Les quatre meilleures pratiques cyber pour un monde numérique plus sûr

Renforcez votre cybersécurité en adoptant les bonnes pratiques d'hygiène IT recommandées par Imperva, une entreprise du groupe Thales, pour mieux protéger votre environnement numérique.

Le Cybersecurity Awareness Month 2024 (le mois de la sensibilisation à la cybersécurité) vient de s’achever. Cette initiative internationale qui met l’accent sur les moyens simples de vous protéger vous, votre famille et votre entreprise contre les cybermenaces a pris fin, mais il ne faut pas relâcher ses efforts. Organisée autour du thème « Secure our World », la campagne 2024 a souligné l’omniprésence des technologies numériques qui permettent au monde entier d’être connecté, et a montré comment des mesures simples mais efficaces peuvent avoir un impact durable. Dans un monde où les environnements numériques sont de plus en plus imbriqués, mieux protéger chaque vecteur d’attaque renforce la sécurité des personnes connectées. Pour un monde numérique plus sûr, voici les quatre meilleures pratiques à adopter :

1. Protéger les identifiants... sans mot de passe

Les acteurs de la menace étant de plus en plus habiles à cibler nos identifiants, l’industrie se tourne progressivement vers un avenir sans mot de passe. En d’autres termes, cela signifie remplacer les mots de passe par de nouvelles formes d’authentification utilisant la biométrie, un code PIN, un motif ou une clé d’accès. Le fait qu’un nombre croissant de plateformes acceptent les clés d’accès et l’authentification sans mot de passe facilite de plus en plus ce changement de paradigme.

À défaut, il est recommandé d’utiliser des mots de passe forts, ainsi qu’un gestionnaire de mots de passe. Malheureusement, selon le rapport 2023 Oh Behave! de la National Cybersecurity Alliance, moins de 40 % des internautes utilisent un mot de passe unique pour chaque compte. Or, recycler le même mot de passe revient à mettre tous ses ɶufs dans le même panier et à offrir aux cybercriminels une occasion en or de pouvoir accéder à tous vos comptes puisqu’il leur suffira pour cela de voler, acheter ou craquer un seul code d’accès. Outre la nécessité d’utiliser un mot de passe différent pour se connecter à chaque site web, il est recommandé de renforcer les mots de passe en suivant les conseils de la CISA :

- Utiliser au moins 16 caractères.

- Utiliser un ensemble aléatoire de lettres, de symboles et de chiffres.

- Si possible, créer une phrase mot de passe composée de 5 à 7 mots sans lien entre eux.

Dans tous les cas, que vous utilisiez une authentification avec ou sans mot de passe, vous aurez besoin d’utiliser un gestionnaire de mots de passe (on vous explique pourquoi). Sachant qu’une personne doit, en moyenne, gérer une centaine d’identifiants de connexion différents, il n’y a rien d’étonnant à ce que près d’un tiers des internautes utilisent un tel outil.

2. Détecter et signaler le phishing

Selon le rapport 2024 de Thales sur les menaces informatiques, l’hameçonnage (phishing) est le vecteur d’attaque qui enregistre la deuxième plus forte croissance. Grâce à l’IA, les tactiques d’hameçonnage deviennent de plus en plus sophistiquées : c’est pourquoi, il est plus  important que jamais que vos collaborateurs soient capables de les reconnaître grâce à certains indices. Les campagnes de phishing basées sur l’IA sont désormais capables de rédiger des e-mails dans n’importe quelle langue. Généralement, ces e-mails :

- Créent un sentiment d’urgence ou de panique, vous incitant à agir rapidement sans réfléchir.

- Poussent à réaliser une action non sollicitée, vous demandant par exemple de changer immédiatemement votre mot de passe ou de cliquer sur un lien de téléchargement.

- Demandent des informations personnelles (notamment des données à caractère financier, comme dans le cas d’une escroquerie BEC).

Toutefois, face à cette menace, le moyen le plus efficace reste de renforcer le « pare-feu humain ».  Dans cette optique, les entreprises devraient investir dans des programmes de formation et de sensibilisation à la sécurité non seulement pour leurs employés, mais aussi pour leurs familles, afin de créer une culture positive dans laquelle chacun est encouragé à signaler les erreurs, comme par exemple le fait de cliquer sur un lien malveillant.

