Comprendre le paysage de la cybersécurité en 2021
Publié: 2022-03-11Vous avez peut-être entendu le dicton : « Ne laissez jamais une crise se perdre. Malheureusement, les pirates ont pris cette notion à cœur pendant le COVID-19. Le nombre de cyberattaques a grimpé en flèche alors que les pirates exploitaient à plusieurs reprises des portes dérobées vulnérables dans les systèmes d'entreprise au milieu de la distraction causée par la pandémie. Les cibles comprenaient les soins de santé, les services financiers et les institutions du secteur public comme l'Organisation mondiale de la santé. Les attaques contre le secteur financier ont augmenté de 238 % dans le monde entre février et avril 2020.
Selon Alissa Abdullah, directrice adjointe de la sécurité chez Mastercard et ancienne directrice informatique adjointe à la Maison Blanche sous le président Barack Obama, le COVID-19 et le passage au travail virtuel qui en a résulté « ont changé les opportunités de l'adversaire et ont déplacé son attention sur certains des autres outils que nous utilisons.
Les pirates ont également attaqué les plateformes de collaboration. En avril 2020, les pirates ont mis la main sur plus de 500 000 noms d'utilisateur et mots de passe de compte Zoom, et les ont vendus sur des forums de crime sur le dark web pour aussi peu qu'un centime par compte ; certaines informations ont simplement été données. Des cyberattaques impliquant le vaccin COVID-19 ont également émergé ; en décembre 2020, l'Agence européenne des médicaments a signalé que certaines données sur le vaccin Pfizer/BioNTech COVID-19 avaient été volées lors d'une cyberattaque. À peu près au même moment, IBM a tiré la sonnette d'alarme sur les pirates ciblant les entreprises essentielles à la distribution du vaccin COVID-19.
Attendez-vous à ce que davantage de cyberattaques se produisent plus rapidement
Les cyberattaques et leurs coûts associés ne feront que continuer à s'accélérer. Considérez ce qui suit : Cybersecurity Ventures prévoit que les cyberattaques se produiront toutes les 11 secondes en 2021, soit près du double du taux de 2019 (toutes les 19 secondes) et quatre fois le taux de 2016 (toutes les 40 secondes). On estime que la cybercriminalité coûte désormais au monde 6 000 milliards de dollars par an, soit le double du total de 3 000 milliards de dollars en 2015. D'ici 2025, la cybercriminalité devrait coûter au monde 10,5 billions de dollars par an.
Le prix des cybercrimes comprend le vol de propriété intellectuelle et de données personnelles et financières, ainsi que l'argent réel, ainsi que le coût des perturbations de l'activité après l'attaque, la perte de productivité et l'atteinte à la réputation, entre autres choses, explique Steve Morgan, fondateur des entreprises de cybersécurité. En plus de ces conséquences directes, les coûts cachés de la cybercriminalité comprennent également l'augmentation des primes d'assurance, la baisse des cotes de crédit et les frais juridiques dus aux clients qui engagent des poursuites.
Un rapport IBM Security de 2020 qui a interrogé 524 organisations piratées dans 17 pays et 17 secteurs a indiqué que le coût moyen d'une violation de données était de 3,86 millions de dollars et qu'il fallait en moyenne 280 jours pour la contenir. Les conséquences peuvent durer des années après l'incident.
Attaqué : Spear Phishing, ingénierie sociale et vishing
Au Royaume-Uni en 2019, 90 % des violations de données étaient dues à une erreur humaine. Pendant la pandémie, les employés ont été préoccupés par un stress personnel et financier amplifié, ce qui les a rendus plus vulnérables au spear phishing - un type de phishing qui cible des personnes ou des groupes spécifiques au sein d'une organisation - et aux attaques «d'ingénierie sociale» conçues pour manipuler psychologiquement les individus afin qu'ils révèlent information sensible.
Plus précisément, les attaques d'ingénierie sociale visent à inciter les employés à faire quelque chose qui semble légitime mais qui ne l'est pas. Bien que les entreprises forment généralement leurs employés à identifier les demandes frauduleuses, dans les circonstances anormales de la pandémie, il est devenu plus difficile pour les employés de différencier les escroqueries des demandes légitimes.
