Cybersécurité : ce que tout PDG et directeur financier devrait savoir

Résumé

Introduction

Considérez la [cybersécurité] davantage comme la sûreté et la sécurité des routes et des voitures. La voiture n'a pas vraiment changé au cours des 30 dernières années, mais beaucoup de sécurité est intégrée, et elle n'est pas sexy jusqu'au moment où elle vous sauve la vie. Vous avez des éléments qui sont cachés - des airbags - et des éléments qui vous rappellent d'être en sécurité comme les ceintures de sécurité… Certains d'entre eux concernent un bon comportement et une bonne attitude, d'autres concernent la sécurité physique pour vous rappeler qu'il y a un risque, et une partie est cuite pour vous sauver.

– Sian John, stratège senior en cybersécurité chez Symantec

Nous l'admettrons. La cybersécurité n'est pas sexy. Cependant, à l'ère numérique d'aujourd'hui, la cybersécurité est devenue de plus en plus critique pour les grandes entreprises comme pour les petites startups. Aujourd'hui, les enjeux sont plus importants que jamais, car "chaque entreprise est devenue une entreprise de technologie". La technologie est devenue plus qu'un complément aux opérations d'une entreprise et, dans de nombreux cas, les actifs vivant sur leur réseau sont leurs activités principales. Cela est aggravé par le fait que les piratages deviennent monnaie courante en raison de l'essor de l'utilisation mobile et de l'Internet des objets, ainsi que de l'écosystème croissant des cybercriminels.

Cet article décrit les types de cybercriminels, les tactiques de cybercriminalité et les facteurs contributifs. La pièce comprend également des solutions tangibles que les entreprises peuvent utiliser pour se protéger. Les solutions incluent à la fois des garanties technologiques et des composants humains. Par exemple, la direction doit reconnaître la cybersécurité comme un problème commercial stratégique et pas seulement comme un « problème informatique ». De plus, certaines des solutions les plus efficaces sont assez basiques, comme la formation des employés ou l'authentification à deux facteurs pour les utilisateurs.

Qu'est-ce qu'un cybercrime ?

En termes simples, un cybercrime est un crime comportant une sorte d'aspect informatique ou cybernétique. Il peut prendre forme dans une variété de formats, et d'individus ou de groupes avec différents facteurs de motivation. Les cybermenaces sont des risques fondamentalement asymétriques dans la mesure où de petits groupes d'individus peuvent causer des dommages disproportionnés.

Catégories de cybercriminels

1. Groupes criminels organisés à motivation financière : la plupart de ces groupes sont situés en Europe de l'Est

2. Acteurs de l'État-nation : personnes travaillant directement ou indirectement pour leur gouvernement afin de voler des informations sensibles et de perturber les capacités de leurs ennemis. Ce sont généralement les cyber-attaquants les plus sophistiqués, avec 30 % originaires de Chine.

3. Les groupes d'activistes, ou « hacktivistes » : ne sont généralement pas là pour voler de l'argent. Ils sont là pour promouvoir leur religion, leur politique ou leur cause ; d'avoir un impact sur la réputation ou d'avoir un impact sur les clients.

4. Insiders : ce sont les employés "désillusionnés, soumis à un chantage ou même trop serviables" qui opèrent au sein d'une entreprise. Cependant, ils ne peuvent pas s'engager intentionnellement dans des activités cybercriminelles ; certains pourraient simplement prendre une liste de contacts ou un document de conception sans se rendre compte du mal que cela pourrait causer.

L'âge moyen d'un cybercriminel est de 35 ans et 80 % des hackers criminels sont affiliés au crime organisé. En bref, les gens choisissent cela comme profession.

Tactiques de cybercriminalité

Les cybercriminels utilisent à la fois des méthodes statiques et dynamiques pour commettre leurs crimes. Approfondissons.

Déni de service distribué (DDoS)

Une attaque DDoS tente de perturber le service d'un réseau. Les attaquants envoient de gros volumes de données ou de trafic sur le réseau jusqu'à ce qu'il soit surchargé et cesse de fonctionner. Le trafic entrant qui inonde la victime provient de nombreuses sources différentes, potentiellement des centaines de milliers. Cela rend impossible l'arrêt de l'attaque en bloquant une seule adresse IP et rend difficile la distinction entre le trafic légitime et le trafic d'attaque.

