Six idées fausses courantes sur la cybersécurité en entreprise

La cybersécurité a un coût. Tant que les systèmes informatiques et l'infrastructure fonctionnent, il est souvent difficile d'investir les moyens nécessaires pour réduire les risques et garantir le bon fonctionnement à l'avenir, c'est-à-dire : établir une cyber-résilience. Si les entreprises sous-estiment systématiquement leur cyber-risque, c'est en raison de plusieurs hypothèses erronées. Voici six des erreurs les plus courantes.

Hypothèse 1 : de toute façon, ça ne touche que les autres

"Notre entreprise n'est tout de même pas assez intéressante pour une cyberattaque". Cette appréciation est loin d'être rare. La réalité est malheureusement tout autre. Les statistiques indiquent que 99 % de tous les cyberdommages sont dus à des attaques qui n'étaient pas du tout ciblées. En d'autres termes, la plupart des attaques sont de type "spray and spray". Les cybercriminels lancent une tentative d'attaque générale, sans objectif concret, selon le principe de l'arrosoir. Ils se contentent ensuite d'attendre de voir auprès de quelles entreprises ou organisations le mail avec le lien d'hameçonnage, par exemple, aboutira. Malheureusement, pour de nombreuses entreprises, l'obstacle à la compromission initiale de leur informatique n'est pas assez élevé pour résister à ces attaques à long terme. Cela joue en faveur des attaquants. D'autant plus si leurs intérêts sont avant tout financiers et qu'ils veulent faire chanter l'entreprise, par exemple en la chiffrant avec un crypto-trojan ou un ransomware. Dans ce cas, l'approche spray-and-pray est généralement la plus rentable pour les cybercriminels. Cela signifie que chaque entreprise est une victime potentielle.

Les attaques à motivation politique s'en distinguent clairement : dans ce cas, le succès n'est finalement qu'une question de main-d'œuvre disponible, car dans le cas d'une attaque à motivation idéologique, les considérations monétaires de coût et d'utilité jouent un rôle tout à fait secondaire. Dans de tels cas, les attaques zero-day, qui exploitent des failles de sécurité non encore connues publiquement dans un logiciel, sont également plus fréquentes. Avec un exploit zero-day, l'attaquant joue en quelque sorte un joker. En effet, si la nouvelle méthode d'attaque est rendue publique par son utilisation, ce vecteur d'attaque est finalement grillé, car les fabricants de logiciels déploient alors les mises à jour de sécurité correspondantes.

Hypothèse 2 : les attaques provenant de la chaîne d'approvisionnement ne jouent pas un rôle important

En effet, le nombre d'attaques de la chaîne d'approvisionnement est en augmentation. Dans cette catégorie de cyberattaques, les solutions logicielles, les appareils ou les machines fournis à une entreprise et qu'elle utilise dans le cadre de ses activités servent de vecteurs d'attaque. Par exemple, la faille de sécurité Log4j, révélée en décembre 2021, était une vulnérabilité du jour zéro dans une bibliothèque de journalisation Java. Log4j sert à créer et à stocker des informations de journalisation à partir de logiciels, d'applications et d'appliances matérielles. Mais comme Log4j est parfois très profondément ancré dans de nombreuses solutions différentes, dans des milliers d'instances, une simple analyse de vulnérabilité ne suffit guère pour identifier ici toutes les instances vulnérables.

En général, les logiciels open source ne sont pas à l'abri de failles de sécurité. Ainsi, un professeur de l'université du Minnesota a réussi à introduire des failles dans le noyau Linux dans le cadre d'une étude. Pour ce faire, il a prétendu, avec l'un de ses étudiants, mettre à disposition de la communauté Linux des corrections de bugs. L'objectif de cette action controversée était de démontrer à quel point les projets open source peuvent également être vulnérables. Une faille de sécurité dans le noyau Linux est potentiellement si grave, car Linux est très répandu. On le trouve aujourd'hui dans les serveurs et les smartphones, mais aussi dans les dispositifs embarqués les plus divers - des voitures aux machines en passant par les maisons intelligentes.

