Risques et recours d’un directeur des opérations de sécurité
À l’ère de la transformation numérique, les entreprises ont adopté une approche de défense en profondeur pour sécuriser les réseaux. Cela signifie que les équipes de sécurité de l’information s’appuient sur une série de contrôles, processus et outils pour identifier et traiter, de manière fréquente, les problèmes en amont, dans le but d’empêcher les cybercriminels d’exploiter les lacunes et les vulnérabilités. Il s’agit d’une initiative difficile et inédite.
À l’heure actuelle, avec une pandémie mondiale nécessitant des changements dans les besoins des effectifs, de nouveaux risques apparaissent et les modèles de menaces changent. Cela met à contribution les collaborateurs quelle que soit leur ancienneté. La protection du réseau nécessite désormais une coopération étroite des équipes chargées de la sécurité de l’information, de l’informatique, de la continuité des activités, de la reprise après sinistre et de la gestion de crise.
« Un virus informatique se propage de la même façon qu’un virus pandémique, et les deux ont un impact significatif sur une entreprise », affirme Kate Fulkert, Business Continuity and Disaster Recovery Manager chez Vertiv. « C’est pourquoi les équipes chargées de la continuité des activités et de la sécurité doivent être à la hauteur pour un avenir prévisible. »
Mike Spaulding, Director of Security Operations chez Vertiv, voit les risques et menaces suivants émerger dans le monde entier:
Risque n° 1 : Les réseaux d’entreprise sont assiégés
La pandémie a mis à mal la continuité des activités des entreprises, car beaucoup n’étaient pas préparées à un télétravail généralisé. De nombreuses équipes informatiques développent une infrastructure de bureaux virtuels (virtual desktop infrastructure, VDI) de façon accélérée, afin que leurs entreprises puissent adopter des postes de travail sous forme de service (DaaS, Desktops as a Service). Elles se penchent également sur des applications et des charges de travail supplémentaires qui peuvent rapidement évoluer vers le cloud, afin d’améliorer la continuité et la performance des entreprises.
Malgré les pressions commerciales, nous recommandons aux entreprises de consacrer suffisamment de temps à la sécurité pendant ce processus. Alors que les entreprises mettent en place leur VDI, elles doivent analyser attentivement leurs connexions réseau, leurs besoins en capacité, leurs pare-feu et d’autres exigences de sécurité. De nombreuses applications nécessitent la sécurité d’un réseau privé virtuel (VPN), tandis que d’autres peuvent être migrées vers le cloud pour un accès direct.
Les organisations dans des secteurs réglementés, tels que la finance et la santé, auront évidemment des exigences plus strictes pour leurs stratégies de cloud hybride par rapport aux autres secteurs verticaux. Pour ceux qui commencent leur transition vers le cloud, les sauvegardes de données, le traitement des lots et la reprise après sinistre peuvent fournir une valeur immédiate, renforçant ainsi la continuité des activités. D'autres, confrontés à des contraintes de capacité peuvent choisir d’accélérer les déploiements d’Infrastructure en tant que Service (Iaas) et de Plateforme en tant que Service (Paas).
Une avalanche de nouvelles attaques
Les entreprises sont toujours confrontées à la menace, mais la quantité varie. Dans une récente Enquête de sécurité Cisco, 17% des entreprises déclarent qu’elles reçoivent 100 000 alertes de sécurité ou plus chaque jour, ce qui conduit à la cyber fatigue. La surveillance à distance et les solutions de gestion des événements et des informations de sécurité (SIEM) basées sur l’IA peuvent permettre d’identifier les menaces réelles provenant de fausses alertes, et de les hiérarchiser. La télésurveillance peut également aider les équipes informatiques à suivre la santé du datacenter, en évaluant par exemple l’état des systèmes d’alimentation et de refroidissement, et en permettant aux intervenants de remplacer de manière proactive les systèmes et pièces qui présentent des signes de stress avant que ces problèmes ne conduisent à des défaillances critiques.
Risque n° 2 : Les employés présentent des risques pour les réseaux
Le « phishing » est un défi permanent pour les entreprises, car les personnes sont généralement plus faciles à exploiter que les réseaux. Une Étude de sécurité Wombat a constaté que 83% des répondants avaient connu des attaques par « phishing » en 2018, et 49% ont connu des « vishing » (hameçonnage vocal) et/ou des « smishing » (phishing par SMS). Les e-mails de « phishing » ont augmenté de plus de 600% depuis la fin du mois de février, car les cyberciminels cherchent à profiter de la peur et de la confusion des employés face aux événements mondiaux et aux nouvelles pratiques de télétravail.
Voici quelques risques de « phishing » dont vous devez être conscient, en particulier pendant cette période sans précédent :
- Usurpation de marque : Les escrocs se font passer pour des organismes de renom, tels que l’Organisation mondiale de la santé, les Centres de contrôle et de prévention des maladies, ou les administrations fiscales. Les employés peuvent recevoir des e-mails d’apparence professionnelle contenant des mises à jour, et être invités à cliquer sur des sites Web apparemment authentiques ou télécharger des pièces jointes contenant des logiciels malveillants.
