Renforcer la sécurité de votre entreprise : combler les failles couramment négligées de la surface d'attaque
La surface d'attaque englobe tous les vecteurs d'attaque potentiels permettant à un pirate d'accéder au système d'une entreprise, de lui nuire ou de voler des données sensibles.
Au cours des dernières années, les entreprises ont été soumises à une transformation numérique rapide, soutenue par la montée en puissance des applications SaaS hébergées dans le Cloud, la prolifération des dispositifs de l'Internet des objets (IoT) et l'adoption du télétravail suite à la pandémie de COVID-19. Bien que ces avancées technologiques offrent des avantages en termes de productivité, elles augmentent également considérablement la surface d'attaque potentielle des entreprises. Ainsi, la sécurité est devenue un facteur crucial dans l'adoption et la gestion de ces nouvelles technologies.
La surface d'attaque englobe tous les vecteurs d'attaque potentiels permettant à un pirate d'accéder au système d'une entreprise, de lui nuire ou de voler des données sensibles. Elle peut être décomposée en trois éléments clés : la surface d'attaque numérique, la surface d'attaque physique et la surface d'attaque humaine.
La surface d'attaque numérique comprend tous les actifs auxquels un pirate peut accéder numériquement, tels que les sites web de l'entreprise, l'infrastructure des serveurs et les postes de travail des utilisateurs. Elle inclut également des actifs moins connus tels que le shadow IT et les actifs malveillants comme ceux potentiellement infectés par des malwares ou les domaines typosquattés.
La surface d'attaque physique regroupe les vulnérabilités auxquelles un hacker pourrait accéder s'il disposait d'un accès physique à un bureau ou à l’un de vos endpoints. Par exemple, des ordinateurs portables non chiffrés laissés dans une voiture ou des prises réseaux exposées dans un hall d'entrée peuvent constituer des points faibles.
La surface d'attaque humaine correspond au nombre total d'individus au sein d'une entreprise susceptibles d'être victimes de techniques d'ingénierie sociale, telles que le phishing ou le smishing. Elle englobe également les faux employés qui trompent les vrais employés pour les inciter à effectuer des actions dangereuses.
L'une des lacunes les plus courantes des équipes informatiques et de sécurité réside dans une compréhension incomplète de l'étendue de leur surface d'attaque. Pour y remédier, il est essentiel de mener régulièrement des audits des actifs et des données, d'effectuer des évaluations des risques et d'impliquer activement les dirigeants de l'entreprise.
L'authentification multifacteur (MFA) est une étape cruciale dans la réduction du risque de compromission des identifiants. Cependant, seulement 40 % du personnel non formé à l’informatique a adopté le MFA, entraînant une lacune importante pour les entreprises. Il est également important d'éliminer toute complexité pour réduire la surface d'attaque car elle peut masquer des erreurs de configuration ou de gestion qui entraînent des lacunes additionnelles dans la protection.
Il est essentiel de tenir compte de l'élément humain pour que le programme de gestion de la surface d'attaque soit efficace. Au-delà du phishing traditionnel par email, une formation à l'ingénierie sociale devrait couvrir un éventail de techniques et de comportements, car même les contrôles techniques les plus stricts peuvent être contournés par une simple erreur de la part d'un seul employé.
Gérer une surface d'attaque est un processus continu et évolutif qui nécessite une attention permanente et des améliorations constantes. Même si ce n'est pas facile, il s'agit d'une étape cruciale pour les entreprises qui souhaitent se protéger contre les cybermenaces potentielles.