Avec la numérisation croissante de notre économie et de notre vie, les appareils connectés peuvent également devenir une porte d'entrée pour les cybercriminels. Par exemple, une chaîne de supermarchés a été piratée en choisissant les rayons réfrigérés intelligents des magasins comme vecteur d'attaque. Les appareils connectés dans le domaine de la maison intelligente présentent le même risque. Ils représentent également des points d'attaque potentiels - un risque de réputation grave pour le fabricant ou le distributeur de l'appareil. Dans l'espace privé comme dans l'espace commercial, il est donc nécessaire d'être beaucoup plus conscient des logiciels installés et des appareils achetés. Dans le secteur de la production, par exemple, où une machine peut avoir un cycle de vie de plusieurs décennies, seules des mesures d'atténuation sont disponibles tôt ou tard pour réduire les risques de sécurité. En effet, les fabricants n'existent plus ou ne fournissent plus de correctifs de sécurité après quelques années. Il ne reste donc parfois plus qu'à isoler à grands frais la machine du reste du réseau et à accepter le risque résiduel. En principe, une entreprise serait négligente si elle voulait se décharger entièrement de la responsabilité de sa cybersécurité sur ses fournisseurs. Les menaces provenant de la chaîne d'approvisionnement sont réelles et font aujourd'hui partie du quotidien. Les entreprises ont donc besoin non seulement d'une conscience des risques, mais aussi d'experts qui les aident à mettre en place une cyber-résilience efficace.

Hypothèse 3 : nos collaborateurs sont déjà suffisamment sensibilisés à la sécurité

Trop souvent encore, un comportement irréfléchi des collaborateurs et collaboratrices constitue une porte d'entrée commode pour les cybercriminels dans l'entreprise. Créer et maintenir une conscience des risques est un élément de la cybersécurité dont l'entreprise ne devrait jamais sous-estimer l'importance. Ce n'est que lorsqu'ils sont conscients du danger que les employés évitent systématiquement de communiquer des mots de passe par téléphone ou de cliquer sans réfléchir sur un lien douteux dans un e-mail. Parfois, le danger potentiel est aussi une conséquence directe du travail quotidien. Les employés du service des ressources humaines, par exemple, ouvrent presque tous les jours des candidatures sans savoir si le CV numérique contient ou non des codes malveillants. Il en va de même pour les PDF de factures dans la boîte de réception du service comptable. C'est pourquoi l'entreprise doit naturellement prendre des mesures techniques contre de telles attaques.

Mais il est tout aussi important de réduire la probabilité de réussite des tentatives de phishing en sensibilisant aux dangers des attaques d'ingénierie sociale en général. L'ingénierie sociale signifie que les attaquants utilisent la tromperie pour obtenir des données ou un accès non autorisé. Il s'agit d'abuser des méthodes de la psychologie humaine pour manipuler les collaborateurs ou les collaboratrices et les inciter à transmettre des informations ou à effectuer certaines actions - comme le clic fatal sur le lien dans l'e-mail d'hameçonnage ou l'indication du mot de passe à de prétendus collaborateurs du support technique au téléphone.

Hypothèse 4 : la portée de ce contrôle de sécurité sera déjà suffisante

La mise à l'épreuve de la cybersécurité dans l'entreprise par des tests d'intrusion est un élément important dans la construction de la cyberrésilience. Toutefois, si l'on choisit un champ d'application trop restreint pour le pentest, on n'y gagne pas grand-chose. Car il en résulte un prétendu sentiment de sécurité. Un exemple typique est l'exclusion de certains systèmes, par exemple ceux qui sont en fin de cycle de vie, car - dit-on - ils seront de toute façon bientôt arrêtés ou remplacés. Or, tant qu'ils ne sont pas désactivés, ces anciens systèmes constituent souvent le vecteur d'attaque le plus séduisant. Autre exemple : sur le serveur qui exploite une application web à contrôler, un service FTP fonctionne également, ce qui permet de compromettre complètement le serveur - mais tous les services, à l'exception de l'application web, sont exclus du contrôle. De même, il arrive qu'une institution financière, par exemple, choisisse de limiter l'étendue de son contrôle à ce qui est prescrit par la réglementation et requis officiellement. Dans ce cas également, le résultat serait une sécurité illusoire et trompeuse.

Si l'on veut que les pentests soient réellement significatifs, ils ne doivent pas se concentrer uniquement sur une partie de l'informatique de l'entreprise. Ils doivent au contraire être conçus de manière holistique. En effet, l'objectif d'un test d'intrusion n'est pas seulement de donner à la direction un sentiment positif en matière de cybersécurité - il doit identifier les véritables failles de sécurité et les vecteurs d'attaque potentiels afin de pouvoir les corriger avant qu'ils ne soient exploités par des attaquants criminels.

