Points de vue

Des PDG arrêtent de tweeter afin de renforcer leur sécurité

Byron Acohido, 5 mars 2020

Les cadres supérieurs considèrent la cybercriminalité comme un risque majeur. Dans leur environnement complexe, il est temps pour eux d'imposer des règles de cyber-hygiène

Les cybermenaces retiennent toute l’attention des entreprises.

Certains PDG adaptent même leurs habitudes numériques pour se protéger et, par extension, protéger leurs entreprises. Selon un récent sondage de PwC (agence de conseil pour entreprises) mené auprès de 1 600 PDG dans le monde, les cyberattaques sont désormais considérées comme le principal obstacle aux bons résultats d’une entreprise, devant la pénurie de travailleurs qualifiés et l’incapacité à suivre le rythme du progrès technologique.

Pour limiter l’exposition de leur organisation aux cybercriminels, certains PDG déclarent avoir cessé de tweeter et avoir supprimé leur compte LinkedIn ou autres comptes de réseaux sociaux. « Les cadres supérieurs et les membres de conseils d’administration accordent beaucoup plus d’attention à la cybersécurité qu’il y a deux ans », observe Jeff Pollard, vice-président et analyste principal de l'entreprise de recherche technologique Forrester. 

Cette prise de conscience est indispensable. Mais ce n’est qu’un tout petit pas. L’inertie des entreprises reste très préoccupante. Pour de nombreux responsables de la sécurité des systèmes d’information (RSSI), avoir l’attention du PDG s’avère être une arme à double tranchant : « De nombreux RSSI passent leur temps à expliquer les menaces qui sont dangereuses au lieu d’expliquer pourquoi la cybersécurité est si importante. Ils doivent aussi justifier pourquoi des problèmes de sécurité ne sont pas résolus alors que leur budget augmente chaque année », explique-t-il.

Selon Pollard, il faut réfléchir à des améliorations spécifiques pour renforcer une protection globale. « Les dirigeants doivent montrer comment des améliorations de sécurité spécifiques peuvent leur permettre de mieux protéger leur marque et leurs clients, plutôt que de parler du budget alloué ou des projets réalisés », affirme Pollard.

En résumé, le secteur privé a encore beaucoup à faire. En premier lieu, il doit mieux comprendre un défi en constante évolution. Voici quelques variables clés qui entrent en jeu :

Des expositions tumultueuses

La pression externe est permanente : les cybercriminels causent toujours plus de dommages aux entreprises et aux particuliers. Les techniques de piratage éprouvées parviennent toujours à exploiter les vulnérabilités réseau héritées, même dans des systèmes de sécurité multi-couches.

Prenez le cas de MGM Resorts, la grande chaîne d’hôtels basée à Las Vegas. Malgré les millions de dollars qu’elle a dû dépenser en cybersécurité, des données personnelles volées à plus de 10,6 millions de clients ayant séjourné dans ces hôtels à Las Vegas ont été publiées le 19 février sur un forum de piratage. Il semblerait que les pirates aient réussi à cracker un des services cloud où le groupe stockait ses données. Parmi les victimes figurent des célébrités, des PDG du secteur technologique, des journalistes, des représentants du gouvernement et des employés de certaines des plus grandes sociétés de technologie au monde. Les informations de ces hôtes haut placés circulent désormais sur le dark Web : noms, adresses postales, numéros de téléphone, adresses e-mail et dates de naissance.

En se précipitant sur le cloud Internet pour traiter avec des travailleurs à distance, des fournisseurs tiers et des clients, les entreprises ont ouvert un nombre infini de nouveaux vecteurs d’attaque. Les malfaiteurs ciblent les foules. Les services cloud les plus populaires sont devenus un terrain d'investigation prisé pour tous les types de chercheurs (les éthiques et les pirates). 

Prenons l’exemple de Zoom. Des pirates éthiques ont découvert que la plateforme de vidéoconférence utilisait un système d’authentification faible, permettant à des parties non invitées de rejoindre un appel. Le célèbre fournisseur s'est alors empressé d'émettre une série de correctifs de sécurité. On ne sait pas si des pirates malveillants ont découvert ces failles avant les pirates éthiques, et donc s’ils les ont exploitées. Toujours est-il qu’actuellement, toutes sortes de criminels recherchent activement les systèmes Zoom qui n’ont pas encore été corrigés. Et on sait ce que cela veut dire. 

On retrouve ce mode d’attaque encore et encore. Suite à la divulgation des vulnérabilités d’un VPN destiné aux entreprises, il n’a fallu que quelques heures pour que des pirates saisissent l’occasion. Le gouvernement iranien aurait demandé à des pirates d’exploiter les systèmes VPN non corrigés. Ces systèmes fournis par Pulse Secure, Palo Alto Networks, Fortinet et Citrix protégeaient des entreprises stratégiques pour l’Iran (IT, télécommunications, énergie et sécurité).