Hameçonnage

Se présentant souvent comme une demande de données d'un tiers de confiance, les attaques de phishing sont envoyées par e-mail et demandent aux utilisateurs de cliquer sur un lien et de saisir leurs données personnelles. Cela implique souvent une manipulation psychologique, invoquant l'urgence ou la peur, trompant des individus sans méfiance pour qu'ils transmettent des informations confidentielles.

Il y a quelques facteurs concernant. Premièrement, les e-mails de phishing sont devenus sophistiqués et ressemblent souvent à des demandes d'informations légitimes. Deuxièmement, la technologie de phishing est désormais concédée sous licence aux cybercriminels, y compris les services de phishing à la demande et les kits de phishing prêts à l'emploi. Le plus préoccupant est peut-être le fait que les services Web sombres ont permis aux cybercriminels d'affiner leurs campagnes et leurs compétences. En fait, les e-mails de phishing sont six fois plus susceptibles d'être cliqués que les e-mails de marketing grand public classiques.

Logiciels malveillants

Les logiciels malveillants, abréviation de « logiciel malveillant », sont conçus pour accéder à un ordinateur ou l'endommager. Malware est un terme générique désignant une multitude de cybermenaces, notamment les chevaux de Troie, les virus et les vers. Il est souvent introduit dans un système par le biais de pièces jointes à des e-mails, de téléchargements de logiciels ou de vulnérabilités du système d'exploitation.

Abus de privilège interne

Alors que les initiés malveillants qui divulguent des informations à WikiLeaks reçoivent toute la presse et la gloire, un scénario plus courant est qu'un employé ou un utilisateur final moyen mais opportuniste prend secrètement des données confidentielles dans l'espoir d'encaisser quelque part sur la ligne (60% du temps) . Parfois, les employés deviennent un peu trop curieux et fouinent un peu (17 %). Les informations personnelles et les dossiers médicaux (71 %) sont ciblés pour des crimes financiers, tels que le vol d'identité ou la fraude aux déclarations de revenus, mais parfois c'est simplement pour des commérages.

Skimmers de cartes physiques

Ces attaques comprennent l'implantation physique sur un actif qui lit les données de la bande magnétique d'une carte de paiement (par exemple, des guichets automatiques, des pompes à essence, des terminaux de point de vente). Il est relativement rapide et facile de mener une attaque comme celle-ci, avec un potentiel de rendement relativement élevé - et c'est donc un type d'action populaire (8%).

Conséquences et coûts de la cybersécurité

Coûts pour les entreprises

Il y a trois ans, le Wall Street Journal estimait que le coût de la cybercriminalité aux États-Unis était de 100 milliards de dollars. D'autres rapports ont estimé que le chiffre était jusqu'à dix fois plus élevé que cela. En 2017, le coût moyen d'une violation de données est de 7,35 millions de dollars, contre 5,85 dollars en 2014. Les coûts comprennent tout, depuis la détection, le confinement et la récupération jusqu'à l'interruption des activités, la perte de revenus et les dommages matériels. Au-delà des préoccupations financières, une cyber-violation peut également ruiner des biens incorporels, tels que la réputation d'une entreprise ou la clientèle.

Fait intéressant, les entreprises ayant les niveaux d'innovation commerciale les plus élevés ont souvent des attaques plus coûteuses. Une « innovation commerciale » peut aller d'une acquisition ou d'une cession à l'entrée sur un nouveau marché géographique. Il a été démontré qu'une acquisition ou une cession d'entreprise augmentait le coût de la cybercriminalité de 20 %, tandis que le lancement d'une nouvelle application importante augmentait le coût de 18 %.

Pour les entreprises de services financiers, les coûts après une faille de sécurité peuvent être attribués à une interruption des activités, une perte d'informations, une perte de revenus et d'autres coûts.

