C'est la semaine des requins, ce qui signifie que le pic officieux de l'été est à nos portes. Sur Censys, la semaine du requin nous fait également penser au plus grand prédateur de nos propres eaux proverbiales : les pirates informatiques. Comme les requins, les pirates informatiques sont audacieux, rapides et rusés. Et lorsqu'ils frappent, ils sont capables de causer de graves dommages. Comme les requins de la côte atlantique, les pirates informatiques ont eux aussi fait la une des journaux cet été, nous rappelant qu'il faut rester vigilant face aux prédateurs, qu'ils soient marins ou cybernétiques.
Parfois, cependant, les organisations se concentrent davantage sur la prévention des attaques sophistiquées, mais moins probables, des célébrités, et négligent les lacunes de sécurité de base que les pirates sont plus susceptibles d'exploiter. L'étudeCensys fait la lumière sur ce point, en constatant que les CVE et les exploits avancés, qui suscitent souvent le plus d'attention, ne représentent que 12 % des vulnérabilités observées. Les mauvaises configurations et les expositions, en revanche, représentent 88 % des vulnérabilités observées.
L'avantage, c'est que les erreurs de configuration et les risques sont en grande partie gérés par l'équipe de sécurité, et qu'ils peuvent être traités en partie par des mesures d'hygiène de routine en matière de cybersécurité. Pour éviter une "attaque" pendant la semaine des requins et au-delà, revenons sur trois bonnes pratiques en matière d'hygiène cybernétique.
1. faire remonter Shadow IT à la surface
Utiliser des appareils personnels pour le travail, oublier de décommissionner les bacs à sable des développeurs, lancer de manière indépendante des applications de productivité tierces... voilà le genre d'activités Shadow IT qui font le bonheur des pirates et le stress des équipes chargées de la sécurité. Et elles sont extrêmement courantes sur le lieu de travail d'aujourd'hui. Plus de 80 % des travailleurs interrogés ont admis avoir utilisé des applications SaaS qui n'avaient pas été approuvées par le service informatique. Le site Shadow IT n'étant pas autorisé et n'étant pas surveillé, il peut comporter des erreurs de configuration et des risques. Cela pose évidemment un problème aux équipes de sécurité, qui ne peuvent pas réparer ce qu'elles ne connaissent pas. C'est pourquoi l'hygiène de sécurité de base exige d'obtenir une visibilité totale sur tous les actifs qu'un attaquant pourrait violer, y compris ceux qui se cachent dans l'ombre, inconnus du service informatique. Pour obtenir cette visibilité nécessaire, les organisations de sécurité modernes s'appuient sur la gestion de l'exposition. Les solutions de gestion de l'exposition fournissent une découverte et une surveillance automatisées et continues des actifs sur l'ensemble d'une surface d'attaque, mettant en lumière Shadow IT et permettant aux équipes de sécurité de s'attaquer à toutes les mauvaises configurations et expositions que ces actifs peuvent receler.
2. Être un "Chomp" de confiance zéro
La confiance zéro est un cadre de sécurité qui élimine l'autorisation implicite d'accès à un réseau. Au lieu de cela, une validation est requise à chaque fois qu'un accès est demandé. Cela inclut les personnes qui, au sein de l'organisation, ont besoin d'accéder quotidiennement à certains systèmes pour accomplir leur travail. Par exemple, vous pourriez demander à votre équipe de vente de procéder à une authentification à deux facteurs lorsqu'elle souhaite se connecter à l'instance de Salesforce de votre entreprise. En exigeant ce niveau de validation, les organisations peuvent mieux gérer leur risque d'exposition. Et si un acteur malveillant parvient à s'introduire dans une partie de votre réseau, un cadre de confiance zéro lui permet difficilement d'aller plus loin. L'engagement en faveur de la confiance zéro permet également aux équipes de sécurité et aux employés de garder à l'esprit d'autres bonnes pratiques telles que l'élimination des mots de passe par défaut. Bien que de nombreuses entreprises adhèrent déjà à un cadre de confiance zéro, il convient de le réexaminer régulièrement pour déterminer si des solutions nouvellement adoptées fonctionnent en dehors de ce cadre. Pour en savoir plus sur les origines du cadre de confiance zéro, cliquez ici.
3. Obtenir l'adhésion de tous les employés
Les erreurs de configuration et d'exposition qui rendent les entreprises vulnérables sont souvent le résultat d'une erreur humaine (voir Shadow IT ci-dessus). Les équipes de sécurité peuvent être chargées de prévenir les violations, mais pour minimiser leur probabilité, elles comptent sur l'ensemble de l'organisation pour suivre les bonnes pratiques en matière de cybersécurité. Une formation efficace des employés devrait donc être un pilier de toute stratégie de cybersécurité. Si cela fait une minute que votre équipe n'a pas mis à jour son approche de la formation des employés, c'est le moment ou jamais de la revoir. Réfléchissez à la manière de faire de la formation et de la sensibilisation un effort continu (c'est-à-dire plus qu'une brève présentation lors de l'intégration de l'employé). Peut-être que votre version de la formation continue prend la forme d'un canal Slack dédié à la cybersécurité ou d'une newsletter informatique mensuelle qui partage des conseils et des rappels, en plus d'une session de formation annuelle à laquelle participent tous les employés, quelle que soit leur ancienneté dans l'entreprise. Vous pouvez aussi effectuer votre propre forme de test de pénétration pour voir combien d'employés retiennent réellement ce qui leur est enseigné. Quelle que soit l'approche retenue, la formation des employés doit être considérée comme un élément essentiel d'une bonne hygiène de sécurité.
Pour consulter nos recherches les plus récentes sur les mauvaises configurations et autres vulnérabilités, consultez notre rapport 2023 sur l'état de l'internet.