Brian Krebs, blogueur célèbre en matière de cybersécurité et ancien journaliste du Washington Times, était l’un des orateurs invités à la conférence Aruba Atmosphere qui s’est déroulée à Nashville la semaine dernière.
Son exposé intitulé « Les défis de la cybersécurité de l’IoT » a été l’un des séminaires les plus suivis de cette conférence de deux jours.
Le blog de Brian Krebs est largement lu à travers le monde. Bien qu’il écrive sur toutes les facettes de la cybersécurité, il a tendance à se concentrer sur le sujet du dark web et sur les cybercriminels en quête de profit et qui le fréquentent, dont la plupart résident en Europe de l’Est.
En plus de ses écrits, les recherches journalistiques de Brian Krebs ont mis au grand jour un certain nombre d’infractions, notamment les attaques contre Target, Home Depot et Neiman Marcus. En conséquence, il a de nombreux sponsors qui financent ses recherches.
Il est détesté, mais bien respecté par la communauté des hackers. Son identité a été volée à six reprises par des cybercriminels d’Europe de l’Est, lesquels continuent également de faire tomber son site web.
Sa vie a été menacée et de nombreuses tentatives ont été faites pour le piéger. Par exemple, ses adversaires ont usurpé un appel au 911, demandant à une équipe du SWAT d’intervenir à son domicile.
En effet, Sony Pictures envisage de sortir un film basé sur Brian Krebs, lequel aurait blogué avec un fusil de chasse de calibre 12 à ses côtés.
Comment prévenir une cybermenace ?
« Les personnes derrière les claviers sont vos points d’extrémité les plus faibles », a-t-il déclaré au début de son exposé. « Les entreprises doivent investir du temps et des ressources dans l’éducation des utilisateurs finaux, mais même en faisant cela, il y aura toujours des gens qui vont cliquer sur n’importe quoi ».
Ensuite, il a expliqué comment chaque service informatique doit sonder et tester ses utilisateurs, tout simplement parce que les pirates informatiques le font. Il est impératif de trouver les maillons les plus faibles (employés) avant que les cybercriminels ne les trouvent et ne violent votre réseau et votre propriété intellectuelle.
Selon Brian Krebs, « Une fois infiltré, le pirate n’est plus un attaquant. C’est un utilisateur. Et, une fois qu’il opère depuis votre réseau, il est extrêmement difficile de détecter sa présence ».
Il a comparé cela à un jeu d’échecs ou de dames dans lequel un joueur est capable de promouvoir une pièce qui atteint la dernière rangée de son adversaire à la pièce de son choix.
Pour un pirate informatique, l’élément de choix est le compte utilisateur d’un Directeur général, d’un Directeur financier ou d’un Administrateur d’Enterprise. Les cybercriminels d’aujourd’hui sont très patients lorsqu’ils infiltrent une entreprise.
Au lieu de frapper immédiatement, ils prennent le temps d’apprendre la culture de l’entreprise et la façon dont les dirigeants ciblés communiquent entre eux.
Les cabinets d’avocats sont souvent attaqués pour obtenir des informations sur leurs clients
Les administrateurs système et les responsables des ressources humaines sont les cibles les plus populaires d’une attaque cybercriminelle, et ce, pour une multitude de raisons.
Pourtant, les cabinets d’avocats sont aussi fréquemment attaqués, non pas pour obtenir la propriété intellectuelle du cabinet, mais pour en savoir plus sur leurs clients.
Les informations personnelles des clients peuvent ensuite être vendues à d’autres organisations qui, à leur tour, vos entrer en négociations avec ces mêmes clients pour en tirer profit.
Lors de sa présentation, Brian Krebs a mis l’accent sur la façon dont l’internet des objets (IoT) a modifié le spectre des cyberattaques. Le risque de prise de contrôle de comptes en est un exemple frappant.
Le bourrage de justificatifs d’identité représente une menace croissante. Sachez qu’environ 90 % de toutes les activités de connexion sur les systèmes Internet des entreprises du Fortune 100 sont attribuées au bourrage de justificatifs d’identité.
Jusqu’à récemment, ce genre d’attaque était relativement facile à détecter, car des dizaines de milliers de tentatives de connexion proviennent d’une seule adresse IP.
Une fois exposées, les connexions à partir de ces adresses IP malveillantes peuvent simplement être interrompues. Cependant, avec l’IoT, d’énormes botnets peuvent maintenant être utilisés pour acheminer les demandes de mots de passe à travers des centaines, voire des milliers d’appareils.
Brian Krebs a déclaré : « Nous avons besoin de systèmes plus vérifiables pour identifier les gens. Les identificateurs statiques tels que le nom du père, l’adresse physique, le lieu de naissance, etc., sont devenus complètement inutiles ».
Il a expliqué qu’un pirate informatique peut trouver n’importe quoi sur n’importe quelle personne de plus de 35 ans, pour environ 4 $ en bitcoin.
Il a même lancé un défi à l’audience : si une des personnes présentes lui donnait 4 dollars et une carte de visite avec une adresse de messagerie électronique, il lui enverrait un rapport complet sur son profil par e-mail. Après la présentation, quelques personnes ont relevé le défi par simple curiosité.
