Lumières sur la sécurité

lundi 28 novembre 2022

Dans les publications du projet Lumières sur la sécurité, nous parlons souvent des différents dangers auxquels les utilisateurs sont confrontés en ligne. Le monde des menaces numériques est vraiment diversifié. Les nombreux types de logiciels malveillants qui menacent votre ordinateur personnel ne sont que la pointe de l'iceberg. L'activité malveillante sur le réseau, visant à trouver des vulnérabilités et à mener des attaques ne cesse jamais - après tout, tout système d'information est a priori vulnérable tant qu'il y a une intention de l'endommager. Et la vulnérabilité ne réside très souvent pas dans des logiciels ou des paramètres réseau incorrects.

Les auteurs de virus et les groupes de pirates tentent de pirater l'infrastructure du réseau d'une entreprise. Une attaque réussie peut au moins causer des dégâts matériels importants et ralentir le fonctionnement de l'entreprise pendant une période significative, et dans le pire des cas, menacer l'existence même de l'entreprise. La tendance de ces dernières années est l'espionnage industriel à l'aide d'attaques ciblées, ainsi qu'aux attaques de chevaux de Troie rançongiciels contre les grandes entreprises. Au cours des deux dernières années, le nombre d'incidents bien connus et « très médiatisés » est passé à des dizaines, et les dommages cumulés se chiffrent en milliards de dollars. On pourrait se demander pourquoi cela se produit. Les grandes entreprises n'utilisent-elles pas des logiciels antivirus modernes et un ensemble d’autres outils de sécurité pour prévenir de telles situations ? Le plus souvent, bien sûr, c’est le cas. Les scénarios d'attaque peuvent varier, mais nous pouvons dire avec certitude que souvent, le point d'entrée le plus accessible dans le réseau de l'entreprise est une personne ordinaire - un employé de l'entreprise. Dans cette publication du projet Lumières sur la sécurité, nous analyserons comment les employés peuvent affecter, à leur insu, la sécurité numérique de l'entreprise et formulerons plusieurs raisons pour lesquelles même un système protégé peut devenir vulnérable aux intrus.

Cas N° 1 : Ignorance de la menace

Il n'y a pas que les grandes entreprises qui peuvent tomber sous l'impact des cybercriminels. La plupart des attaques ne sont pas ciblées ; les attaquants se contentent souvent d'analyser le réseau à la recherche de cibles potentielles de piratage ou, par exemple, envoient des e-mails avec des pièces jointes malveillantes. Les petites entreprises ne se soucient souvent pas suffisamment de la protection de leur environnement numérique (pour de multiples raisons que nous n’aborderons pas aujourd’hui, dans cette publication), et cela s'applique non seulement aux employés, mais aussi aux managers. Oui, un antivirus peut être installé sur les ordinateurs, car " il le faut ". Dans le même temps, le serveur peut être à la portée de tous. Il n'existe aucune réglementation ou règle de conduite concernant la sécurité des informations pour les employés. De plus, il n'y a pas de système d'accès intégré, informant les employés des menaces et un plan clair pour répondre aux incidents informatiques. Cette approche se retrouve encore aujourd'hui, et il est difficile de l'expliquer par autre chose, si ce n'est l'ignorance de la menace et des conséquences d'une attaque.

Cas N° 2 : Manque de compréhension de la valeur des données

Cela concerne le plus souvent les employés qui ne sont pas correctement formés et qui ne sont pas impliqués dans le processus de protection des données dans l'entreprise. Le manque de coordination et/ou d’établissement de politiques claires dans ce domaine est la pierre angulaire de la vulnérabilité de toute l'infrastructure du réseau. Malheureusement, l'utilisation de logiciels modernes et d'un réseau bien configuré ne suffit pas si les employés ne comprennent pas la valeur des informations avec lesquelles ils travaillent. Dans ce cas, il est beaucoup plus facile pour les attaquants d'entrer dans le réseau en utilisant des méthodes d'ingénierie sociale que de rechercher des lacunes logicielles dans la défense. Et plus la protection est mauvaise dans l'entreprise, plus le risque d'incident est élevé, en toute logique.

Cas N° 3 : Manque de formation du personnel

L'entreprise peut construire une infrastructure de protection et disposer de son propre service de sécurité informatique. Mais il est également important que les employés sachent comment se comporter afin de prévenir l'apparition de menaces. Pour cela, il ne suffit pas d'avoir uniquement des réglementations et des règles qui, dans la pratique, n'existent souvent que sur le papier. Après tout, le plus souvent, les collaborateurs effectuent leur travail quotidien avec les logiciels dont ils ont besoin et pense rarement à l'hygiène numérique. Même les techniciens avertis peuvent ne pas savoir comment prévenir les incidents ou réagir de manière appropriée aux incidents. Une formation avec des rappels périodiques des connaissances renforce non seulement les comportements sécurisés, mais améliore également la culture globale de la sécurité numérique.

Cas N° 4 : Infliction intentionnelle de dommages

Malheureusement, de tels cas ne sont pas si rares. La vulnérabilité la plus grave du système est l'attaquant à l'intérieur. Dans ce cas, les dommages dépendent directement des pouvoirs dont dispose l'employé au moment de l'attaque. Séparément, il convient de souligner la vulnérabilité de l'accès physique, lorsqu'une personne a un accès direct à l'objet de l'attaque - par exemple, à un serveur important. Dans ce cas, l'attaquant a une liberté d'action presque totale - du sabotage mineur à la destruction complète des données. Une autre vulnérabilité est liée à la présence de droits élevés dans le système attaqué. Il ne s'agit pas seulement d'un accès possible à diverses ressources réseau, mais également de travailler dans un système avec des droits excessifs qui ne sont pas nécessaires pour effectuer des tâches. Tout cela peut être exacerbé par des problèmes connexes dans l'infrastructure : la sauvegarde ne fonctionne pas, il n'y a pas de système de surveillance et d'avertissement des menaces réseau, les équipements réseau sont mal configurés, etc.

Ainsi, la sécurité des informations de l'entreprise ne dépend pas seulement des équipements de protection matériels et logiciels et des départements dédiés. Il s'appuie également beaucoup sur les employés. Les cybercriminels sont bien conscients du maillon le plus faible du périmètre de sécurité de toute organisation et essaient constamment d'utiliser les vieux trucs et astuces - hameçonnage, envois malveillants, et ils reviennent même à des méthodes archaïques comme les arnaques par téléphone. Hélas, comme le montre la vie, vous pouvez dépenser des sommes impressionnantes pour construire un système de sécurité fiable dans une entreprise, mais il ne sera pas fiable tant que le facteur humain ne sera pas minimisé.