Faire bouger les lignes : les recommandations clefs pour passer 2023 en toute sécurité

Le déploiement d'une MFA, résistante au phishing, et l'implémentation de stratégies de défenses accrues restent essentiels pour protéger les entreprises contre les cyberattaques.

L’année 2022 a été marquée par de nombreuses attaques sophistiquées de phishing et de ransomware, qui ont ciblé certaines des entreprises les plus renommées telles que DropBox, Twitter, Rockstar Games ou Uber. L’avènement du phishing-as-a-service et des pratiques visant les formes les plus faibles d’authentification à deux facteurs (2FA), ont ainsi poussé les équipes de sécurité à donner la priorité à l’authentification multifacteur (MFA) résistante à ces méthodes. À mesure que ces nouveaux vecteurs d’attaques se développent, il devient donc essentiel que les RSSI (responsables de la sécurité des systèmes informatiques) continuent de privilégier la MFA et renforcent leurs infrastructures IT qui limitent les cyber-risques.

Se préparer à l’augmentation des tactiques cybercriminelles à faible effort

De manière générale, les cyberattaquants se tournent vers des méthodes leur permettant d’atteindre leurs objectifs tout en utilisant le moins de temps et d’argent possible. L’exploitation de vulnérabilités inédites, ou « zero-day », étant devenue plus rare en 2022, en raison des différences d'environnement et des mesures d'atténuation mises en place.

La voie avec la moindre résistance consiste alors à obtenir des identifiants permettant d’accéder aux réseaux d’une entreprise. Les kits d’hameçonnage et les marketplaces sur le dark web regorgent de ces informations et l’adoption de contre-mesures -telles que la MFA résistante au phishing - ont pris du retard. Les cyberattaquants n’ont donc plus besoin de techniques d’attaques sophistiquées pour réaliser leurs attaques.

En effet, la divulgation d’identifiants suite à une attaque de phishing, une attaque d’ingénierie sociale, ou encore via un employé souhaitant nuire à son employeur, ne devrait pas suffire à entraîner la compromission totale d’un environnement. Pourtant, cela a été le cas pour de multiples entreprises en 2022, car elles nient que le risque zéro n’existe tout simplement pas. Selon nos recherches, 59 % des employés s’appuient encore sur un nom d’utilisateur et un mot de passe pour s’authentifier à leurs comptes. Aussi, près de 54 % admettent avoir écrit ou partagé un mot de passe. Ces comportements doivent évoluer en 2023, car ils ne sont pas propices à la protection des organisations. L’adoption de solutions MFA modernes, qui résistent au phishing, est l’unique solution pour faire face à ce genre de problématique.

Contrecarrer les cyberattaques visant les infrastructures critiques et le secteur public

Les attaques ciblant les secteurs sensibles continueront à augmenter en 2023, entraînant des répercussions importantes, telles que des temps d’arrêt ou une perte de disponibilité, ressenties à grande échelle. Afin de réduire leur impact, les entreprises continueront de payer des rançons significatives, même s’il devient évident que cette stratégie incitera les cybercriminels à perpétuer leurs campagnes.

En outre, avec l’augmentation des dispositifs de surveillance IoT dans les centrales énergétiques et l’adoption générale de capteurs connectés sur les sites industriels, les possibilités d’attaques ont fortement augmenté. L’exemple de Colonial Pipeline aux États-Unis en 2021 a notamment dévoilé que les compromissions de mots de passe peuvent avoir un impact à la fois sur les systèmes informatiques et les systèmes OT, et que leurs perturbations ont de lourdes conséquences - non seulement pour l'entreprise, mais également pour les actionnaires et les clients. Les organisations auront donc tout intérêt à activer une MFA matérielle afin de protéger les accès dans ces environnements IT et OT. En complément, des stratégies dédiées à la supply chain, et axées sur la sécurité, sont primordiales et garantissent une cyber-hygiène rigoureuse.