"Tout le monde sait que vous ne pouvez pas prendre une clé USB dans un parking [et la mettre dans votre ordinateur], mais former des employés sophistiqués sur de faux e-mails de patrons reste un vrai problème", explique Thomas Ruland, expert financier au Toptal. réseau et responsable des finances et des opérations chez Decentriq, une entreprise spécialisée dans le partage et la collaboration sécurisés des données. « Lorsque vous n'êtes pas dans le même bureau, le partage accidentel de données peut se produire plus souvent. Lorsque des personnes travaillent dans le même bureau physique, vous pouvez simplement demander : "Hé, avez-vous vraiment envoyé ceci ?" mais c'est plus difficile à analyser lorsque l'on travaille à domicile.
Le problème du « vishing » (hameçonnage vocal) a également été exacerbé par la pandémie, les attaquants utilisant des appels pour obtenir des informations d'identification VPN ou d'autres informations sensibles auprès des employés. Les escroqueries par vishing tentent souvent de paraître légitimes en fournissant aux victimes potentielles des informations personnelles précises, telles que le numéro de sécurité sociale ou le numéro de compte bancaire d'un individu. Une quantité surprenante d'autres informations personnelles sont accessibles au public pour les attaquants, qui n'ont qu'à parcourir les plateformes de médias sociaux ou d'autres sites Web associés pour accéder à ces détails.
Exploiter les points faibles de la sécurité du cloud
Le COVID-19 a stimulé l'adoption précipitée de nouvelles technologies alors que les organisations ont institué de nouveaux processus numériques au milieu de la perturbation du travail au bureau. Aux premiers stades de la pandémie, de nombreuses entreprises n'avaient d'autre choix que d'accepter de nouveaux risques, notamment des normes de contrôle réduites, pour maintenir leurs activités.
L'adoption généralisée du cloud a été l'un des principaux résultats de ces changements rapides et spectaculaires. Dans son rapport 2021 sur l'état du cloud, Flexera a constaté que les demandes de travail à distance poussaient plus de la moitié du groupe interrogé à augmenter leur utilisation du cloud au-delà de ce qui avait été prévu. D'autres répondants ont indiqué que leurs organisations pourraient accélérer la migration compte tenu des difficultés d'accès aux centres de données traditionnels et des retards dans leurs chaînes d'approvisionnement. Alors que 20 % des entreprises ont révélé que leurs dépenses annuelles dans le cloud dépassaient 12 millions de dollars, soit une augmentation de 7 % par rapport à l'année précédente, 74 % ont déclaré que leurs coûts dépassaient 1,2 million de dollars, contre 50 % l'année précédente.
Malheureusement, les mesures prises dans des délais et des pressions opérationnelles extrêmes ont inévitablement entraîné des lacunes en matière de cybersécurité. Et 75 % des personnes interrogées dans le rapport 2020 sur la sécurité dans le cloud de Cybersecurity Insiders ont indiqué qu'elles étaient soit « très préoccupées » soit « extrêmement préoccupées » par la sécurité du cloud public. Les problèmes de sécurité du cloud sont encore exacerbés lorsque les organisations utilisent deux ou plusieurs fournisseurs de cloud public, comme le font 68 % des répondants.
Les experts en sécurité et les employeurs sont principalement préoccupés par trois défis liés à la sécurité du cloud. Premièrement, la mauvaise configuration du cloud et des conteneurs, lorsqu'un administrateur déploie par inadvertance des paramètres pour un système cloud qui entrent en conflit avec les politiques de sécurité de l'organisation. Un autre est la visibilité limitée du réseau, dans laquelle une organisation n'est pas sûre du matériel et des logiciels connectés au réseau et des événements réseau qui se produisent. Et la troisième préoccupation majeure concerne les environnements d'exécution cloud non protégés, qui offrent aux attaquants la possibilité de s'attaquer à une organisation.
Utilisation par les employés d'appareils personnels et de réseaux non autorisés
La COVID-19 et le passage au travail virtuel ont entraîné l'adoption généralisée de programmes d'apport d'appareils personnels. Surtout au début de la pandémie, de nombreux travailleurs n'avaient d'autre choix que d'utiliser des appareils personnels, le Wi-Fi public ou des réseaux domestiques pour travailler à distance. De telles circonstances offrent aux pirates une ouverture pour accéder aux ressources organisationnelles ; lorsque les appareils personnels sont compromis, ils peuvent servir de rampes de lancement dans le réseau de l'entreprise.