Les pirates se tenaient prêts : ils ont déployé l’attaque sur les VPN vulnérables et propagé un malware (logiciel malveillant) contenant une porte secrète dérobée. Luis Corrons, évangéliste de la sécurité chez Avast, explique : « Comme les grandes entreprises ont tendance à réagir beaucoup plus lentement que les réseaux de piratage, même les entreprises qui ont directement installé les correctifs peuvent l'avoir fait trop tard. Le seul moyen de savoir si une porte dérobée a été installée, c’est d’analyser scrupuleusement les serveurs et les terminaux. »

Des variables qui compliquent tout

Ce nouveau type d’attaque ne représente qu’une infime partie de la tourmente qui touche le vaste paysage de menaces. Cela fait maintenant 20 ans que le dark Web regorge de données volées, récoltées au fil de fuites de données très médiatisées. Ces données volées sont alors utilisées pour toutes sortes d’arnaques commerciales, de fraudes visant les consommateurs, de fraudes électorales et de cyberespionnage. 

Il est grand temps que les PDG se rendent à l’évidence. Le prise de conscience croissante des utilisateurs et leurs réactions font certainement monter la pression. L’inquiétude des utilisateurs se reflète dans l’intensification de la réglementation sur les fuites de données (devoir de déclaration en cas de perte de données en Europe et dans 47 États des États-Unis). Quelques États requièrent par ailleurs désormais une certification commerciale. À une autre échelle, les dirigeants politiques du Royaume-Uni, du Japon et de la Californie ont commencé à imposer des normes de sécurité pour les appareils et systèmes connectés (Internet des objets), ce qui laisse présager de futures normes de sécurité IoT.

« Les nouvelles réglementations ont accru le travail de surveillance des autorités de réglementation et augmenté les attentes des consommateurs par rapport aux mesures des entreprises pour préserver leurs données sensibles », explique Ambuj Kumar, PDG de Fortanix, un fournisseur de systèmes de cryptage avancés, basé à Mountain View (Californie). « Avec le transit des données privées entre les centres de données, le cloud public et l’informatique de pointe, nous observons que de plus en plus de cadres supérieurs repensent leur stratégie de sécurité des données. »

Certains pensent judicieux de commencer par la sécurité des applications, explique Sandy Carielli, une autre analyste principale de Forrester. « Les applications sont toujours le vecteur d’attaque le plus courant. Cela vaut donc la peine de regarder comment la sécurité est intégrée dans le cycle de vie du développement de votre logiciel », explique-t-elle. 

Il faut absolument comprendre comment les vulnérabilités d’une application sont corrigées au cours du cycle de développement DevOps d’un logiciel. La sécurité doit être considérée dès la phase de conception, au cours du développement et des tests, et dans la phase de production finale, dit Carielli. 

Pour Kumar, la méthode héritée consistant à consolider un périmètre autour des données conservées sur site doit être repensée. Fortanix est une des start-ups d'avant-garde qui propose des technologies avancées pour conserver des données cryptées lors de leurs allers-retours à travers différents services cloud. « En adoptant cette approche, l’entreprise a plus de contrôle. Elle conserve les clés de ses données et les données sont sécurisées, où qu’elles aillent », dit-il. 

À l’ère du DevOps, où les applications dynamiques sont lancées selon le principe du « fail fast », les PDG doivent prendre des mesures bien plus grandes que simplement s’arrêter de tweeter. 

« Fail fast » (échec accéléré) désigne le fait de déployer un logiciel à défaillance rapide pour découvrir ses lacunes à la volée et les corriger. Dans cet environnement extrêmement complexe, il revient désormais aux chefs d’entreprise de comprendre de façon très précise en quoi consiste une cyber-hygiène solide (et de l’imposer aux systèmes hérités et avancés). 

« Mon meilleur conseil pour les RSSI, c’est de parvenir à démontrer comment la sécurité protège les moyens de générer des revenus pour une entreprise », déclare Pollard, de Forrester. « C’est la clé du succès des RSSI. En protégeant les produits et services de votre entreprise, vous pouvez montrer que vos efforts contribuent directement à sa croissance. Contribuer à la sécurité des produits, c’est la base des RSSI qui réussissent à suivre le rythme de la transformation numérique. »

J’ai hâte de voir quels dirigeants d’entreprise iront dans cette direction et dans combien de temps. Je vais suivre cela de près.


NOUS AVONS BESOIN DE VOUS : aidez-nous à combattre les pirates informatiques en nous envoyant les e-mails et SMS frauduleux que vous recevez (transfert d'e-mails, liens suspicieux ou captures d'écran) à l'adresse signalement@avast.com

Avast est le leader mondial de la cybersécurité, protégeant des centaines de millions d’utilisateurs dans le monde entier. Protégez tous vos appareils avec notre antivirus gratuit primé.

Merci d’utiliser Avast Antivirus et de nous recommander à vos amis et votre famille. Pour toutes les dernières actualités, pensez à nous suivre sur Facebook et Twitter.