Attaques DDOS
L’IoT a propulsé l’utilisation des attaques DDOS, car les cybercriminels peuvent facilement exploiter et piéger des centaines de milliers de dispositifs IoT pour former des armées de botnets, dont la taille est sans précédent.
Les attaques DDOS sont infligées à des organisations comme une forme de censure. Des sites — qui sont susceptibles d’exposer ces organisations et leurs méthodologies — sont régulièrement piratés dans le but de les faire tomber.
L’une de ces organisations malfaisantes, vDOS, a été organisée par deux adolescents israéliens qui ont gagné plus de 600 000 dollars en deux ans pour aider leurs clients à coordonner plus de 150 000 attaques DDOS destinées à mettre hors ligne des sites web.
À la fin de sa présentation, Brian Krebs a ouvert la foire aux questions. Un membre de l’auditoire lui a demandé quelle était la plus grande cybermenace d’aujourd’hui : les attaques BEC, les ransomwares ou les attaques DDOS ? Il a répondu : « La plus grande cybermenace est l’apathie ! »
L’article a été fourni par IT Pro, Brad Rudisail, qui a assisté à l’exposé de Brian Krebs à la conférence Aruba Atmosphere.a
Qu’est-ce qui vous empêche de dormir la nuit ? Si vous êtes un Responsable de la Sécurité des Systèmes d’Information (RSSI) d’une grande entreprise, il se peut que vous ayez peur de perdre votre emploi au cas où votre employeur serait victime d’une cyberattaque comme une atteinte à la protection des données.
Les RSSI prennent la responsabilité des cyberattaques subit par leurs entreprises
C’est l’une des statistiques inquiétantes rapportées par l’étude Megatrend Study du Ponemon Institute.
Cette étude, rendue publique plus tôt cette année, a montré que les nombreux incidents cybernétiques qui ont fait la une des journaux et des médias au cours des deux dernières années semblent avoir des répercussions sur les dirigeants du RSSI et d’autres dirigeants de C-Suite.
L’enquête portait sur 612 RSSI, DSI et autres professionnels de la sécurité de l’information :
45 % des répondants ont déclaré qu’ils craignaient de perdre leur emploi à la suite d’une cyberattaque majeure.
Cela semble compréhensible puisqu’en 2018, 67 % d’entre eux s’attendent à une atteinte à la protection des données ou à un type d’attaque informatique semblable, contre 60 % en 2017.
Ces appréhensions ne sont pas propres aux professionnels de l’industrie établis aux États-Unis.
Une enquête menée dans le cadre de la conférence Infosecurity Europe 2017 a rapporté des résultats similaires.
En effet, on a demandé aux professionnels de la sécurité le poste le plus responsable d’une entreprise en cas d’atteinte à la protection des données.
Parmi les répondants, 40 % affirmaient que les PDG seraient les premiers à être sur la ligne de mire, suivis des RSSI (21 %), des autres professionnels de la sécurité de l’information (15 %) et des DSI (14 %).
Parmi les exemples récents de départs forcés, on peut citer celui du chef de la direction d’Equifax, Richard Smith, après la divulgation d’une violation massive de données.
Chez Uber, trois cadres supérieurs du département sécurité ont également démissionné suite à la dissimulation révélée d’une attaque cybercriminelle. Suite à cela, les données de plus de 50 millions de conducteurs et passagers ont été atteintes.
Uber a dû payer un groupe de pirates informatiques pour effacer les dossiers infectés.
D’autres exemples d’attaques de haut niveau ont impliqué d’autres entreprises, comme :
Le fabricant aérospatial autrichien FACC
Sony
Target
Home Depot.
Le grand public est clairement convaincu que les entreprises doivent être pénalisées pour les violations de données impliquant des informations personnelles.
Dans un sondage mené récemment auprès de 9 000 consommateurs en Australie, au Benelux, en France, en Allemagne, en Russie, aux Émirats arabes unis, en Arabie saoudite, en Inde, au Japon, au Royaume-Uni et aux États-Unis, 70 % des répondants ont attribué la responsabilité de protéger et de sécuriser leurs données directement aux entreprises.
L’étude du Ponemon Institute montre que le stress lié à la cybercriminalité affecte les RSSI
Non seulement la majorité d’entre eux estiment qu’une cyberattaque est imminente, mais 66 % disent qu’ils s’attendent à ce que leur travail devienne plus stressant au cours des douze prochains mois.
Un autre fait inquiétant est que :
44 % des répondants ont indiqué qu’ils prévoyaient de faire une mutation latérale au sein de leur organisation, en travaillant hors du domaine de la sécurité informatique.
40 % envisagent tout simplement de changer de carrière.
Pourquoi les responsables de la sécurité informatique du C-Suite sont-ils si inquiets ?
Certes, la publicité sur les cyberattaques – telles que les atteintes à la protection des données et les attaques de ransomwares – a fait monter la pression pour ces dirigeants.
Mais la surcharge d’informations et l’augmentation des réglementations y contribuent également.
