Cyberattaques en augmentation : la refonte des stratégies cyber
Selon le Verizon Data Breach Report 2021, 89% des cyberattaques réussies sont liées à une mauvaise gestion des identifiants, et notamment des mots de passe faibles.
Selon le dernier baromètre Opteamis, plus d’une entreprise française sur deux a subi une cyberattaque en 2021. Les organisations cherchent donc à mieux s’armer face à cette menace, et doivent revoir leur stratégie de cybersécurité ; des moyens et des outils à déployer, aux stratégies de leur mise en place, en passant par les causes de vulnérabilités.
Selon le Verizon Data Breach Report 2021, 89% des cyberattaques réussies sont liées à une mauvaise gestion des identifiants, et notamment des mots de passe faibles. L'utilisation d'une authentification multi-facteurs (MFA) résistante au phishing, dans le cadre d'une architecture zero trust, est donc conseillée. En effet, elle complique l’usurpation des identifiants d’utilisateurs légitimes pour accéder aux systèmes informatiques.
Cependant, toutes les méthodes MFA ne se valent pas et peu de technologies d'authentification sont considérées comme résistantes au phishing, à l’instar de WebAuthn. Ainsi, des approches telles que les SMS, les notifications push mobiles et les mots de passe à usage unique (OTP) se sont révélées vulnérables au phishing par le passé.
Un plan global de protection contre les cyberattaques
Dans un premier temps, il est conseillé de réaliser un audit complet se concentrant sur l'accès aux données sensibles. Une liste complète des informations stockées, des logiciels utilisés et des contrôles en place, et de tous les contractuels ou tiers qui ont accès au réseau, est également requise. Comme il s'agit d'un projet souvent conséquent et chronophage, les entreprises doivent d'abord se concentrer sur les systèmes et les points d'accès les plus sensibles. Une fois que ces derniers sont identifiés, les autres actifs moins critiques sont également à adresser rapidement ; car les criminels les ciblent souvent, sachant pertinemment que leur protection est négligée par de nombreuses entreprises. L'audit et la recherche de systèmes non conformes doivent donc être un effort permanent.
Dans un second temps, il est judicieux d’élaborer un plan de sécurité durable, qui exclut les alternatives rapides, mais incomplètes, et dont l’un des objectifs est de faire partie intégrante de l'ADN de l'entreprise. Pour éviter la multiplication des plans d’urgence, le thème de la cybersécurité doit de fait être profondément ancré à tous les niveaux de l'organisation. En effet, si une MFA moderne et résistante au phishing peut être mis en œuvre rapidement dans certains cas, cela nécessite parfois plus d'efforts. Une stratégie qui comprend une approche cohérente de l'authentification multi-facteurs améliorera et accélérera ainsi les plans de mise en œuvre. En alignant leur stratégie d'authentification sur des normes résistantes au phishing - telles que celles de l’Alliance FIDO, prises en charge par de nombreux fournisseurs IAM, systèmes d'exploitation et navigateurs - les entreprises peuvent alors aborder la question de la sécurité informatique de la meilleure façon possible et prendre rapidement les mesures appropriées.
La sécurité informatique nécessite de la persuasion
Mais dans les faits, l'amélioration de la cybersécurité est non seulement gourmande en ressources, mais nécessite également l'approbation de la direction et la validation des fonds nécessaires. En outre, les entreprises doivent être conscientes qu'il ne s'agit pas d'un processus ponctuel dont l'achat d'une solution ou d'un produit sonne la fin. Au contraire, le développement de la résilience, et donc la protection effective de l’organisation, devraient faire partie intégrante de la planification budgétaire. Une stratégie durable, dotée d’objectifs détaillés, augmente la transparence envers la direction et donc le soutien au déploiement du programme correspondant. Outre la réduction des risques, les avantages d'un plan de sécurité bien conçu résident dans la diminution des coûts des audits et de la formation technique.
Les cybercriminels n'attendent pas le vote de budgets annuels pour planifier leurs campagnes malveillantes, donc s'il y a un besoin urgent d'agir, des demandes de fonds supplémentaires devront être également évaluées ponctuellement par la direction. À cette occasion, il est judicieux que les équipes en charge de la cybersécurité soient épaulées par des décisionnaires clés, tels que le chief risk officer, pour faire comprendre à la direction et aux employés l'urgence de se protéger contre les cyberattaques.
En effet, la question n'est plus de savoir si la MFA résistante au phishing s’établira dans le monde de l'entreprise, mais combien de temps, il faudra attendre pour une adoption généralisée et quels secteurs généraliseront son adoption dans un futur proche. Néanmoins, un tel développement ne peut avoir lieu sans la participation de tous les utilisateurs, alors qu’un employé sur trois ne comprend pas l’importance de la cybersécurité au travail, selon Tessian. Il est donc important de faire preuve de transparence quant aux raisons et aux objectifs de la nouvelle stratégie de cybersécurité, ce qui devrait limiter la résistance aux changements. Il est également essentiel de souligner que ce n'est pas un projet qui relève de la seule responsabilité des équipes informatiques. En matière de cyberattaques, le "nous" prévaut et chacun a sa part de responsabilité. Les possibilités de formations spécifiques selon les services contribuent également à faire prendre conscience des risques, à éliminer les malentendus et à permettre à toutes les personnes concernées de se défendre contre les attaques de phishing et autres logiciels malveillants.
En ces temps d'incertitude et d'imprévisibilité, il faut réduire la surface d'attaque et renforcer les cyberdéfenses. Si les entreprises alignent leur stratégie pour donner la priorité à la protection contre les cyberattaques, y compris le MFA résistant au phishing, elles seront mieux préparées aux menaces de cybersécurité actuelles et futures.