"L'un des plus grands risques de cybersécurité est l'appareil personnel", a déclaré Trina Glass, avocate chez Stark & Stark, à la Society for Human Resource Management. « Qu'il s'agisse d'un smartphone ou d'un ordinateur portable, l'utilisation de la technologie personnelle dans un environnement de travail impliquant des informations sensibles pose de sérieux problèmes. Les employés peuvent enregistrer des documents sur leur bureau ou envoyer des brouillons de documents à leur adresse e-mail personnelle. Il se peut qu'ils ne disposent pas d'un logiciel antivirus à jour ou qu'ils utilisent une protection par mot de passe personnel obsolète.
Attaques de la chaîne d'approvisionnement et risques de tiers
En décembre 2020, la nouvelle a éclaté que SolarWinds, une importante société de gestion informatique, avait subi une cyberattaque qui n'avait pas été détectée pendant des mois. Plus tôt cette année-là, des pirates étrangers avaient pénétré dans les systèmes de SolarWinds et inséré du code malveillant. Par la suite, lorsque SolarWinds a envoyé des mises à jour logicielles à ses 33 000 clients, le code des attaquants l'a accompagné et a créé une porte dérobée vers les systèmes informatiques des clients. Les pirates ont utilisé ces portes dérobées pour installer des logiciels malveillants d'espionnage supplémentaires. En fin de compte, environ 18 000 clients de SolarWinds ont installé ces mises à jour, y compris des agences américaines telles que les départements de la sécurité intérieure et du Trésor, et des sociétés privées telles qu'Intel, Microsoft et Cisco.
Les pirates informatiques ciblent et attaquent souvent des éléments non sécurisés de la chaîne d'approvisionnement logicielle ou matérielle. Accenture a constaté que 40 % des attaques de cybersécurité proviennent de la chaîne d'approvisionnement étendue. Les attaquants recherchent généralement les maillons les plus faibles, tels que les petits fournisseurs avec peu de contrôles de cybersécurité ou des composants open source. Le plus souvent, après avoir identifié leur cible, les pirates ajoutent des portes dérobées aux logiciels légitimes et certifiés ou compromettent les systèmes utilisés par des fournisseurs tiers. Ainsi, les attaques de la chaîne d'approvisionnement révèlent la vérité selon laquelle les contrôles de cybersécurité d'une organisation ne sont aussi solides que le maillon le plus faible de la chaîne.
Que pouvez-vous faire pour améliorer la cybersécurité de votre entreprise ?
Maintenant que le monde est entré dans la pandémie depuis plus d'un an, les entreprises doivent aller au-delà de la simple mise en place de mesures palliatives et anticiper à la place la « prochaine normalité ». Les responsables de la sécurité de l'information, les directeurs financiers et les équipes de cybersécurité doivent déterminer comment leurs effectifs, leurs clients, leurs chaînes d'approvisionnement et leurs homologues du secteur travailleront ensemble pour fournir une cybersécurité adéquate. Voici cinq façons de commencer :
Renforcez la vigilance autour de l'accès : zéro confiance et authentification multifacteur
La sécurité traditionnelle des réseaux informatiques est basée sur le concept du château et des douves : tout le monde à l'intérieur du réseau est approuvé par défaut, et il est difficile pour les personnes extérieures au réseau d'obtenir un accès. Les cyberattaques qui ont eu lieu pendant la pandémie de COVID-19 ont révélé les limites de cette stratégie. Les entreprises doivent envisager d'adopter une stratégie de confiance zéro qui maintient des contrôles d'accès stricts et ne fait confiance à aucun individu, appareil ou application par défaut, même ceux déjà à l'intérieur du périmètre du réseau. Un modèle de confiance zéro nécessite une vérification d'identité et une autorisation pour chaque personne et appareil tentant d'accéder aux ressources sur un réseau privé. En 2019, Gartner a prédit que d'ici 2023, 60 % des entreprises passeraient des VPN à des initiatives de confiance zéro.
