Site Logo

Bilan annuel en matière de cybersécurité : cinq choses que 2022 nous a apprises

Thèmes:
28 déc. 2022
|
Phil Muncaster

À bien des égards, l'année 2022 a été semblable aux cinq dernières années. Les CVE publiés dans la National Vulnerability Database sont en passe de connaître une nouvelle année record quant à leur ampleur. Les pirates qui utilisent des ransomwares sont plus audacieux que jamais, avec en sus un conflit géopolitique. Et les entreprises ne cessent de se heurter au fait que les pirates profitent des nouvelles habitudes de travail instaurées durant la pandémie.

2022 : une année en dents de scie. Voici les cinq tendances qui m'ont le plus marqué et, surtout, les leçons que les entreprises peuvent en tirer en vue de renforcer leur sécurité en 2023.

1. Les ransomwares ne sont pas près de disparaître, même si les gouvernements interdisent le paiement de rançons

Les attaques par ransomware ont peut-être connu une légère décrue par rapport au record enregistré en 2021, mais cela représente tout de même des centaines de millions d'attaques en un an, au mois d'octobre. En outre, le nombre d'attaques a augmenté d'une année sur l'autre au Royaume-Uni (20 %) et dans la région EMEA (38 %) au cours de cette période. Tant que le modèle de ransomware-as-a-service (RaaS) continuera à générer des profits, et que les filiales et les développeurs bénéficieront du soutien d'États hostiles, il sera difficile de s'en débarrasser. Certains politiciens australiens ont suggéré d'interdire tout paiement de rançon au profit des groupes criminels à l'origine des attaques. Mais en réalité, cela ne ferait que réduire au silence les personnes victimes de ce genre d'abus, et pourrait même encourager les attaques contre les prestataires de services essentiels.

La meilleure réponse que les responsables informatiques peuvent adopter consiste à appliquer les best practice en matière de cyber-hygiène, combinées à des programmes de sensibilisation des utilisateurs et à la solution Zero Trust.

2. Les menaces internes exigent une action immédiate alors que les jeunes de la génération Z envahissent les lieux de travail

Nous sommes encore nombreux à ne pas prendre suffisamment au sérieux la menace qui pèse sur nos entreprises. Dans la plupart des cas, il est question de négligence et non d'intention de nuire. Mais cela ne veut pas dire qu'il n'y ait aucune conséquence. Selon une estimation, il en coûterait plus de 15 millions de dollars par an pour remédier aux incidents internes. Plus inquiétant encore, les jeunes travailleurs semblent plus enclins à prendre des risques lorsqu'ils exploitent les données de l'entreprise, par exemple en n'appliquant pas les mises à jour à temps, en conservant les mêmes mots de passe pour leurs comptes professionnels et personnels et en accordant plus d'importance à la sécurité de leurs appareils personnels qu'à ceux de l'entreprise.

Le travail hybride accentuera ces tendances, les travailleurs ayant toute liberté de suivre leurs propres règles de sécurité chez eux. Les politiques devront être révisées pour s'aligner sur cette nouvelle réalité, en s'appuyant sur des technologies adaptées et sur la sensibilisation des utilisateurs. Qu'il s'agisse de l'authentification multifactorielle (MFA), de la solution Zero Trust ou des Secure Access Service Edge (SASE), les mesures de sécurité doivent être efficaces et ne présenter aucune faille.

3. Les applications Web et les API constituent une menace omniprésente mais sous-estimée

Les ransomwares et les attaques commanditées par des États ont occupé le devant de la scène cette année. Mais cela ne veut pas dire que ce sont les seules menaces auxquelles sont confrontées les entreprises. La sécurité des applications et du cloud est certainement moins évocatrice, mais tout aussi importante. L'exploitation des vulnérabilités des applications web, telles que les attaques par injection SQL, est l'une des activités préférées des pirates, car elle permet d'accéder directement aux précieuses données des clients et des employés. Et comme les API jouent un rôle de plus en plus important dans la transformation numérique, elles gagneront en popularité auprès des pirates qui cherchent à pirater des comptes, à voler des données, etc.