La cybersécurité est prononcée pour le secteur des services financiers

La triste vérité est que, même si aucune industrie n'est à l'abri, les problèmes de cybersécurité sont particulièrement prononcés pour les services financiers. Selon le rapport Verizon Data Breach Investigations 2017, 24 % des violations ont touché les organisations financières (le premier secteur), suivies par les soins de santé et le secteur public. À titre de comparaison, en 2012, l'industrie se classait au troisième rang, après la défense et les industries des services publics et de l'énergie. Au-delà de la fréquence, le coût de financement des entreprises est le plus élevé de toutes les industries, perdant en moyenne 16,5 millions de dollars en 2013.

Dans les services financiers, le type de cyber-violation le plus courant impliquait des attaques DDoS. Et, comme pour toutes les attaques DDoS, le secteur financier a été le plus durement touché.

Célèbres piratages de services financiers

Attaque de six banques américaines (2012)

En 2012, six grandes banques américaines (Bank of America, JPMorgan Chase, Citigroup, US Bank, Wells Fargo et PNC) ont été la cible d'une vague d'attaques informatiques par un groupe revendiquant des liens avec le Moyen-Orient. Les attaques ont provoqué des pannes d'Internet et des retards dans les services bancaires en ligne, ce qui a rendu les clients frustrés qui ne pouvaient pas accéder à leurs comptes ou payer leurs factures en ligne.

Il s'agissait d'attaques DDoS, où les pirates ont submergé les sites Web des banques au point de les fermer. Les attaques ont également utilisé des botnets, des réseaux d'ordinateurs infectés qui obéissent aux criminels. Parfois, les botnets sont appelés « ordinateurs zombies » qui obéissent aux commandes d'un « maître botnet ». Malheureusement, ceux-ci peuvent être loués sur le marché noir ou prêtés par des criminels ou des gouvernements.

JPMorgan (2014)

À l'été 2014, lors de la plus grande faille de sécurité d'une banque américaine à ce jour, les noms, adresses, numéros de téléphone et adresses e-mail d'environ 83 millions de comptes ont été compromis par des pirates. Ironiquement, JPMorgan dépense environ 250 millions de dollars chaque année pour la sécurité informatique. La violation de 2014 n'était pas le résultat d'un stratagème sophistiqué. L'attaque n'a pas utilisé une attaque du jour zéro, le nouveau bogue logiciel qui se vend pour des millions sur le marché noir. Il n'a pas non plus utilisé de logiciels malveillants que les pirates nord-coréens ont utilisés dans leur cyberattaque contre Sony. Au contraire, la source du problème était basique : la banque n'a pas utilisé l'authentification à deux facteurs, qui est une couche de sécurité supplémentaire lorsque les utilisateurs se connectent pour accéder à des données ou à une application. L'équipe de sécurité de JPMorgan a négligé de mettre à niveau l'un de ses serveurs réseau avec le système de double mot de passe - c'est tout ce qu'il a fallu.

Système de paiement SWIFT (2016)

En février 2016, la Society for Worldwide Interbank Financial Telecommunication (SWIFT), un consortium international de plus de 11 000 banques qui facilite les virements transfrontaliers, a été piratée. La Bangladesh Bank, un utilisateur du réseau SWIFT, a été piratée pour un montant de 81 millions de dollars. Seule une petite partie a été récupérée avant que la Federal Reserve Bank de New York ne bloque 30 autres transactions qui auraient pu transférer 850 millions de dollars supplémentaires.

Ces attaques montrent que les réseaux de paiement ne sont aussi dignes de confiance que leur maillon le plus faible. Beaucoup dans l'industrie n'ont pas été surpris par l'attaque. Selon Justin Clarke-Salt, co-fondateur de Gotham Digital Science, une société de cybersécurité, les attaques ont exploité une faiblesse du système : toutes les institutions ne protègent pas l'accès à SWIFT de la même manière. Après tout, « les attaquants s'attaquent souvent à des personnes plus faciles à attaquer… Jusqu'à présent, loin de ce que nous savons qui a été rapporté publiquement, ils ont très largement ciblé les petites institutions financières. C'est probablement parce qu'ils ont des contrôles moins sophistiqués.

Les petites ou les grandes entreprises sont-elles plus vulnérables ?

Bien que l'actualité couvre souvent les attaques contre les plus grandes entreprises (Target, Yahoo, Home Depot, Sony), les petites entreprises ne sont pas à l'abri. Au cours des 12 derniers mois, les pirates ont piraté la moitié de toutes les petites entreprises aux États-Unis, selon le rapport 2016 sur l'état de la cybersécurité des PME.