3. Passer à l’authentification multifactorielle

L‘authentification multifactorielle (MFA) est une mesure de renforcement de la sécurité exigée par de nombreux fournisseurs de services cloud et, a fortiori, par les entreprises. Les agences de sécurité mondiales, telles que la CISA ou l’ENISA, conseillent à tout le monde de l’adopter car elle apporte une couche de sécurité supplémentaire en sus des mots de passe (il peut s’agir, par exemple, d’un code de vérification textuel ou d’une empreinte digitale). Plusieurs méthodes de MFA sont disponibles :

- La MFA résistante au phishing est considérée comme le “nec plus ultra” par la CISA. Elle inclut l’authentification FIDO/WebAuthn, ainsi que les méthodes basées sur l’infrastructure à clé publique (PKI).

- La MFA basée sur une application renforce la sécurité en envoyant une notification pop-up ou push sur le téléphone de l’utilisateur, en générant un code à usage unique (OTP) ou en utilisant un jeton OTP.

- La MFA par SMS ou message vocal, où l’utilisateur reçoit simplement un appel ou un message de vérification.

Malgré la diversité de ces méthodes et l’importance qu’elles revêtent, le rapport 2024 de Thales sur les menaces informatiques montre que seulement 46 % des entreprises utilisent l’authentification multifactorielle pour plus de 40 % de leurs employés. Bien que la MFA résistante au phishing soit la méthode la plus efficace pour lutter contre les attaques d’ingénierie sociale pilotées par l’IA, n’importe quelle méthode de MFA est de loin préférable à pas de MFA du tout. En outre, l’adoption de l’authentification multifactorielle présente des avantages commerciaux non négligeables. En effet, selon l’indice Thales Digital Trust Index 2024, 81 % des clients souhaitent que les marques proposent l’authentification multifactorielle, celle-ci étant un gage de confiance et donc de fidélité accrue.

4. Mettre les logiciels à jour : une mesure de défense importante, mais à utiliser avec prudence

Tous les collaborateurs doivent le savoir : il est impératif d’accepter et d’installer les mises à jour logicielles à chaque rappel. C’est le seul moyen de corriger les failles de sécurité. Selon un rapport de Ponemon, 60 % des atteintes à la sécurité sont dues à des vulnérabilités non corrigées, d’où l’importance de cette mesure simple.

Les criminels ont eu tôt fait de s’emparer de l’IA pour détecter et exploiter les vulnérabilités, y compris les vulnérabilités inédites (zero-day). Il est à noter que ces failles non corrigées favorisent la multiplication des attaques par rançongiciels. Toutefois, les entreprises, en particulier celles qui disposent d’infrastructures critiques, devraient faire preuve de discernement dans le déploiement des correctifs et ne pas les appliquer par pure crainte. Si les mises à jour de sécurité sont essentielles, il est tout aussi important de les tester dans un environnement contrôlé. Cela doit être fait en amont de leur déploiement afin de minimiser le risque que des systèmes critiques ne soient endommagés.

Conclusion

L’objectif principal de cette campagne annuelle de sensibilisation est d’améliorer la sécurité des identités, des applications, des données et des logiciels, tant au niveau personnel qu’au niveau de l’entreprise. Comme on peut le voir avec les méthodes décrites ci-dessus, de bonnes défenses ne sont pas nécessairement difficiles à gérer ou à mettre en œuvre. Miser sur la simplicité et privilégier l’utilisation d’outils et de procédures pratiques et faciles à mettre en œuvre favorisera également leur acceptation.

En tant qu’entreprise, afin de réduire le risque de piratage des données, il vous faut compléter les pratiques susmentionnées par de solides solutions de protection des données et des applications. Ces solutions protègent les applications et les API, détectent et classent les données sensibles et fournissent des informations sur les risques. Si les méthodes faciles à déployer décrites ci-dessus feront de vos collaborateurs votre première ligne de défense, les  solutions offertes par Imperva feront passer cette défense au niveau supérieur.