le meilleur et non pour le pire. Pour réussir dans le nouveau paysage de la sécurité, la façon dont nous parlons de la sécurité en tant qu’industrie doit devenir plus accessible à un public plus large afin de gagner le soutien et l’investissement de l’intérieur de l’entreprise. En outre, nous devons commencer à réfléchir à la manière de combler le déficit de compétences d’une manière différente – nous devons nous concentrer sur la diversité, et plus particulièrement sur la neurodiversité, si nous voulons tenir bon et, en fin de compte, vaincre les acteurs malveillants ».