D'une part, selon certains, les petites entreprises peuvent ne pas être en mesure de se remettre d'une cyberattaque**. **Selon Sian John, stratège senior en cybersécurité chez Symantec, les entreprises confrontées à un problème de sécurité subissent un "coup massif de réputation et financier" pour les entreprises dans l'année qui suit, avant de revenir à la normale. Elle a demandé: "Si vous êtes une petite entreprise, pouvez-vous survivre à cette baisse?"

D'un autre côté, d'autres affirment que les petites entreprises ont un avantage : "Une grande entreprise est plus vulnérable qu'une petite entreprise : elles ont de grands pools de données et des centaines de personnes doivent y avoir accès... Si vous êtes à l'extrémité la plus petite du échelle, être intelligent sur les processus métier et comprendre où ces processus métier pourraient être exploités est plus facile que pour une grande organisation », a déclaré Richard Horne, associé chez PricewaterhouseCoopers.

Défis de cybersécurité

Facteurs contribuant à l'augmentation de la cybercriminalité

Une race « d'entreprise » de cybercriminels a émergé

Les cybercriminels adoptent désormais les meilleures pratiques des entreprises pour accroître l'efficacité de leurs attaques. Certains des criminels les plus entreprenants vendent ou autorisent des outils de piratage à des criminels moins avertis. Par exemple, les criminels professionnels vendent des technologies zero-day aux criminels sur le marché libre, où elles sont rapidement banalisées. Les gangs proposent également des rançongiciels en tant que service, qui gèlent les fichiers informatiques jusqu'à ce que la victime réponde aux exigences monétaires, puis prennent une part pour fournir la licence.

Il existe désormais tout un écosystème de ressources que les cybercriminels peuvent exploiter. « Les groupes d'attaque criminels avancés font désormais écho aux compétences des attaquants des États-nations. Ils disposent de ressources étendues et d'un personnel technique hautement qualifié qui fonctionne avec une telle efficacité qu'ils maintiennent des heures de bureau normales et prennent même les week-ends et les jours fériés… Nous voyons même des attaquants criminels de bas niveau créer des opérations de centre d'appels pour augmenter l'impact de leur escroqueries », a déclaré Kevin Haley, directeur chez Symantec.

Sécurité des fournisseurs tiers

Si un tiers est piraté, votre entreprise risque de perdre des données commerciales ou de compromettre les informations sur les employés. Par exemple, la violation de données Target de 2013 qui a compromis 40 millions de comptes clients résultait du vol d'informations d'identification réseau à un fournisseur tiers de chauffage et de climatisation. Une étude de 2013 a indiqué que 63 % des enquêtes sur les violations de données de cette année étaient liées à un composant tiers.

Utilisation accrue des technologies mobiles par les clients

En raison du nombre croissant de cibles en ligne, le piratage est devenu plus facile que jamais. Dans les services bancaires aux consommateurs, l'utilisation des appareils mobiles et des applications a explosé. Selon une étude de Bain & Company de 2014, le mobile est le canal bancaire le plus utilisé dans 13 des 22 pays et représente 30 % de toutes les interactions dans le monde. De plus, les consommateurs ont adopté les systèmes de paiement mobile. Pour les banques en concurrence avec les startups fintech, la commodité du client restera importante. Ils devront peut-être peser les pertes potentielles dues à la fraude avec les pertes résultant d'une expérience utilisateur plus gênante. Certaines institutions utilisent une authentification avancée pour faire face à ces risques de sécurité supplémentaires, permettant aux clients d'accéder à leurs comptes via la reconnaissance vocale et faciale.

Prolifération de l'Internet des objets (IoT)

L'Internet des objets (IoT) est consacré à l'idée qu'un large éventail d'appareils, y compris des appareils, des véhicules et des bâtiments, peuvent être interconnectés. Par exemple, si votre réveil sonne à 7h00, il pourrait automatiquement avertir votre cafetière de commencer à préparer du café pour vous. L'IoT s'articule autour de la communication machine à machine ; il est mobile, virtuel et offre des connexions instantanées. Il y a plus d'un milliard d'appareils IoT en service aujourd'hui, un nombre qui devrait dépasser 50 milliards d'ici 2020. Le problème est que de nombreux appareils intelligents moins chers manquent souvent d'une infrastructure de sécurité appropriée. Lorsque chaque technologie présente un risque élevé, le risque augmente de façon exponentielle lorsqu'il est combiné.

