24 octobre 2022

Article
9 min

Les 3 principaux risques de cybersécurité pour les organisations et modes d’atténuation

Les employés représentent habituellement la plus grande surface d’attaque et le plus grand risque au sein d’une organisation en matière de cyber-attaque. Ils sont également liés au deuxième et au troisième plus grands risques pour une organisation : les appareils utilisés par les employés pour travailler et les processus suivis lors de l’utilisation de ces appareils.

Expert CDW

Contenu
  • Risque de cybersécurité n° 1 : Employés

    De nombreuses organisations se concentrent d’abord sur la technologie, alors qu’elles devraient principalement porter leur attention sur les utilisateurs et les processus utilisés pour accéder aux équipements de travail.

  • Risque de cybersécurité n°2 : Processus

    Nous préconisons la mise en œuvre d’une architecture à vérification systématique, où l’entreprise valide continuellement l’accès numérique d’un utilisateur à chaque étape, souvent grâce à des outils comme les gestionnaires d’accès privilégié, les générateurs de mots de passe et l’authentification multifacteur.

  • Risque de cybersécurité n°3 : Technologie

    Une fois que les organisations ont des employés et des stratégies en place, elles peuvent se concentrer sur l’atténuation des risques qu’elles connaissent le mieux : la technologie, ce qui va au-delà de la mise en œuvre de mots de passe complexes et uniques et de l’authentification multifacteur.

  • Comment CDW peut vous protéger contre les rançongiciels et autres cybermenaces

    CDW offre des services de sécurité comme la formation à la sensibilisation des utilisateurs, le renseignement en matière de risques et les tests de pénétration, où une équipe d’« attaquants éthiques » teste les points de vulnérabilité d’une organisation. Nos services d’évaluation permettent de déterminer les priorités budgétaires.

Une personne tape sur un clavier tout en fournissant des données biométriques sur un écran flottant futuriste.

La cybersécurité n’a jamais quitté l’esprit des organisations canadiennes, mais depuis que la pandémie de la COVID-19 a normalisé le travail hybride et à distance, la sécurité est devenue plus critique que jamais, et à juste titre.

Selon l’étude de sécurité 2022 de CDW Canada, 90 % des organisations canadiennes ont déclaré avoir été victimes d’une cyberattaque l’an dernier, peu importe leur taille, leur secteur ou leur emplacement. Une organisation subit en moyenne jusqu’à 419 attaques et incidents de sécurité.

Nous vous présentons ici, en l’honneur du mois de sensibilisation à la cybersécurité, les trois principaux risques de cybersécurité auxquels font face les organisations canadiennes et nous expliquons comment les atténuer.

Risque de cybersécurité n° 1 : Employés

Un phénomène inévitable : Les employés représentent habituellement la plus grande surface d’attaque et le plus grand risque au sein d’une organisation, déclare Theo Van Wyk, responsable de la cybersécurité chez CDW Canada. Ils sont également liés au deuxième et au troisième plus grands risques pour une organisation : les appareils utilisés par les employés pour travailler et les processus suivis lors de l’utilisation de ces appareils. L’industrie a même une expression attitrée : les personnes, les processus et la technologie. Lorsqu’elle conseille les organisations sur leurs pratiques de cybersécurité, CDW se concentre sur ces trois domaines clés.

« Nous nous adaptons en fonction de la taille et du budget d’une entreprise, mais nous mesurons toutes les étapes en fonction des personnes, des processus et de la technologie », explique Theo Van Wyk.

L’ordre des mots est intentionnel : de nombreuses organisations se concentrent d’abord sur la technologie, alors qu’elles devraient principalement porter leur attention sur les utilisateurs et les processus utilisés pour accéder aux équipements de travail, dit Theo Van Wyk. Cela correspond également aux trois principaux types d’attaques auxquelles font face les entreprises : Les attaques contre les utilisateurs prennent souvent la forme d’hameçonnage ou d’ingénierie sociale. Les attaques contre les processus reposent habituellement sur des logiciels malveillants. Les attaques contre la technologie consistent à obtenir les codes d’accès des utilisateurs.

« Le personnel est la première ligne et la dernière ligne de défense », dit-il. « L’utilisateur sur lequel vous comptez pour ne pas cliquer sur un lien malveillant est le même que celui sur lequel vous comptez pour appeler votre équipe informatique et déclarer: « Je pense que je viens de cliquer sur quelque chose que je n’aurais pas dû. Plus cet utilisateur agira vite et plus vous pourrez contenir la menace rapidement ».

