Cybersécurité : comment construire une défense suffisamment solide ?

Les organisations du monde entier pensent souvent à tort qu'un bon système de sécurité leur assurera une protection de leurs données commerciales sensibles et les aidera à écarter les cybercriminels. Mais quelle est la définition d'une "bonne" politique de sécurité ?

Dans l’élaboration des attaques actuelles, les cybercriminels se concentrent désormais sur les individus plus que sur les infrastructures. Si les solutions techniques et les contrôles restent essentiels, ils ne sont que la partie visible d’une politique de sécurité fiable contre les menaces.

Que ce soit par le biais de liens malveillants, de compromissions de comptes ou d'ingénierie sociale, les acteurs de la menace se concentrent sur ceux qui, pour de nombreuses entreprises, constituent la dernière ligne de défense. Une dernière ligne souvent mal préparée : les collaborateurs. Quelle que soit la robustesse des systèmes techniques mis en place, il suffit d’un seul clic, et d'un seul employé pour que les cybercriminels puissent s’introduire au sein du système d’une entreprise.

A l’heure où le monde entier entre dans une nouvelle "normalité" du travail à distance, une nouvelle approche s’impose. Une approche qui place l'humain au cœur de la stratégie de cybersécurité.

S’adapter à une nouvelle normalité

Avec des millions d'employés travaillant désormais à domicile, en dehors des protections adaptées d’un environnement de travail classique, les entreprises ont vu leurs risques d'attaque s'étendre, les laissant plus exposées que jamais aux cybermenaces pendant cette crise mondiale.

Bien conscients de ce changement, les cybercriminels n'ont pas perdu de temps pour exploiter cette opportunité. Avant même que la pandémie mondiale ne soit officiellement déclarée, nos chercheurs ont observé une recrudescence de sites de phishing sur le thème du Covid-19 allant de simples propositions de remèdes à des leurres plus importants comme l’usurpation d’identité de l'Organisation mondiale de la santé (OMS), d’organisations non gouvernementales (ONG), ou du gouvernement Français.

Les cybercriminels adaptent leurs messages en fonction des thèmes qu'ils estiment être les plus efficaces et utilisent des sites web fréquemment visités pour voler ces données. Le Covid-19 est sans conteste le thème le plus fréquemment utilisé ces derniers temps et maintenant que les réglementations en matière de confinement évoluent de pays en pays, les chercheurs s’attendent à de nouveaux types de menaces utilisant le thème de la réouverture des bureaux notamment.

Quel que soit le leurre utilisé dans une attaque par email, l'objectif est le même : exploiter les failles humaines. En utilisant des attaques d'ingénierie sociale, les cybercriminels trompent les employés afin de voler des identifiants, dérober des données sensibles, détourner les virements de salaires et transférer frauduleusement des fonds. Et malgré les solutions de sécurité mises en place, il ne suffit que d'un clic pour qu'une cyberattaque soit réussie.

Parmi ces menaces, les compromissions d’emails professionnels (attaques BEC) ont connu un pic ces dernières années. Non seulement elles fonctionnent, mais elles rapportent également, ce qui leur a permis de gagner rapidement en popularité.

Selon le FBI, les attaques BEC auraient coûté environ 1,6 milliard d’euros, représentant plus la moitié des pertes totales en 2019 (3,2 milliards d’euros par an de pertes totales estimée en 2019 d’après le rapport) aux entreprises du monde entier.

Cependant, derrière ces statistiques se cachent des entreprises qui subissent lourdement les conséquences de ces attaques. L'année dernière, Toyota Boshoku a été victime de la plus grande perte jamais enregistrée lors d'une attaque. La filiale de Toyota a été dupée par un cybercriminel se faisant passer pour un partenaire commercial afin de transférer 32 millions d’euros sur un faux compte. Plus récemment, en janvier de cette année, Porto Rico a perdu plus de 3,5 millions d’euros lors de trois attaques BEC distinctes contre ses agences gouvernementales et plus récemment, le fonds d'investissement public norvégien Norfund s'est fait piéger par un email et a transféré pas moins de 100 millions de NOK (environ 9 millions d’euros) à des cybercriminels.

Construire aujourd'hui les défenses de demain

Lorsqu'il s'agit de se défendre contre les attaques BEC, certaines situations ont démontré que la politique de sécurité en place était tout sauf efficace. L’augmentation des collaborateurs travaillant à distance, de plus en plus dépendant à l’email, a mis en évidence un point faible important que beaucoup d’entreprises ne parviennent pas à combler : les collaborateurs et l’utilisation massive de l’email restent les voies privilégiées utilisées par les cybercriminels. Pourtant, la plupart des stratégies de défense n'en tiennent pas compte. Alors que plus de 90% des menaces avancées proviennent de l’email, seuls 10% des dépenses en matière de cybersécurité sont consacrées à ce domaine.

La majorité des entreprises dispensent moins de deux heures de formation à la cybersécurité par an. Un manque d’investissement qui s’observe auprès des utilisateurs finaux : seuls 66% de la main-d'œuvre mondiale comprend le terme "phishing", et seulement 31% connait l’existence des rançongiciels.

Il devient désormais urgent d’offrir aux employés les moyens de protéger leur entreprise en leur fournissant les outils et les connaissances nécessaires. Tout comme les cybercriminels ont saisi cette occasion pour affiner leurs attaques, les entreprises doivent également affûter leurs défenses pour bâtir des stratégies en ligne avec le paysage des menaces actuel.

Mettre l'humain au cœur des stratégies de cyber défense

Si les attaques par email ont eu des conséquences bien avant la pandémie de coronavirus, la mise en place du télétravail à grande échelle a permis de mieux comprendre les menaces auxquelles sont régulièrement confrontées les entreprises.

Force est de constater que l’accent mis en place sur la sécurité des réseaux et des terminaux reste le principal domaine d'intérêt des équipes de sécurité, bien qu'il soit loin d'être la seule cible des cybercriminels. Il est plus que temps de changer notre façon de penser.

L'ancienne tactique de défense qui consiste à protéger un périmètre défini est obsolète car il n'y a plus de périmètre à défendre. Les collaborateurs sont mobiles, ils accèdent aux données de l'entreprise de partout, sur toutes sortes de dispositifs, de réseaux et de plateformes en dehors du réseau d'entreprise traditionnel. Les collaborateurs sont au cœur de la plupart des cyberattaques, il est donc logique de les placer au cœur de la stratégie de sécurité.

Seule une formation adaptée en cybersécurité permettra d’instaurer une cyberdéfense fiable. Une formation qui va au-delà de la sensibilisation générale aux menaces communes et qui fait comprendre aux utilisateurs finaux que leur comportement peut faire la différence entre une tentative d’attaque et une attaque réussie.

Les entreprises n’ont pas fini de découvrir qu’une "bonne" politique de cybersécurité ne suffit pas pour se protéger contre le paysage des menaces actuelles, elle doit être au premier plan des préoccupations de chacun, et pas seulement des départements informatiques ou de cybersécurité.

Le principal objectif des cybercriminels est de nuire aux entreprises, et la sensibilisation des employés face aux menaces ne peut qu’augmenter les chances de succès pour déjouer leurs pièges.