Sensibilisation à la cybersécurité par rapport à la préparation à l'adresse

Malgré les gros titres sur la cybersécurité et ses menaces, il reste un écart entre la sensibilisation des entreprises et leur préparation à y faire face. Au cours de la dernière année, les pirates ont piraté la moitié de toutes les petites entreprises américaines. Dans l'enquête 2013 du Ponemon Institute, 75 % des répondants ont indiqué qu'ils n'avaient pas de plan formel de réponse aux incidents de cybersécurité. 66 % des répondants n'étaient pas confiants dans la capacité de leur organisation à se remettre d'une attaque. En outre, une enquête réalisée en 2017 par la société de cybersécurité Manta a indiqué qu'une petite entreprise sur trois n'a pas les outils en place pour se protéger.

D'un point de vue tactique, les sociétés de services financiers ont beaucoup à améliorer en termes de détection et de réponse aux attaques. En 2013, 88% des attaques initiées contre les entreprises FS réussissent en moins d'une journée. Cependant, seuls 21 % d'entre eux sont découverts en une journée et, dans la période post-découverte, seuls 40 % d'entre eux sont restaurés dans un délai d'une journée.

Les solutions de cybersécurité nécessitent une approche à plusieurs volets

Il n'existe pas de solution « taille unique » à la cybersécurité. Cependant, en général, les solutions doivent inclure à la fois une technologie sophistiquée et des composants plus «humains» tels que la formation des employés et la priorisation dans la salle de conférence.

Renseignements exploitables sur les menaces

Intelligence en temps réel :

L'intelligence en temps réel est un outil puissant pour prévenir et contenir les cyberattaques. Plus il faut de temps pour identifier un piratage, plus ses conséquences sont coûteuses. Une étude réalisée en 2013 par le Ponemon Institute a révélé que les responsables informatiques estiment que moins de 10 minutes de notification préalable d'une faille de sécurité suffisent pour désactiver la menace. Avec seulement 60 secondes de notification d'un compromis, les coûts résultants pourraient être réduits de 40 %.

Selon James Hatch, directeur des cyberservices chez BAE Systems, « Détecter [une cyberattaque] tôt est la clé… Cela pourrait faire la différence entre perdre 10 % de vos [ordinateurs] et 50 % ». Malheureusement, dans la réalité, il faut en moyenne plus de sept mois aux entreprises pour découvrir une attaque malveillante.

Actions complémentaires :

Les entreprises peuvent prendre plusieurs petites mesures tactiques pour se protéger. Ceux-ci inclus:

• Adopter une stratégie de défense à plusieurs niveaux. Assurez-vous qu'il couvre l'ensemble de votre entreprise, tous les terminaux, appareils mobiles, applications et données. Dans la mesure du possible, utilisez le cryptage et l'authentification à deux ou trois facteurs pour l'accès au réseau et aux données.

• Effectuer une évaluation de fournisseur tiers ou créer des accords de niveau de service avec des tiers : mettez en œuvre une politique de « moindre privilège » concernant les personnes et les éléments auxquels les autres peuvent accéder. Prenez l'habitude de revoir l'utilisation des informations d'identification avec des tiers. Vous pouvez même aller plus loin avec un accord de niveau de service (SLA), qui oblige contractuellement les tiers à se conformer aux politiques de sécurité de votre entreprise. Votre SLA devrait donner à votre entreprise le droit de vérifier la conformité du tiers.

• Sauvegarde continue des données. Cela peut aider à se protéger contre les ransomwares, qui gèlent les fichiers informatiques jusqu'à ce que la victime réponde aux exigences financières. La sauvegarde des données peut s'avérer critique si vos ordinateurs ou serveurs sont verrouillés, car vous n'auriez pas à payer pour accéder à vos données.

• Patcher fréquemment. Un correctif logiciel est une mise à jour du code dans un logiciel existant. Il s'agit souvent de correctifs temporaires entre les versions complètes du logiciel. Un correctif peut corriger un bogue logiciel, résoudre une nouvelle vulnérabilité de sécurité, résoudre des problèmes de stabilité logicielle ou installer de nouveaux pilotes.