Un rapport publié cette année a révélé que 95 % des entreprises avaient été victimes d'un incident de sécurité lié aux API au cours des 12 mois précédents, 12 % d'entre elles accusant plus de 500 attaques par mois en moyenne. Le moment est venu de prendre au sérieux la sécurisation de cette composante de l'environnement numérique.

4. Les violations peuvent constituer un défi de taille pour les PME

À quel point les failles de sécurité peuvent-elles porter préjudice aux entreprises ? Il n'est pas toujours facile de répondre à cette question, d'autant que de nombreuses entreprises n'aiment pas trop révéler avoir été victimes de tels incidents, de peur de susciter la méfiance des clients, des investisseurs et des partenaires. Mais l'assureur mondial Hiscox a déclaré cette année que pas moins d'un cinquième des entreprises des États-Unis et des pays européens avaient frôlé la faillite en raison d'attaques répétées. La plupart d'entre elles considèrent la cybercriminalité comme la principale menace qui pèse sur leur entreprise et admettent que le travail à distance a rendu leur entreprise plus vulnérable.

Bien que l'étude n'ait pas tenu compte de la taille de ces entreprises, il est logique que celles qui disposent de moins de ressources soient plus exposées au risque existentiel découlant des attaques par ransomware et autres. Là encore, il n'y a pas de solution miracle : il s'agit de mettre en place des mesures de sécurité et de sensibiliser les utilisateurs conformément aux best practice du secteur.

5. Les Deepfakes devraient faire exploser les BEC (Business Email Compromising)

Le secteur de la cybercriminalité ne cesse de surprendre et d'innover. Nous le constatons fréquemment au cours du jeu incessant du chat et de la souris entre le secteur de l'anti-phishing et la communauté des pirates. Les attaques BEC figurent parmi les autres activités visant à fragiliser les entreprises. Le FBI a mis en garde cette année contre certaines tentatives visant à allier les techniques BEC à la technologie deepfake et aux logiciels de vidéoconférence.

Des audios Deepfake ont déjà été utilisés à des fins malveillantes pour inciter des victimes à effectuer des transferts de fonds importants au profit de fraudeurs. Si la technologie devient suffisamment bon marché et convaincante, les fausses vidéos circulant via les appels Zoom pourraient entraîner une situation encore plus chaotique. Pour y remédier, il faudra disposer d'un personnel mieux formé, améliorer les processus d'approbation des virements électroniques et mettre en place des outils basés sur l'intelligence artificielle pour repérer et bloquer les deepfakes.

Alors que les difficultés économiques s'accumulent cette année, il deviendra absolument vital pour les responsables informatiques des petites entreprises de gérer leurs budgets sécurité et de les investir judicieusement.

Abonnez-vous à Journey Notes

Phil Muncaster

Phil Muncaster compte plus de 12 ans d'expérience en tant que rédacteur et éditeur dans le domaine de la technologie. Pendant sa carrière, il a contribué à quelques grands titres du secteur, notamment Computing, The Register, V3 et MIT Technology Review. Après une immersion d'un peu plus de deux ans au cœur de la scène technologique asiatique à Hong Kong, il est de retour à Londres, où il s'intéresse désormais de près à la sécurité de l'information.

Suivez Phil sur Twitter et connectez-vous avec lui sur LinkedIn.

Billets associés :
Bilan annuel en matière de cybersécurité : cinq choses que 2022 nous a apprises
Bilan annuel en matière de cybersécurité : cinq choses que 2022 nous a apprises
 Security awareness computer based training could save your business
Security awareness computer based training could save your business
Threat Spotlight: Document-Based Malware
Threat Spotlight: Document-Based Malware
What is Advanced Bot Protection?
What is Advanced Bot Protection?