- Usurpation de la figure de l’autorité : Les cyberciminels peuvent envoyer des e-mails ciblés, en se faisant passer pour des fonctions d’entreprise comme le service informatique, les ressources humaines ou les finances. Ils peuvent également se faire passer pour des personnes, comme le président-directeur général d’une société. Ces e-mails invitent souvent les destinataires à télécharger un fichier malveillant. Il peut s’agir par exemple des dernières mises à jour d’une entreprise sur l’actualité mondiale ou d’une annonce de nouveaux processus informatiques et de paiement.
- Escroqueries liées à la pandémie : Ces escroqueries, qui visent plus manifestement l'accès aux ressources financières, peuvent concerner des sites Web d’achat proposant des produits difficiles à obtenir, tels que des masques et des désinfectants pour les mains; des organisations médicales recherchant un paiement pour un ami ou un proche ou offrant un accès privilégié à un vaccin ou à un médicament; des compagnies aériennes et touristiques offrant des remboursements; et des organisations caritatives lançant des appels à contribution. Ces attaques ont pour objectif de persuader les employés de payer pour un bien ou un service frauduleux qu’ils ne recevront jamais, ou de solliciter des fonds pour une organisation caritative inexistante.
Nous recommandons aux entreprises de communiquer sur les dernières stratégies de « phishing » — comment reconnaître et éviter les attaques et comment les signaler. C’est le moment idéal pour actualiser les informations sur ce qu’il faut faire en cas d’incident de sécurité, et de rappeler aux employés qu'il est du devoir de chacun de protéger l'entreprise par un signalement en temps utile.
Contrôles faibles
Comme les employés travaillent chez eux, ils accèdent aux ressources de la société sur leurs propres appareils et réseaux Wi-Fi. Cela peut présenter des risques pour le réseau de l’entreprise lorsque les employés utilisent des mots de passe par défaut ou faciles à deviner, lorsqu’ils utilisent des réseaux Wi-Fi et des périphériques qui ne sont pas chiffrés, lorsqu’ils effectuent des tâches professionnelles et personnelles sur les mêmes appareils, et lorsqu’ils omettent de télécharger des mises à jour logicielles et des correctifs de sécurité.
Nous recommandons aux entreprises de fournir des fiches de conseils pour aider les employés à respecter une hygiène informatique de base avant de se connecter aux réseaux de l’entreprise. Toute application ayant une authentification à un seul facteur (mots de passe) doit être désactivée jusqu’à ce qu’elle puisse être remplacée par une authentification à plusieurs facteurs. En outre, les entreprises doivent revoir les privilèges d'accès des administrateurs, pour s'assurer qu'ils sont à jour et limités aux seuls systèmes dont l'équipe informatique a besoin pour faire son travail. Comme le savent les équipes de sécurité de l’information, les privilèges d’administrateur sont le graal pour les cybercriminels, car ils permettent un accès illimité aux réseaux.
Risque n° 3 : Les clients et partenaires peuvent être confrontés à des menaces
Les cybercriminels ciblent souvent des partenaires tiers parce qu’ils disposent d’une sécurité plus faible que celle de leurs clients, et ont souvent un accès privilégié aux e-mails, systèmes et fichiers. L’Institut Ponemon a constaté que 59% des entreprises avaient subi une violation de données à cause d’un tiers.
En plus d’effectuer des évaluations régulières des risques des fournisseurs clés, les entreprises doivent exiger une authentification à plusieurs facteurs pour des tiers, renforcer la politique d’accès minimal accordé, et interrompre automatiquement l’accès au réseau lorsqu’il n’est plus nécessaire de réduire la possibilité d’une infraction.
Fraude à la clientèle
Les clients peuvent être ciblés par des attaquants qui compromettent les e-mails pour les attaques de type intermédiaires. Les escrocs se font passer pour les fournisseurs et les partenaires en envoyant des e-mails apparemment authentiques, en effectuant des appels téléphoniques ciblés et en divulguant des informations frauduleuses sur les paiements. Lorsque des achats importants sont en jeu, les attaquants s’engagent sur le long terme avec leurs cibles dans un cycle de ventes B2B de plusieurs mois, dans le but d’obtenir un virement bancaire substantiel.
Nous recommandons aux entreprises de communiquer immédiatement avec les clients pour leur faire part de ces nouveaux modèles d’attaque et leur rappeler les principales pratiques de marketing, de vente et de financement de leur société. Si les clients ont des doutes concernant la facturation ou les paiements, ils pourront contacter directement les représentants clés.
Le changement récent et rapide des modèles de travail des entreprises ayant mis en évidence les vulnérabilités du réseau informatique, il est maintenant temps de renforcer la sécurité de vos systèmes et de donner à vos employés les moyens d'identifier et de signaler les menaces.
Comme toujours, Vertiv est là pour vous aider. Si vous avez besoin de service après-vente, de pièces ou d'assistance technique, veuillez contacter votre représentant Vertiv.