De plus, les entreprises devraient rendre obligatoire l'authentification à deux facteurs pour les employés. L'authentification à deux facteurs nécessite qu'un utilisateur fournisse deux types d'informations différents pour accéder à un compte en ligne ou à un système informatique ; généralement, cela comprend une paire nom d'utilisateur/mot de passe (authentification à facteur unique) et une autre preuve d'identité, comme un code envoyé au téléphone ou à l'adresse e-mail d'un employé.
Le Forum économique mondial recommande aux entreprises d'amorcer également la transition vers l'authentification multifacteur biométrique en utilisant les empreintes digitales, les visages, le comportement de frappe ou d'autres facteurs pour vérifier l'identité des utilisateurs. Contrairement aux entreprises qui stockent les mots de passe de leurs clients sur leurs serveurs, la biométrie de l'utilisateur est stockée sur l'appareil de l'utilisateur. Il n'y a donc pas de point de collecte de données unique auquel les cybercriminels peuvent accéder et le risque de fraude en ligne et d'usurpation d'identité est considérablement réduit. . La taille du marché mondial des systèmes biométriques devrait passer de 36,6 milliards de dollars en 2020 à 68,6 milliards de dollars d'ici 2025.
Repenser la chaîne d'approvisionnement et le risque tiers
Pour renforcer la cybersécurité, les organisations doivent examiner leurs outils de sécurité et leurs exigences en matière de partage et de conservation des informations privées avec les fournisseurs. Les organisations doivent commencer par passer en revue tous les fournisseurs et les services tiers fantômes potentiels ; attribuer des niveaux de risque aux fournisseurs, en délimitant ceux qui sont les plus critiques pour les opérations et ayant le meilleur accès aux informations vitales ; puis calibrer la portée de l'évaluation en conséquence.
Les entreprises doivent ensuite mettre à jour les contrôles et les restrictions d'accès pour les tiers, et développer des contrôles plus robustes contre la perte de données. Les organisations doivent également s'assurer que les fournisseurs qui ne sont pas actuellement préparés à un cyber-risque accru s'engagent à élaborer des plans de cyber-préparation pour gérer en toute sécurité les informations et interagir avec les réseaux d'entreprise des organisations. En outre, dans la mesure du possible, les entreprises doivent intégrer des journaux tiers critiques dans la surveillance de la sécurité de l'entreprise et créer des systèmes d'alerte pour une surveillance et une réponse coordonnées. Prendre toutes ces mesures contribuera à renforcer la cyber-résilience dans les chaînes d'approvisionnement.
Développer et améliorer un ensemble de compétences en matière de sécurité cloud
Alors que les organisations s'éloignent des solutions de cybersécurité traditionnelles sur site et se tournent vers des architectures centrées sur le cloud, elles doivent apprendre à défendre le cloud.
Une mauvaise configuration du cloud et des conteneurs peut être un problème car, contrairement à un réseau sur site où seuls les professionnels de l'informatique peuvent configurer et déployer une infrastructure réseau, dans un environnement cloud, beaucoup plus de personnes peuvent le faire. Les attaquants tirent souvent parti des mauvaises configurations pour accéder à un réseau car elles sont faciles à repérer. Les organisations peuvent aider à gérer les erreurs de configuration en suivant le Market Guide for Cloud Workload Protection Platforms de Gartner afin d'établir une base de référence pour les actifs connectés au réseau. (Le rapport complet est disponible à l'achat ici.) À partir de là, les organisations doivent surveiller ces actifs pour déceler les écarts et éventuellement utiliser des mesures de défense automatisées pour protéger leurs systèmes contre les attaques.
En ce qui concerne la visibilité du réseau, les outils de découverte d'actifs permettent de découvrir les appareils et de savoir non seulement ce qui se trouve sur le réseau, mais également quels actifs ne sont pas protégés. Ces outils assurent la transparence des relations entre les actifs, leur utilisation, le réseau et les autres appareils, y compris les modules logiciels installés sur le réseau.
Enfin, les entreprises peuvent se défendre contre les environnements d'exécution cloud non protégés pour les charges de travail conteneurisées. Lorsqu'un appareil tente d'exécuter une application, les environnements d'exécution agissent comme un intermédiaire entre l'application et le système d'exploitation.