C’est pourquoi une stratégie de pointe pour atténuer les cybermenaces repose sur une formation de sensibilisation à la sécurité, affirme Ivo Wiens, responsable des pratiques de cybersécurité pour CDW Canada : Vous pouvez ainsi vous assurer que les utilisateurs comprennent que les cybermenaces d’aujourd’hui vont bien au-delà des tactiques d’hameçonnage comme les courriels d’hameçonnage.

« Les pirates affinent leurs techniques et ne se contentent pas d’imiter des modèles », dit Wiens. Ils peuvent s’introduire sur votre plateforme de courriels Saas et y rester pendant des mois, surveiller vos communications, lire vos courriels, attendre les renseignements ciblés avant de chiffrer votre serveur et demander une rançon ou produire des faux documents internes ».

Risque de cybersécurité n°2 : Processus

De plus, les processus opérationnels, qui guident l’utilisation, représentent un plus grand risque que la technologie en elle même. Van Wyk cite une fraude visant la haute direction, connue sous le nom de « whaling », qui commence souvent en premier lieu par les employés de moindre échelon.

« Les pirates envoient un message qui ressemble à un courriel du directeur financier : Bonjour, on est vendredi, il est déjà tard et le fournisseur a besoin de ce paiement en urgence, mais ses comptes habituels sont inaccessibles. Merci de l’envoyer plutôt sur ce compte » dit Van Wyk. Dans ce cas, les employés doivent changer le support de communication : « Si vous avez reçu le message par courriel, décrochez le téléphone et appelez. Si vous avez reçu un appel, demandez une réunion en visioconférence. Changer le canal de communication peut faire toute la différence ».

L’incertitude concernant le risque d’usurpation d’identité des utilisateurs est la raison pour laquelle de nombreux experts en cybersécurité, y compris Wiens, préconisent la mise en œuvre d’une architecture à vérification systématique, où les organisations valident continuellement l’accès numérique d’un utilisateur à chaque étape, souvent par le biais d’outils comme les gestionnaires d’accès privilégié, les générateurs de mots de passe et l’authentification multifacteur.

« Même si nous faisons confiance à toutes les personnes au sein de notre organisation, nous voulons toujours vérifier leur accès. La réalité est que nous ne somme pas obligés de faire confiance pour chaque action au sein de l’organisation », explique Wiens. « Nous pouvons continuer de vérifier leur accès et leur comportement ».

Tout en reconnaissant que de nombreux utilisateurs peuvent être rebutés par l’expression « vérification systématique », Wiens dit que les organisations peuvent atténuer cet effet en aidant les utilisateurs à comprendre à la fois leur valeur au sein de l’organisation et la valeur des renseignements auxquels ils ont accès.

« Vous n’avez pas besoin d’avoir les connaissances ou l’expérience d’un administrateur de sécurité, mais nous trouvons que les utilisateurs qui comprennent la valeur des actifs de leur organisation et leur niveau d’accès sont mieux armés pour les protéger », dit-il.

/

Nous pensons que les utilisateurs comprenant la valeur des actifs de leur organisation et leur niveau d’accès sont mieux armés pour les protéger.

Ivo Wiens

/

Wiens met également en garde les utilisateurs sur le risque que leurs activités personnelles posent, en notant qu’il est souvent plus facile pour les cybercriminels d’attaquer les équipements de la société en passant par les utilisateurs sur les réseaux sociaux comme les plateformes de messagerie instantanée, ou même Twitter ou Facebook, où il est plus facile de communiquer avec les utilisateurs et d’obtenir une réponse.

« Nous assistons à une réelle évolution en passant du courriel classique du chef dans votre boîte de réception à des tactiques qui exploitent non seulement les vulnérabilités techniques, mais aussi les vulnérabilités humaines comme nous l’avons indiqué avec les réseaux sociaux », affirme Wiens. « C’est une direction beaucoup plus facile à suivre pour les cybercriminels, car nous avons vraiment brouillé les frontières entre le bureau et la maison ».

Van Wyk incite les utilisateurs à se considérer comme des « citoyens numériques », à rester vigilants sur la sécurité de leurs activités en ligne, que ce soit pour des raisons professionnelles ou personnelles.