Outre ces faits, l’étude du Ponemon Institute a mis en évidence d’autres préoccupations spécifiques des répondants.
70 % d’entre eux ont affirmé que la cause la plus probable d’une atteinte à la protection des données était le manque de personnel interne compétent.
64 % ont souligné le manque d’expertise interne qui pourrait entraîner une atteinte à la protection des données. La pénurie chronique de talents dans le domaine de la cybersécurité est qualifiée d’épidémie selon certains analystes de l’industrie. L’un des principaux groupes de défense de la sécurité de l’information prévoit qu’il y aura une pénurie mondiale de deux millions de professionnels de la sécurité d’ici 2019.
47 % s’inquiétaient d’une brèche potentielle due à l’incapacité de leur organisation à sécuriser les dispositifs IoT (Internet des objets).
56 % d’entre eux ont cité que les organisations sont incapables de faire face aux cyberattaques qui sont de plus en plus sophistiquées.
Un tiers des répondants ont affirmé que cette préoccupation est due à un financement inadéquat.
40 % ont déclaré que leurs budgets de sécurité informatique étaient restés stables l’an dernier malgré les menaces croissantes, tandis que 23 % s’attendaient à un budget réduit pour les douze mois à venir.
L’une des principales préoccupations exprimées dans le rapport était l’incapacité de se préparer à de nouveaux types de menaces sur le long terme, en raison de l’augmentation du nombre d’attaques quotidiennes.
Les malwares et le phishing demeurent leur principale préoccupation, car ils constituent le principal moyen de diffusion des attaques cybernétiques.
La capacité de sécuriser complètement la messagerie électronique des utilisateurs est également une priorité absolue, outre la mise en œuvre d’outils de sécurité tels que le filtrage moderne des emails et des contenus web.
La cybersécurité doit devenir une culture pratiquée dans chaque organisation. En attendant, le stress des RSSI restera certainement élevé.
Les établissements d’enseignement, de la maternelle au lycée ainsi que de l’enseignement supérieur, sont régulièrement piratés.
La situation ne montre aucun signe d’amélioration.
Les conséquences de tout vol de données sont énormes non seulement en termes de réputation, mais aussi en termes juridique, économique et opérationnel.
Le financement futur pourrait être affecté, mais il y a aussi le risque de perte de frais de scolarité futurs et de revenus associés.
L’année dernière, un article paru dans le Huffington Post donnait des exemples de cinq collèges dont les atteintes à la protection des données étaient encore plus importantes que celles de Sony.
Voici quelques exemples d’atteintes récentes à la protection des données dans le domaine de l’éducation :
Les réseaux de l’Université du Maryland ont été piratés en janvier 2014, ce qui a entraîné la divulgation des données de 310 000 étudiants. La brèche a coûté plus de 6 millions de dollars à l’université pour que les victimes puissent bénéficier de services de surveillance du crédit.
Le district scolaire Park Hill de Kansas City, au Missouri, a signalé une infraction en juillet 2014. Un ancien employé a eu accès à des données confidentielles sur des élèves et des employés. Ces données ont été ensuite publiées par inadvertance sur Internet. Plus de 10 000 personnes ont été victimes de cette attaque. Des dossiers ont été endommagés, y compris des numéros de sécurité sociale et des évaluations des employés.
En juin 2014, plus de 30 000 étudiants du Riverside Community College District, en Californie, ont vu leurs données exposées (numéros de sécurité sociale, dossiers scolaires, etc.) lorsqu’un employé a envoyé des dossiers par email à une adresse électronique incorrecte via un système non sécurisé.
Universities UK est une organisation regroupant les directeurs généraux des universités britanniques qui œuvre pour le soutien et la promotion du secteur de l’enseignement supérieur britannique.
Elle a commandé un rapport qui examine les moyens de mettre en œuvre la cybersécurité dans les établissements d’enseignement supérieur au niveau de la direction.
Leurs suggestions sur la manière d’assurer une cybersécurité adéquate semblent très similaires aux approches que toute grande entreprise devrait adopter :
Évaluer le risque institutionnel en identifiant les actifs informationnels, en évaluant leurs vulnérabilités et en établissant leurs priorités de gestion.
Mettre en place un système de surveillance et de communication efficace des risques liés à l’information entre le conseil d’administration de l’institution, les propriétaires, les contrôleurs et les actifs informationnels.
Mettre en œuvre des contrôles réseau généraux, ciblés et appropriés, notamment le partage et la mise à jour des vulnérabilités et des pratiques menées en interne et en externe.
La nature et la fiabilité des données associées à un large éventail d’activités nécessitent un ensemble de modèles de cybersécurité ciblés, adaptés et proportionnés à leurs actifs.
Les universités sont les cibles parfaites pour un vol de données
Les données sont essentielles au bon fonctionnement d’un établissement d’enseignement, ainsi qu’à la recherche et à la production d’autres données.
Il peut s’agir du principal actif intellectuel — parfois sensible du point de vue politique ou commercial — et essentiel pour que l’université puisse répondre à ses besoins commerciaux ou académiques.