Utiliser l'intelligence artificielle et l'apprentissage automatique
Bien que les analystes de la sécurité humaine utilisent déjà des outils d'automatisation pour extraire les alertes les plus urgentes d'ensembles de données massifs et inciter les humains à agir, les outils d'intelligence artificielle (IA) et d'apprentissage automatique (ML) deviennent de plus en plus sophistiqués.
"Nous allons au-delà des algorithmes qui se contentent d'examiner vos métriques et disent à un humain de faire quelque chose à propos d'une certaine valeur aberrante", déclare le vice-président de l'ingénierie et responsable de l'apprentissage automatique de Splunk, Ram Sriharsha, dans le rapport 2021 de la société sur la sécurité des données. "Pour une question d'échelle, nous avons besoin d'algorithmes et d'automatisation qui agissent. Dans le domaine de la sécurité, nous ne nous contenterons pas de former des modèles sur les anciens acteurs et comportements malveillants pour identifier de nouveaux comportements similaires. Nous verrons des algorithmes qui se contenteront de regarder ce qui se passe – regarder le trafic, regarder les données – pour identifier les mauvais modèles et prendre des mesures d'évitement.
Les organisations devraient envisager l'utilisation de systèmes de gestion de la cybersécurité basés sur l'IA et l'auto-apprentissage. Cependant, à mesure que les solutions de cybersécurité AI/ML se développent, les attaquants aussi. En utilisant l'apprentissage contradictoire, les mauvais acteurs glanent suffisamment sur un modèle d'IA/ML pour concevoir des moyens d'empoisonner le système et de le rendre inefficace pour la défense. L'apprentissage contradictoire s'apparente, par exemple, à inciter un véhicule autonome à mal comprendre un panneau d'arrêt. Et selon les recherches de Gartner, 30 % de toutes les cyberattaques d'IA tireront parti de l'empoisonnement des données de formation, du vol de modèles d'IA ou d'échantillons contradictoires pour attaquer les systèmes alimentés par l'IA jusqu'en 2022. Pourtant, malgré ces menaces pour les systèmes d'IA/ML, une récente enquête de Microsoft a révélé que 25 entreprises sur 28 ont indiqué qu'elles ne disposaient pas des bons outils pour sécuriser leurs systèmes d'IA/ML. Ne soyez pas l'un d'entre eux.
Lancer une formation interactive sur la cybersécurité pour les employés
Bien qu'apparemment simple, il est essentiel pour les organisations d'améliorer la formation des employés sur les mesures de cybersécurité. Les organisations doivent concevoir des programmes et des exercices de formation basés sur les rôles pour accroître la sensibilisation aux nouveaux cyberrisques dans un environnement distant, y compris les nouvelles menaces, les règles d'utilisation approuvée des appareils et les processus de signalement des cyberincidents.
Les équipes de direction doivent également fournir des simulations et des procédures pas à pas pour les scénarios de cyberattaques afin d'impliquer activement les employés. La direction doit également fournir des directives claires concernant les actions requises et le moment où les décisions doivent être transmises.
Enfin, il convient de rappeler aux employés de ne pas utiliser les réseaux Wi-Fi publics ou les imprimantes et de ne pas stocker de documents sur des ordinateurs personnels.
Rester vigilant face aux risques de cybersécurité
Pour répondre à l'escalade des cyberattaques sous la forme d'attaques d'ingénierie sociale et de la chaîne d'approvisionnement, et à l'augmentation de l'informatique fantôme et des mesures palliatives vulnérables, les entreprises doivent se concentrer sur l'adaptation à la « prochaine normalité ». Autrement dit, la direction doit s'associer aux équipes de cybersécurité pour accroître la vigilance autour de l'accès, repenser la chaîne d'approvisionnement et les risques de tiers, développer des ensembles de compétences en matière de sécurité dans le cloud, tirer parti des outils d'IA et de ML et améliorer la formation interactive des employés. La création d'environnements sécurisés pour les clients donne aux entreprises un avantage concurrentiel et renforce la confiance et la fidélité de leurs clients actuels et futurs.