« Ce que j’aime dans le concept de citoyen numérique, c’est le lien établi entre vos actions sur votre appareil personnel et vos actions sur un appareil de l’entreprise », dit Van Wyk. « Pendant longtemps nous avons eu un clivage. Vous étiez formé sur ce que vous pouviez faire ou non sur un appareil d’entreprise. Puis lorsque vous rentriez chez vous, vous étiez libre d’agir comme bon vous semblait. Cependant, si vous utilisez votre téléphone pour effectuer des paiements ou accéder à des services bancaires en ligne, vous souhaitez sûrement sécuriser ce téléphone, comme tout appareil de travail ».

Risque de cybersécurité n°3 : Technologie

Une fois que les organisations ont des employés et des stratégies en place, elles peuvent se concentrer sur l’atténuation des risques qu’elles connaissent le mieux : la technologie, ce qui va au-delà de la mise en œuvre de mots de passe complexes et uniques et de l’authentification multifacteur.

La menace technologique la plus importante est le rançongiciel, et à juste titre, car c’est généralement le plus onéreux pour les entreprises et le plus rentable pour les cybercriminels. Un rapport de décembre 2021 de Palo Alto Networks a découvert que la rançon moyenne payée par les victimes canadiennes de rançongiciels était de plus de 450 000 $.

Au-delà de l’utilisation typique des pare-feux et des technologies de sécurité des points d’accès, CDW encourage également les organisations à protéger leurs technologies contre les rançongiciels de deux façons principales, affirme Van Wyk. La première façon consiste à mettre en place des sauvegardes, de sorte que même si un cybercriminel verrouille les données, les employés peuvent continuer à travailler.

La seconde façon consiste à protéger les données d’authentification, pour éviter que les cybercriminels ne parviennent à pénétrer sur un système sauvegardé efficacement, mais qui contient toujours des renseignements confidentiels.

« Si les cybercriminels savent que l’organisation a des sauvegardes adéquates et ne craint pas de perdre l’accès aux données, ils utiliseront celles-ci pour faire du chantage ou menaceront de les transmettre aux concurrents », explique Van Wyk. « De nombreuses organisations finiront par payer de peur des répercussions financières, des dommages à leur réputation et de la perte de confiance de leurs clients envers leur marque ».

« Il est recommandé de divulguer ce type de fuite et d’en assumer les conséquences », poursuit-t-il. « Autrement, vous risquez de recevoir des amendes du Commissariat à la protection de la vie privée du Canada. Si des renseignements personnels ont été volés et que vous ne pouvez pas démontrer que vous avez fait preuve de diligence en suivant les étapes ci-dessus, vous pourriez être poursuivi devant la justice ».

Comment CDW peut vous protéger contre les rançongiciels et autres cybermenaces

Van Wyk insiste sur un point. Lorsqu’il s’agit de préparation, il n’y a pas de solution toute prête. « Lorsque les organisations mettent en œuvre un cadre de conformité, elles commettent souvent une grosse erreur en tenant de l’imposer de force », dit-il, en faisant référence aux normes de sécurité telles que ISO/CET 27001. En effet, un cadre de conformité peut s’avérer difficile à appliquer à un flux de travail déjà établi. L’organisation peut en dévier facilement si elle ne fait pas attention.

« Notre groupe de conseillers en matière de risque collaborera avec vous pour harmoniser vos processus avec le cadre de conformité, afin que vous puissiez mettre en œuvre l’objectif du cadre de conformité plutôt que de l’appliquer à la lettre », dit-il.

Heureusement, CDW offre de nombreux services de sécurité, notamment la formation à la sensibilisation des utilisateurs, le renseignement en matière de risques et les tests de pénétration, où une équipe d’« attaquants éthiques » teste les points de vulnérabilité d’une organisation. Ces services d’évaluation permettent aux organisations de mieux cerner les priorités face à un budget limité.

« Selon vos activités, le type de données accessibles et disponibles, ainsi que le mode d’interaction de vos clients, nous pouvons déterminer le meilleur retour sur investissement en matière de dépenses technologiques, de personnes ou de processus pour optimiser votre sécurité avec chaque dollar dépensé », explique Van Wyk.

Plus important encore, CDW offre des services de solutions de sécurité complètes des meilleurs fournisseurs de cybersécurité, notamment Palo Alto Networks et Okta.

« Si quelqu’un installe votre solution de sécurité, vous la livre sans que vous sachiez comment l’utiliser, il ne sera pas possible de réagir à des menaces », dit Van Wyk. « Les organisations ont naturellement tendance à accumuler un grand retard technique. Les experts en sécurité de CDW peuvent vous aider à créer de nouvelles versions, des mises à jour ou des analyses afin de maximiser le temps et l’argent investis dans vos solutions de sécurité ».