• Applications logicielles de liste blanche. La liste blanche d'applications empêcherait les ordinateurs d'installer des logiciels non approuvés. Cela permet aux administrateurs d'avoir beaucoup plus de contrôle.

Assurance anti-piratage

Une tendance émergente est l'assurance anti-piratage, ou cyber-assurance. Sa portée varie selon les fournisseurs, mais protège généralement contre les failles de sécurité et les pertes. Les assureurs limitent généralement leur capacité entre 5 et 100 millions de dollars par client. En octobre 2016, seulement 29 % des entreprises américaines avaient souscrit une cyber-assurance. Cependant, le marché global de la cyberassurance est estimé à 20 milliards de dollars d'ici 2025, contre 3,25 milliards de dollars aujourd'hui. Les assureurs sont optimistes, estimant que les primes vont tripler au cours des prochaines années.

Pour qu'une organisation puisse déterminer le montant d'assurance cyber dont elle a besoin, elle doit mesurer son cyber-risque. Il doit comprendre comment leurs actifs sont impactés par une cyberattaque et comment les hiérarchiser.

Programmes Bug Bounty

Une autre nouvelle idée dans l'industrie est ce qu'on appelle un programme de primes de bogues, où une organisation paie des étrangers (« hackers amicaux ») pour l'informer des failles de sécurité. Des entreprises allant de Google et Dropbox à AT&T et LinkedIn ont déjà adopté cette pratique.

N'oubliez pas la composante humaine

• Un « problème informatique » devient un problème métier stratégique. Pour de nombreux PDG et directeurs financiers, le piratage peut être frustrant car ils ne comprennent pas l'ennemi. Selon Richard Anderson, président de l'Institute of Risk Management, "Il y a encore beaucoup de gens assis à cheval sur de grandes entreprises qui considèrent toujours cela comme quelque chose dont les geeks s'occupent, plutôt que comme un problème commercial." Cependant, comme les statistiques l'ont démontré, cela ne pourrait pas être plus éloigné de la vérité.

  Un livre blanc de Deloitte suggère de créer une équipe dédiée à la gestion des cybermenaces et de créer une «culture consciente des cyberrisques». Il est également recommandé aux organisations de désigner un responsable de la sécurité de l'information (CISO). Par exemple, ni JPMorgan ni Target n'avaient de RSSI lorsqu'ils ont été violés en 2014 et 2013, respectivement.

• Retour aux fondamentaux : formation des employés. Les violations de données sont souvent le résultat de faiblesses psychologiques humaines. Il est donc essentiel d'éduquer vos employés sur les signes avant-coureurs des failles de sécurité, les pratiques de sécurité (être prudent lors de l'ouverture des pièces jointes, où ils surfent) et comment réagir à une prise de contrôle suspectée.

Pensées d'adieu

Une réfutation courante à l'attention croissante portée aux dangers de la cybersécurité est la suivante : « Et alors ? Sommes-nous censés arrêter d'innover par peur des attaques ? » La réponse est, pas exactement. Cependant, il pourrait être utile pour les entreprises de considérer la cybersécurité comme une question d'éthique. Autrement dit, la cybersécurité ne devrait pas être simplement une question de technologie, mais aussi de moralité. Après tout, est-il éthique de créer et de vendre une technologie qui rend les consommateurs vulnérables ? Avec la culture « croissance ou mort » de la Silicon Valley et parfois à courte vue, il s'agit probablement d'une attitude impopulaire.

Cependant, il existe des précédents dans d'autres secteurs. Par exemple, l'American Medical Association et l'American Bar Association exigent que les professionnels suivent leurs codes d'éthique respectifs. Les médecins doivent prêter le serment d'Hippocrate, l'un des plus anciens documents contraignants de l'histoire, qui oblige les médecins à s'engager à protéger leurs patients. De même, les avocats suivent un modèle de règles de conduite professionnelle, s'engageant à protéger et à respecter leurs clients.

Nous ferions tous bien de nous rappeler que même si la technologie peut aller et venir, le bien et le mal ne changent jamais.