L’architecture Zéro Trust, un objectif majeur pour les entreprises et les fournisseurs

Ces dernières années, les organisations ont migré des applications sensibles vers une architecture Zéro Trust (ZTA), toutefois certaines nécessitent, pour ce faire, une stratégie de migration ou de support. L’adoption du cloud comble ce manque dans certains cas, mais pas pour tous. L’implémentation d’une ZTA reste également lente dans les secteurs traditionnels, tels que les services financiers, qui ont encore recours à des technologies centralisées et ne reposent pas sur la sécurité des accès. Alors que le paysage des cybermenaces ne cesse d’évoluer, la mise en place de cette politique doit figurer parmi les priorités des entreprises en 2023.

Par ailleurs, les organisations doivent aussi continuer à faire pression sur leurs fournisseurs et encourager le déploiement des protocoles et des technologies permettant la ZTA. De manière générale, ces principes incluent la protection des identités, la prise en charge de la journalisation centralisée et de la communication cryptée, ainsi que l’intégration d’une API qui facilite l’automatisation des tâches opérationnelles.

Faire évoluer la communication et la collaboration entre les RSSI

De plus en plus, les RSSI se tournent les uns vers les autres pour obtenir des conseils et des stratégies sur des sujets variés, que ce soit la présentation au conseil d’administration ou la résolution de vulnérabilités. Cette entraide, remarquée en 2022, doit continuer en 2023. L’année dernière, l’annonce de la vulnérabilité OpenSSL, avait notamment conduit à la création d’un groupe de travail axé sur la compréhension et la réponse à ce problème. Bien que ces failles aient presque été un non-événement, les résultats de cette collaboration ont été palpables. En effet, le groupe est devenu permanent, rassemblant désormais plus de 400 professionnels de différents secteurs, pays et niveaux d'expérience.

Normaliser la conformité

Bien qu’un cadre réglementaire soit nécessaire et permette de protéger les systèmes IT professionnels, nombre d’entreprises se retrouvent inondées par des questionnaires divergents et des portails d’évaluations des risques venant des clients et des assurances. Ces questions sont parfois déconnectées des environnements modernes ou sont axées sur un type de contrôle plutôt que sur un objectif. Le temps et les efforts nécessaires pour répondre à chacune d'entre elles sont écrasants, et leur valeur perçue diminue inlassablement à chaque réponse. Cette situation conduit de nombreux RSSI à rechercher de meilleures stratégies, qui justifient leurs pratiques tout en réduisant considérablement la charge de travail.

Comprendre et atténuer les problèmes liés aux nomenclatures logicielles (SBOM)

La volonté d’accroître la transparence de la supply chain a donné lieu à de nombreuses discussions sur les SBOM pour les produits et services. L’objectif est de générer des listes de composants logiciels lisibles par machine, afin de consulter les vulnérabilités connues. Ainsi, les clients comprendront mieux les risques dont ils héritent lorsqu’ils déploient un logiciel ou utilisent un service. Grâce à cette nomenclature, ils pourront être en mesure d’évaluer rapidement l’impact potentiel sur leurs opérations lorsqu’une nouvelle faille est dévoilée. Cet aperçu supplémentaire de la supply chain permettrait à une entreprise de mettre en œuvre des stratégies d'atténuation jusqu'à ce qu'un correctif ou une mise à jour soit disponible. Cependant, la mise en œuvre de SBOM soulève aussi des préoccupations, car elle peut entraîner un désordre en cas de faux positifs ou si la gravité du problème manque de contexte.

Afin d’atténuer ces inquiétudes, les entreprises devront s’engager auprès de leurs clients et comprendre comment être plus transparentes, sans perdre leur intérêt. Elles devront probablement développer un processus qui fournit les informations souhaitées sur la composition des logiciels, et divulgue l'impact d'un problème particulier sur un produit ou un service. L'automatisation pourrait être une réponse dans ce cas, mais cela nécessitera des outils plus complexes que ceux actuellement disponibles.

En cette année 2023, il paraît évident que les cyber-risques ne font que gagner en puissance. Il devient alors essentiel que les RSSIs s’arment avec les outils appropriés, tels qu’une MFA matérielle, et adoptent des stratégies de défense accrues, pour faire face à un paysage des menaces croissant et en perpétuelle évolution.