Il suffit prendre l’exemple de la nature des données sur les changements climatiques ou des dossiers médicaux.
Il peut également s’agir de données d’entreprise, sur les étudiants, les finances et les ressources humaines.
Celles-ci sont soumises aux lois habituelles sur la protection des données.
Le financement futur pourrait être affecté, mais il y a aussi le risque de perte de frais de scolarité futurs et de revenus associés.
Des poursuites et d’autres sanctions pourraient être intentées à l’encontre de l’établissement, mais la perte de propriété intellectuelle pourrait aussi survenir.
Il peut même y avoir des dommages aux infrastructures qui paralysent les activités de l’institution.
Les réseaux universitaires alimentaient les attaques contre les systèmes externes
Les données personnelles et financières stockées dans les systèmes de données universitaires sont d’une grande valeur pour les cybercriminels.
Les données commerciales, quant à elles, peuvent intéresser les espions d’entreprises, tandis que les données liées à la recherche scientifique ou aux subventions peuvent être ciblées par des groupes soutenus par un État-nation.
Même l’infrastructure universitaire, avec sa large bande passante et ses serveurs puissants, constitue une cible pour les pirates informatiques. Il peut être détourné et utilisé pour mener des attaques sur d’autres systèmes externes.
Lorsque les systèmes informatiques du New York Times ont été piratés en 2013, l’enquête qui a suivi a révélé que les attaques avaient été dirigées contre des ordinateurs compromis dans des universités américaines.
Les menaces habituels des vols de données
Les menaces auxquelles font face les établissements d’enseignement sont toujours les mêmes.
Manipulation psychologique qui cible l’utilisateur,
Spams/emails de phishing,
Macros malveillantes/ransomwares,
Protocoles de sécurité obsolètes et/ou faibles,
Vulnérabilités des navigateurs,
Logiciels non corrigés et vulnérabilités logicielles,
Kits d’exploitation « zero-day »,
Mauvaise configuration du pare-feu et du réseau,
Manque de contrôle des applications,
Accès USB non sécurisé,
Botnets et attaques par déni de service distribué (DDOS),
Accès à distance permanent,
Banque de contrôle des appareils mobiles
Problèmes d’infrastructure et silos de données : Un cauchemar pour la sécurité des réseaux
Ce qui différencie réellement les établissements d’enseignement supérieur et le réseau d’entreprise est la nature du campus et du réseau de l’Université.
Composée de nombreux réseaux, parfois dispersés, l’infrastructure réseau des universités constitue un cauchemar pour les professionnels de la sécurité informatique d’entreprise.
Ce n’est pas dû à un manque de prévoyance ou d’ignorance en matière de sécurité informatique sur le campus (c’est loin d’être le cas !).
En effet, L’environnement éducatif et l’ouverture du campus au grand public signifient qu’il n’y a aucune infrastructure centrée sur la sécurité étroite tel qu’on voit dans les réseaux d’entreprise.
Dans les établissements d’enseignement, il est courant de voir
Des flux réguliers d’étudiants de premier cycle
Des chercheurs et des diplômés qui collaborent et partagent des données à l’échelle mondiale
Des universitaires en visite
Des pratiques qui permettent aux utilisateurs d’apporter leurs propres appareils pour se connecter au réseau
Etc.
Pourtant, dans de tels environnements, le concept de sécurité des données rigoureuse a toujours été considéré comme inutile, voire indésirable.
Lorsqu’une institution prospère grâce au libre échange de données et d’idées, elle ne peut pas facilement appliquer les mêmes mesures de sécurité que les grandes entreprises.
La sécurité informatique est un compromis
Il y a un juste équilibre entre ce qui doit être autorisé et les mesures de sécurité qui peuvent être mises en place.
La sécurité dans toutes les organisations, commerciales ou académiques, est un compromis entre la probabilité et l’impact potentiel d’une attaque et le coût financier qui pourraient être encourus en défense en cas d’atteinte à la protection des données.
L’augmentation des menaces en ligne et les nouvelles sanctions sévères pour les atteintes à la protection des données obligent les universités à prendre la cybersécurité plus au sérieux.
Une approche efficace consistait à segmenter et à partitionner autant que possible les réseaux des campus afin que les données les plus sensibles et les plus précieuses puissent être protégées de manière adéquate.
Il fallait également permettre la création de parties du réseau relativement ouvertes pour répondre aux besoins en matière de formation et de recherche.
Cela peut être complexe et nécessiter une analyse détaillée des risques, outre l’établissement de priorités de gestion et des mesures de sécurité connexes.
En réalité, c’est une approche qui commence à être adoptée par les réseaux d’entreprise.
Le fait de considérer que le « monde extérieur » est dangereux et que le réseau local est toujours sécurisé est désormais quelque chose de démodé.
La DMZ qui servait auparavant de sandbox aux systèmes partagés entre le WAN et le LAN est maintenant considérée comme la zone protégée pour sécuriser les serveurs du monde extérieur et du monde intérieur.
La pratique consistait à utiliser des systèmes de sécurité capables de surveiller le réseau et détecter les anomalies comportementales, plutôt que de compter sur une protection par périmètre.