Hypothèse 5 : les tests d'intrusion peuvent être pris en charge par le service informatique à titre accessoire

Dans la plupart des entreprises, les pentests ne peuvent pas être une tâche interne. En effet, les administrateurs informatiques ont avant tout une chose à faire : ils doivent veiller à ce que les systèmes de l'entreprise fonctionnent de manière fiable. En règle générale, l'équipe d'administration est déjà occupée à 100 %, voire à 120 %, par ses tâches opérationnelles. De plus, les tests d'intrusion exigent des connaissances techniques très spécialisées et très actuellesIl s'agit d'une ressource dont le département informatique ne dispose généralement pas. Il est important que la direction comprenne qu'un pentest n'est pas quelque chose que l'on peut faire en passant. En même temps, les collaborateurs et collaboratrices de l'informatique interne doivent comprendre que l'objectif d'un audit de sécurité n'est jamais de discréditer leur propre travail en matière de cybersécurité, mais de le renforcer. Un test d'intrusion pertinent ne serait même pas réalisable avec des ressources internes, car le savoir-faire et le temps manquent. Il n'en va autrement que si l'entreprise est suffisamment grande pour s'offrir sa propre équipe rouge dédiée - les attaquants - pour des pentests plus ou moins continus. Cette équipe Red est alors confrontée à une équipe Blue dédiée avec les défenseurs. Mais même une équipe Red dédiée peut parfois bénéficier grandement du soutien externe d'Ethical Hacker.

Hypothèse 6 : Nos sauvegardes nous sauvent en cas d'urgence

Il y a un peu plus de cinq ans, cette affirmation était peut-être encore vraie. Aujourd'hui, elle ne l'est plus, pas dans tous les cas. Il faut se rendre compte que la qualité des logiciels malveillants a considérablement augmenté. Les crypto-trojans qui chiffrent les données des entreprises à des fins d'extorsion ne le font plus immédiatement. Il existe désormais des ransomwares qui s'installent d'abord dans les sauvegardes d'une entreprise et les détruisent peu à peu. Ce n'est que des mois plus tard, lorsque la sauvegarde est devenue inutilisable, que le crypto-trojan se met à chiffrer les données de l'entreprise - et le chantage proprement dit commence.

C'est pourquoi il est important aujourd'hui, Sauvegardes d'abord de les protéger contre les logiciels malveillants à l'aide de concepts de protection appropriés et ensuite de les contrôler régulièrement. En cas d'urgence, on ne peut compter que sur une sauvegarde qui peut effectivement être mise en place. Les entreprises devraient donc tester, pratiquer et expérimenter régulièrement leur reprise après sinistre. Et si une entreprise crypte sa sauvegarde pour des raisons de sécurité : La clé de sauvegarde elle-même est un point d'attaque potentiel, car les cybercriminels peuvent bien sûr aussi chiffrer la clé de sauvegarde de l'entreprise. La sauvegarde serait alors à son tour inutilisable et la tentative d'extorsion par le chiffrement des données de l'entreprise pourrait commencer. C'est pourquoi il est important que les entreprises conservent hors ligne leurs clés de cryptographie pour la sauvegarde et qu'elles documentent également hors ligne leur formation d'urgence en matière de reprise après sinistre.

Conclusion : de la cybersécurité à la cyberrésilience

Le risque de cyberattaque n'a pas diminué, bien au contraire. Si une entreprise voulait déduire d'un passé sans problème qu'elle sera toujours à l'abri de la cybercriminalité à l'avenir, ce serait peut-être l'erreur la plus grave de toutes. La fiabilité opérationnelle de l'informatique n'est possible que si l'entreprise établit, maintient et développe sa cyber-résilience avec des concepts et des mesures holistiques appropriés. Cela vaut la peine de se pencher sur la question, car en cas d'urgence, les dommages financiers pèsent bien plus lourd que l'investissement prévoyant dans la cybersécurité. Comme en médecine, il vaut mieux prévenir que guérir en matière de cybersécurité.

Auteurs :
Michael Niewöhner et Daniel Querzola sont tous deux managers et testeurs d'intrusion chez Ventum Consulting, Munich