Avis d’expert exclusif de Pierre-Louis Lussan, Country Manager France et directeur South-West Europe de Netwrix. Selon une étude récente de Gartner, les dépenses IT diminueront de 8 % en 2020 à cause du Covid-19. Par conséquent, les équipes informatiques – dont le budget est souvent serré – devront réévaluer leurs ressources et les réduire encore davantage, tandis que les cybermenaces continueront très probablement à s’intensifier, tant en termes de portée que d’impact. Pour Pierre-Louis Lussan, les organisations doivent donc se fixer des priorités pour se protéger contre les cybermenaces les plus fréquentes et nuisibles : le phishing, l’accès à distance, et les menaces internes.
Le phishing – Ces quatre derniers mois ont mis en évidence la grande variété et la sophistication des attaques de phishing. Récemment, des emails malveillants liés aux coronavirus ont ainsi fait leur apparition, se présentant comme une offre de formation destinée à faciliter le retour des télétravailleurs au bureau. Le nombre d’attaques de ce type est impressionnant, et chacun de ces messages malintentionnés pourrait permettre à des attaquants de pénétrer dans le réseau de l’entreprise et de dérober des données sensibles.
Afin de se prémunir contre les attaques de phishing, adopter une approche rigoureuse est nécessaire. Il s’agit tout d’abord d’utiliser des outils adéquates pour empêcher la réception de spams et d’emails de phishing par les utilisateurs. La protection des points d’accès et les outils anti-malware constituent en effet la première ligne de défense ; pour éviter qu’un employé n’ouvre une pièce jointe malveillante ou clique sur un lien renvoyant vers un site web contenant un malware. Il est donc important de réduire ce risque autant que possible et de sensibiliser aussi en permanence les utilisateurs. Les formations sur le phishing peuvent prendre la forme d’outils virtuels gratuits, tels qu’un bulletin d’information de l’équipe de sécurité, ou de programmes de formation avancée. L’utilisation de plug-ins qui permettent aux utilisateurs d’identifier visuellement les emails externes ou les liens éventuellement suspects est également utile.
Cependant, quand bien même toutes ces mesures seraient en place, le risque d’attaque n’est jamais inexistant. Les organisations doivent prévoir le pire et être en mesure de repérer l’attaque potentielle à un stade précoce, afin de contenir au minimum les dégâts. Pour ce faire, il faut veiller à ce que les droits d’accès soient accordées selon le principe du moindre privilège – c’est-à-dire que les utilisateurs ne doivent avoir strictement accès qu’aux données nécessaires pour effectuer leur travail – et que les informations sensibles ne puissent pas être déplacées, ou copiées, à partir d’emplacements protégés dédiés.
L’accès à distance – Il ressort d’une récente enquête Gartner que 82 % des chefs d’entreprise prévoient désormais de permettre à leurs employés de travailler à distance au moins partiellement. Cela signifie que les entreprises seront toujours confrontées au défi consistant à garantir un accès à distance sécurisé à leurs réseaux. De plus, de nombreux télétravailleurs utilisent des appareils personnels plus vulnérables que ceux de leur entreprise, ce qui signifie que les risques de sécurité s’accroissent de manière exponentielle.
Il existe tout un éventail d’outils pour protéger une organisation contre de tels risques, mais la mesure fondamentale consiste à sécuriser l’accès à distance au moyen d’une connexion VPN. Néanmoins, il est nécessaire de limiter le VPN à un dispositif sécurisé placé sous la surveillance de l’équipe IT, ou à un sous-réseau spécifique. En effet, si un pirate accède à l’appareil d’un employé, il atteindra un sous-réseau à accès limité, et devra alors déployer des efforts supplémentaires pour s’introduire dans le reste de l’entreprise. En outre, cela permettra à l’équipe IT de le repérer et de mettre fin à l’attaque à un stade précoce. L’équipe IT doit en effet être avertie de tout signe d’attaque, comme de multiples tentatives de connexion infructueuses, des alertes de signatures IDS ou des connexions VPN suspectes à partir d’adresses IP inconnues ou situées dans des lieux géographiques douteux. Enfin et surtout, il est indispensable d’installer, en temps voulu, les correctifs nécessaires sur les appareils du réseau.
Les menaces internes – Dans la pratique, les employés sont moins susceptibles de recourir à des pratiques sûres en matière de données lorsqu’ils travaillent à domicile. Les incidents qui en découlent ne seront généralement pas dus à la malveillance, mais à des erreurs humaines ou à la négligence. Une des erreurs les plus courantes réside dans le partage non autorisé des données. Selon un de nos rapports récent, un tiers des organisations (29 %) ne surveillent pas le partage des données entre les employés, et 25 % d’entre elles ne disposent que de procédures de surveillance manuelles sujettes aux erreurs. Pourtant, lorsqu’ils travaillent à distance, les employés sont particulièrement enclins à commettre cette erreur, car ils partagent souvent des informations sensibles ou des identifiants de manière non sécurisée, dans le seul but de faire leur travail plus rapidement.
Un autre type d’erreurs concerne les téléchargements excessifs de contenu. Les pannes de VPN ou une mauvaise connexion Internet peuvent frustrer les employés au point qu’ils pourraient être tentés de télécharger un volume important de documents et de les stocker sur leur propre disque dur personnel. Enfin, et surtout, les utilisateurs représentent un risque significatif, s’ils obtiennent des droits d’accès plus élevés qu’ils ne le devraient, ou s’ils partagent des données sensibles dans des outils de collaborations non sécurisés.
Bien que la croyance populaire veuille que les attaquants externes soient plus dangereux que les menaces internes, les employés peuvent en fait se montrer encore plus nuisibles que les pirates informatiques. Il est en effet plus difficile de repérer le comportement à risque d’un utilisateur légitime. Il est donc primordial que les équipes IT disposent d’une visibilité suffisante de l’activité des utilisateurs sur tous les systèmes critiques, tant sur site que dans le cloud, et qu’elles soient alertées en cas de comportement suspect. Ils pourront ainsi prendre des mesures si des pics de téléchargement sont observés et suivre attentivement les modifications de droits d’accès, afin d’éviter l’exposition des données et les risques de violation.
Aujourd’hui, les équipes IT ont des fonctions multiples, car ils assurent à la fois le fonctionnement des opérations dans des organisations hybrides et la protection des employés contre les cybermenaces. Dans ce contexte, il est essentiel de hiérarchiser les efforts et de se concentrer sur les menaces les plus critiques. Il s’agit notamment de rechercher des technologies qui soient flexibles et leur permettent de mener à bien de multiples tâches de manière fiable, ergonomique et rapide.