Et c’est là que les universités peuvent être en avance sur le monde de l’entreprise.
L’équipe de TitanHQ travaille depuis plus de 20 ans sur les solutions antispam ; le filtrage Web et l’archivage des emails pour les écoles.
Nous avons une compréhension profonde des problèmes de sécurité web et nous sommes conscients que toutes les écoles et tous les collèges devraient faire quelque chose pour protéger les étudiants, le personnel scolaire et les visiteurs.
Les cybercriminels veulent vos données, alors ne les leur donnez pas !
Commencez dès aujourd’hui à protéger votre organisme éducatif contre les infractions coûteuses et les amendes.
La sécurité web est essentielle à la protection de vos données.
Essayez la version gratuite de WebTitan dès aujourd’hui !
C’est un terme très largement utilisé, mais souvent mal compris.
L’Internet des objets est la flotte d’appareils électroniques connectés à Internet, comme :
Les capteurs de surveillance météorologique
Les feux de circulation
L’appareil GPS sur votre vélo, sur votre voiture ou sur votre téléphone intelligent
Entre autres.
Ces appareils sont littéralement partout.
Nous nageons constamment dans un océan de choses qui ont la capacité de communiquer avec les humains ou avec d’autres appareils.
Cela pose-t-il un problème ?
Je ne veux pas vous ennuyer en vous expliquant la façon dont l’IoT affecte tant de personnes et d’industries.
En faisant une recherche sur Google, vous aurez suffisamment de résultats pour un mois complet de lecture.
Ce dont j’aimerais parler, c’est de ce qui se passe habituellement lorsqu’un appareil est connecté en permanence à Internet.
Ce qui se produit habituellement, c’est qu’il est scanné, sondé, attaqué, forcé brutalement, pris en charge, attaqué par déni de service distribué (DDoS), éteint et/ou détruit.
—————————————————————————————————
« … La prise en charge à distance d’implants ou de dispositifs électroniques à l’intérieur d’un corps humain vivant est complètement différente…. »
—————————————————————————————————
Ce n’est pas une question de « si », mais de « quand » de tels incidents vont se produire.
Comme pour tout ce qui se passe dans notre monde, tout est dans le contexte.
Si vous piratez un panneau d’affichage dans une zone déserte afin d’afficher un dessin animé, cela ne causera pas beaucoup de problèmes.
Mais la prise en charge à distance d’implants ou de dispositifs électroniques à l’intérieur d’un corps humain vivant est totalement différente.
Les fournisseurs et les fabricants ne savent-ils pas ce qu’ils font ?
Il y a une croyance répandue avec laquelle beaucoup de gens sont fondamentalement en désaccord avec le fait que les fabricants et les fournisseurs de produits savent ce qu’ils font en matière de sécurité.
Après tout, ils ont de gros budgets et ce sont des experts auxquels vous pouvez faire confiance. Oui, ils savent comment fabriquer et vendre des produits et des appareils.
En réalité, si leur but est de construire et de vous vendre une poupée capable de parler et de communiquer avec votre fille via Internet, alors ils peuvent faire un travail fantastique. Si c’était tout ce qu’ils devaient faire, tout irait bien.
Eh bien, ce n’est pas le cas !
Les entreprises les plus puissantes et les plus compétentes de la planète n’ont pas réussi à sécuriser les appareils qu’elles construisent et vendent depuis quelques décennies.
Qu’est-ce qui vous fait croire que c’est sur le point de changer maintenant, d’autant que nous construisons et vendons encore plus de choses ?
Nous construisons plus rapidement des choses que nous ne pouvons les vérifier (en supposant que nous nous soucions d’abord de les vérifier). Je peux comprendre pourquoi certains secteurs n’accordent pas trop d’attention à la sécurité.
Après tout, si vous construisez des poupées « intelligentes », vous n’aurez peut-être pas à vous soucier trop de la sécurité, bien que cela n’excuse pas votre ignorance.
Par contre, si vos appareils et gadgets sont utilisés dans des infrastructures critiques, alors en tant que fabricant ou fournisseur, il est de votre devoir absolu de vous assurer que vos produits ne présentent aucun risque pour les humains ou la planète.
Vous devriez le savoir, et là, il n’y a plus d’excuses.
Protéger le réseau
Le phénomène BYOD est au milieu de toute cette polémique. Les employés et les entrepreneurs continueront d’apporter et d’utiliser leurs propres appareils au travail et ensuite à la maison.
Certains prétendent que la gestion du matériel et des logiciels de l’entreprise est déjà assez difficile en soi.
Alors, pourquoi créer plus de maux de tête en ajoutant des périphériques étrangers ?
D’autres soutiennent qu’il est préférable de gérer le processus plutôt que d’interdire les dispositifs.
Les employés continuent donc d’ignorer l’interdiction et utilisent leurs propres dispositifs au travail, quoi qu’il en soit.
Avec le concept de BYOD et l’utilisation croissante d’ordinateurs portables, de Smartphones et de tablettes, nous savons que le périmètre du réseau d’entreprise s’étend, mais la question est de savoir jusqu’où ?
De nombreuses organisations ont du mal à trouver un équilibre entre les besoins de leurs employés et leurs préoccupations en matière de sécurité.
Concept BYOD : Règles de sécurité vs habitudes
Lorsqu’on parle de la bataille entre règles et habitudes, ce sont souvent les habitudes qui gagnent. Vous pouvez avoir toutes les règles que vous pouvez imaginer, vos employés ne vont pas les respecter et les contourneront ou les ignoreront.
À moins que vous ne formiez vos employés à comprendre pourquoi ces règles sont importantes et ce qu’ils peuvent gagner en les respectant.
C’est la dure réalité.
C’est comme si vous deviez participer à une fusillade, alors que vous n’êtes armé que d’un bâton. Dans un tel cas, vous pourriez être témoin d’un miracle, mais encore une fois…
—————————————————————————————————
« …à moins que vous ne formiez votre personnel…C’est comme si vous deviez participer à une fusillade, alors que vous n’êtes armé que d’un bâton.»
—————————————————————————————————
Certains administrateurs système agissent selon les demandes des utilisateurs qu’ils administrent.
Si ces derniers souhaitent travailler sans droits d’administrateur, alors les administrateurs feront tout pour les satisfaire.
Si un utilisateur souhaite avoir accès à un domaine avec son appareil mobile, dans la plupart des cas, l’administrateur se pliera à cette demande.
Dans l’ensemble, les politiques bien conçues de BYOD peuvent fonctionner tant que les utilisateurs n’ont aucun problème avec leurs dispositifs, c’est-à-dire du moment que ces appareils répondent aux (ou dépassent les) exigences en matière de sécurité (filtrage web, antivirus, mises à jour, etc.) et tant qu’ils ne risquent pas de porter atteinte à la confidentialité des données.
Si un utilisateur dispose d’informations sensibles concernant l’activité et la sécurité de l’entreprise stockées sur leurs propres appareils, ils doivent comprendre que l’appareil peut être effacé, vérifié, ou confisqué pour enquête si c’est jugé nécessaire.
Mon avis sur le BYOD est le suivant : L’appareil utilisé a-t-il une connexion Internet ? Oui ? Alors, il a le potentiel de poser problème en quelques secondes et doit être considéré comme un fusil chargé, armé et dangereux.
Peu importe la tâche pour laquelle l’appareil a été conçu, tout ce qui compte, c’est ce qu’il fait ; comment il se comporte ; comment et avec quels outils il a été construit.
En brouillant la définition du périmètre du réseau, à la fois physiquement et en termes de propriété des actifs, le BYOD a un impact significatif sur le modèle traditionnel de sécurité et de protection du réseau d’une entreprise.
La sécurité n’est pas quelque chose que l’on peut « perfectionner ».
C’est une tâche difficile. Même les équipes très talentueuses, disposant de budgets énormes et des experts de renommée mondiale, peuvent encore faire des erreurs lors d’une implémentation d’une solution de sécurité.
Alors, réfléchissez bien aux appareils que vous autorisez dans votre vie, vos bureaux, vos villes, vos maisons, car au bout du compte, c’est votre vie.
Vous serez peut-être intéressé par notre guide gratuit qui comprend des recommandations et des conseils sur la mise en place ou la restructuration de votre infrastructure réseau.
Peu importe le nombre de solutions de cybersécurité que vous avez déployées ou la maturité de votre programme de sécurité informatique, il est toujours essentiel d’élaborer un programme efficace pour sensibiliser à la sécurité vos salariés et s’assurer qu’ils reçoivent une formation pour reconnaître les menaces par email.
Les pirates informatiques utilisent maintenant des tactiques très sophistiquées pour installer des malwares, des ransomwares ou pour obtenir des informations d’identification.
Pour eux, la messagerie électronique est le moyen le plus efficace pour lancer une attaque.
Les entreprises sont les plus ciblées. Ce n’est qu’une question de temps avant qu’un email malveillant ne soit livré à la boîte de réception d’un de vos employés.
Il est donc essentiel que ces derniers soient formés à reconnaître les menaces par email et qu’on leur dise comment réagir lorsqu’un email suspect arrive dans leur boîte de réception.
Le fait de ne pas fournir une formation de sensibilisation à la sécurité à votre personnel équivaut à de la négligence et laissera un trou béant dans vos défenses contre les attaques informatiques.
Pour vous aider à vous mettre sur la bonne voie, nous avons dressé la liste des éléments clés d’un programme efficace de sensibilisation à la sécurité.
Éléments importants d’un programme efficace pour sensibiliser à la sécurité vos salariés
Faites participer la C-Suite
L’un des points de départ les plus importants est de s’assurer que la C-Suite est à bord.
Avec la participation du conseil d’administration, vous serez probablement en mesure d’obtenir des budgets plus importants pour votre programme de formation en sécurité et il devrait être plus facile de mettre votre plan en œuvre pour que tous les services de votre organisation puissent en bénéficier.
Dans la pratique, il peut être difficile de convaincre les cadres supérieurs d’appuyer un programme de sensibilisation à la sécurité.
L’une des meilleures tactiques à adopter pour maximiser les chances de succès est d’expliquer clairement l’importance de développer une culture de sécurité puis de l’étayer par les avantages financiers qui découlent d’un programme de sensibilisation efficace.
Fournir des données sur l’ampleur des attaques, le volume des emails de phishing et de emails malveillants envoyés et les coûts que d’autres entreprises ont dû assumer pour atténuer les attaques par email.
L’Institut Ponemon a mené plusieurs enquêtes d’envergure et fourni des rapports annuels sur le coût des cyberattaques et des atteintes à la protection des données.
C’est une bonne source concernant les attaques cybercriminels qui sont appuyés par des chiffres.
Les entreprises de formation à la sensibilisation à la sécurité constituent également une bonne source de statistiques pour argumenter l’importance d’une formation à la cybersécurité.
Présentez clairement l’information et montrez les avantages du programme et ce dont vous avez besoin pour en assurer le succès.
Obtenir la participation d’autres départements
Le service informatique ne devrait pas être le seul responsable de l’élaboration d’un programme efficace de sensibilisation à la sécurité.
D’autres départements peuvent également fournir de l’aide et être en mesure d’offrir du matériel supplémentaire.
Essayez d’obtenir l’appui du service du marketing, des ressources humaines, du service de la conformité et des agents de protection de la vie privée.
Les personnes extérieures à l’équipe de sécurité peuvent apporter une contribution précieuse non seulement en termes de contenu, mais également en termes de conduite de la formation pour obtenir les meilleurs résultats.
Élaborer un programme continu pour sensibiliser à la sécurité
Une séance de formation en salle de classe donnée une fois par an aurait peut-être été suffisante.
Mais compte tenu de l’évolution rapide des menaces et du volume d’emails de phishing envoyés par les pirates de nos jours, une séance de formation annuelle n’est plus suffisante.
La formation devrait être un processus continu offert tout au long de l’année, avec des renseignements à jour sur les menaces actuelles et nouvelles.
Chaque employé est différent, et même si les séances de formation en classe fonctionnent pour certains, elles ne fonctionnent pas pour tous.
Élaborez un programme de formation à l’aide de diverses méthodes de formation, y compris des séances de formation annuelles en classe, des séances de formation informatisées régulières.
Vous pouvez aussi avoir recours aux affiches, aux jeux, aux bulletins et alertes par email pour que les employés puissent garder à l’esprit les enjeux en matière de sécurité informatique.
Incitations aux jeux de hasard et d’argent
Identifiez les personnes qui ont suivi une formation, qui ont alerté l’organisation d’une nouvelle menace de phishing ou qui ont obtenu d’excellents résultats lors des séances de formation et des tests de sensibilisation à la sécurité.
Essayez de créer une concurrence entre les départements en publiant des informations détaillées sur ceux qui ont été particulièrement performants ou qui ont présenté le pourcentage le plus élevé d’employés ayant :
Terminé leur formation
Signalé le plus grand nombre de menaces de phishing
Réussi le plus grand nombre de tests ou identifié correctement le plus grand nombre d’emails de phishing.
Idéalement, la formation de sensibilisation à la sécurité devrait être agréable.
Si la formation est amusante, les employés sont plus susceptibles de vouloir y participer et de conserver les connaissances qu’ils ont acquises.
Utilisez des techniques de jeu et choisissez des fournisseurs de formation en sensibilisation à la sécurité qui offrent un contenu intéressant et attrayant.
Testez les connaissances en matières de sécurité des salariés grâce aux simulations de phishing par email
Vous pouvez organiser une séance de formation, mais si vous ne testez pas la capacité de vos employés en matière de cybercriminalité, vous ne saurez pas à quel point votre programme de formation a été efficace et si vos employés ont été attentifs.
Avant de commencer votre programme de formation, il est important d’avoir une base de référence qui vous permettra de mesurer son succès.
Pour ce faire, vous pouvez utiliser des questionnaires de sécurité et effectuer des exercices de simulation de phishing.
La réalisation d’exercices de simulation utilisant des exemples réels d’emails de phishing après la formation mettra en évidence les employés qui sont des titans de la sécurité et ceux qui ont besoin de formation supplémentaire.
Un exercice de simulation de phishing raté peut être considéré comme une occasion d’organiser une nouvelle formation.
La comparaison des résultats avant et après le programme montrera les avantages de votre programme et pourrait vous aider à obtenir plus de financement.
Formez régulièrement vos employés et testez leur niveau de compréhension.
Dans un laps de temps relativement court, vous pouvez développer un pare-feu humain hautement efficace qui complète vos défenses technologiques en matière de cybersécurité.
Si un email malveillant passe votre filtre antispam, vous pouvez être sûr que vos employés auront les compétences nécessaires pour reconnaître la menace et alerter votre équipe de sécurité.
Les cybercriminels changent constamment de tactiques pour tromper les employés dans le but de les amener à cliquer sur des liens malveillants ou à divulguer leurs informations d’identification.
Pendant la pandémie, de nombreux escrocs ont abandonné leurs campagnes éprouvées en utilisant des leurres classiques à thème commercial, tels que :
De fausses factures
Des bons de commande
Des avis d’expédition.
Ces leurres sont d’actualité et ciblent les personnes qui sont avides d’informations sur le coronavirus.
La nouvelle campagne de phishing COVID-19
Une nouvelle campagne de phishing a vu le jour: elle tire parti des nouvelles pratiques commerciales dues au COVID-19.
De nombreux employés travaillent actuellement à distance, même si leurs employeurs ont commencé à rouvrir leurs bureaux.
Pendant la pandémie, les employés se sont habitués à recevoir régulièrement des mémos et des mises à jour internes de leur entreprise.
La nouvelle campagne de phishing cible le département des ressources humaines d’une entreprise lors de laquelle les pirates envoient des e-mails automatisés, similaires aux messages que les employés sont habitués à recevoir.
Les e-mails prétendent contenir des pièces jointes de messagerie vocale, qui seront également familières à de nombreux travailleurs à distance.
Les pièces jointes au format HTML sont personnalisées avec le nom du destinataire afin de rendre le message plus crédible.
Si la pièce jointe est ouverte, l’utilisateur se verra présenter un lien sur lequel il devra cliquer pour recevoir les informations sur l’entreprise.
Lors de cette campagne, il s’agissait d’un lien SharePoint, bien que d’autres services dans le cloud puissent être utilisés de la même manière.
Le lien dirige l’utilisateur vers SharePoint et fournit une mise à jour sur la politique de travail à distance de l’entreprise.
Après avoir lu le message, le travailleur est tenu de cliquer sur un lien qui le dirige vers la page de phishing proprement dite où sont recueillies des informations sensibles.
Les messages envoyés lors de cette campagne sont très réalistes.
La fausse politique de travail à distance est bien écrite et plausible et stipule que si les employés souhaitent continuer à travailler à domicile après la pandémie, ils doivent remplir un formulaire de leur département de ressources humaines afin de fournir un avis écrit.
Le formulaire Excel hébergé par SharePoint-Host, où l’utilisateur est dirigé, est également plausible, mais en plus de la demande de continuer à travailler à domicile, l’utilisateur doit fournir ses références d’e-mail.
Une campagne de phishing offre une aide financière du gouvernement aux travailleurs affectés par le COVID-19
Une autre campagne de phishing a été identifiée.
Elle est également liée à la pandémie, en usurpant l’identité des agences gouvernementales et en offrant une aide financière liée à la pandémie aux personnes qui ne peuvent plus travailler en raison des restrictions liées au COVID-19 ou celles qui ont été affectées d’une autre manière.
Cette campagne a ciblé les citoyens américains, bien que d’autres campagnes similaires puissent être menées dans d’autres pays.
Dans cette campagne, dont le sujet est « Le gouvernement américain doit accorder aux citoyens une aide financière d’urgence », le message indique que le gouvernement a commencé à verser des indemnités en espèces en octobre 2020.
Le message précise que le paiement n’est accordé qu’aux résidents des États-Unis et que le montant maximum est de 5 800 dollars.
Un lien est fourni dans l’e-mail sur lequel l’utilisateur doit cliquer pour faire une demande de subvention. L’e-mail indique qu’il sera examiné par un représentant de l’assistance qui enverra une réponse personnelle dans les 24 heures. L’utilisateur doit saisir son nom, sa date de naissance, son adresse, ses coordonnées, son numéro de sécurité sociale et son numéro de permis de conduire sur un second formulaire.
Le phishing : le type de cybercriminalité le plus courant
Une récente enquête menée par Clario et Demos a confirmé que le phishing et les attaques lancées via la messagerie électronique sont les types de cybercriminalité les plus courants signalés aux États-Unis et au Royaume-Uni.
La pandémie a facilité le succès des attaques de phishing. Les cybercriminels profitent de l’incertitude quant aux changements apportés aux nouvelles méthodes de travail à cause de la pandémie.
De nombreuses personnes travaillent seules à la maison sans un niveau de soutien en matière de protection contre les cybercriminalités. De nombreuses vulnérabilités ont donc été introduites à la suite du passage au travail à domicile.
Les entreprises peuvent mieux protéger leurs employés en utilisant des solutions de filtrage du courrier électronique et du web basées dans le cloud.
Ces solutions fonctionnent en tandem pour bloquer les e-mails malveillants, les attaques de phishing et des campagnes de distribution de malwares.
Une solution de filtrage du courrier électronique basée dans le cloud peut filtrer la majorité des messages malveillants et maintient les boîtes de réception à l’abri des menaces en ligne.
Un filtre web empêchera également les utilisateurs finaux de visiter des liens malveillants, de télécharger des pièces jointes malveillantes ou de visiter des sites web malveillants lorsqu’ils travaillent au bureau ou à distance.
TitanHQ a développé deux solutions de sécurité du web et du courrier électronique faciles à utiliser, faciles à mettre en œuvre et très efficaces pour protéger les travailleurs au bureau et à distance contre toutes les menaces du web et du courrier électronique, y compris les e-mails de phishing et les attaques de type « zero day ».
