Voici les mesures idéales que votre organisation peut prendre pour assurer une véritable défense en profondeur de l’ensemble de l’entreprise.
La défense en profondeur est une idée assez simple, semblable dans son concept aux siècles romains de l’Antiquité, où les soldats de la ligne suivante attendaient tout ennemi qui se frayait un chemin à travers le premier rang. Nous pouvons appliquer ce principe (bien que de manière moins violente) en tant que stratégie de cybersécurité pour protéger les données les plus sensibles au cœur de l’environnement informatique de toute organisation. Mais là où les Romains affrontaient un champ de bataille avec une ligne de front claire, le champ de bataille cybernétique comporte une multidimensionnalité complexe. Un membre du personnel moyen a accès à plus de 30 applications et comptes d’entreprise – chacun d’entre eux peut être privilégié, et donc une cible. Les équipes informatiques doivent comprendre quels sont les domaines d’accès du personnel qui présentent le plus de risques afin d’assembler leurs défenses hiérarchisées.
La première étape consiste, bien entendu, à déterminer où doivent aller ces couches de défense supplémentaires. La façon la plus simple est de suivre les données, car les recherches disponibles nous montrent les zones du paysage informatique des employés qui sont les plus à risque. Elles démontrent principalement que les attaquants ont cessé de cibler les administrateurs informatiques traditionnellement privilégiés pour s’attaquer à l’ensemble du personnel. Il est facile de comprendre pourquoi : plus de la moitié des employés des entreprises ont un accès direct aux données sensibles de l’entreprise, car ils travaillent à partir de différents endroits, sur de nombreux appareils différents.
>Voir aussi : Combattre les menaces courantes pour la sécurité de l’information
Les cinq zones d’accès au personnel les plus menacées
Mécanismes d’authentification faibles ou perturbateurs
80 % des violations commencent par des informations d’identification compromises. Nous savons donc que l’authentification à facteur unique ne suffit pas. L’authentification multifactorielle (AMF) est désormais la norme dans le secteur, mais tout comme nous innovons, les attaquants ont développé leurs propres moyens d’échapper aux politiques AMF existantes, notamment en modifiant les codes QR, en détournant les cookies et en bombardant l’AMF.
La couche défensive : Plutôt que de se contenter d’ajouter des couches d’authentification supplémentaires, il faut plutôt s’efforcer de les rendre plus intelligentes et plus autonomes. Les équipes de sécurité devraient utiliser l’analyse comportementale et l’automatisation pour mieux comprendre les habitudes d’accès des utilisateurs individuels afin d’établir un contexte de ce qui constitue un risque au fil du temps. Cela évite d’obliger les utilisateurs à franchir plusieurs étapes, mais permet aux contrôles intelligents d’éliminer une menace avec des couches de défense supplémentaires – comme des facteurs MFA supplémentaires – lorsque cela est nécessaire.
Points d’extrémité non protégés
Moins de la moitié des équipes informatiques appliquent des contrôles de sécurité des identités aux machines des utilisateurs fournies par l’entreprise. Cela laisse les postes de travail, les serveurs et les machines virtuelles ouverts aux ransomwares, au phishing ou à d’autres attaques axées sur les points d’extrémité. Il suffit d’un seul appareil non protégé pour être le point de départ d’une attaque par ransomware.
La couche défensive : Les organisations peuvent combiner l’AMF adaptative avec les contrôles des privilèges des postes de travail pour aider à faire face aux risques découlant d’un environnement de travail hybride dans lequel le poste de travail de n’importe quel utilisateur peut être une cible.
Applications professionnelles à haut risque
Les entreprises ont de nombreuses applications merveilleuses à portée de main, l’utilisateur moyen ayant accès à plus de 5 à 10 applications professionnelles de grande valeur. Celles-ci contiennent des ressources sensibles telles que des informations sur les clients, la propriété intellectuelle et des données financières, ce qui en fait une cible de choix pour les attaquants. Malheureusement, 80 % des entreprises ont été confrontées à une mauvaise utilisation ou à un usage abusif de ces applications par les utilisateurs au cours de l’année écoulée. Le simple fait d’exiger une connexion ne suffit pas à assurer la sécurité de ces applications : dès qu’un utilisateur s’éloigne de son écran alors qu’il est toujours connecté, toutes ces précieuses données sont exposées.
La couche défensive : une connexion ne vérifie l’identité d’un utilisateur qu’à un seul moment. Des contrôles de sécurité efficaces continueront donc à surveiller, enregistrer et auditer les actions de l’utilisateur après l’authentification. L’amélioration de la visibilité dont disposent les équipes de sécurité présente de nombreux avantages, notamment celui de pouvoir identifier la source d’un incident de sécurité (et donc de réagir) beaucoup plus rapidement.
Fournisseurs tiers
Presque toutes les entreprises bénéficient de l’utilisation d’outils tiers, mais ceux-ci présentent également des risques, car l’intégration nécessite souvent de créer un accès de super-utilisateur aux systèmes des clients. Malheureusement, il s’agit là d’un vecteur d’attaque de plus en plus populaire, puisque plus de 90 % des organisations ont connu un incident de sécurité lié à un partenaire externe.
La couche défensive : Il est important de trouver un équilibre entre la sécurité et la productivité, car il est insensé de paralyser l’objectif du produit tiers par une sécurité excessive. Trouver un moyen de systématiser le contrôle et la surveillance de l’accès privilégié des tiers sera très utile, surtout si cela peut se faire sans recourir à des VPN, des mots de passe ou des agents.
Les justificatifs d’identité en dehors de l’authentification unique
Nous savons déjà que la clé pour réduire la compromission d’identité est de sécuriser correctement les informations d’identification des utilisateurs. L’authentification unique (SSO) est le moyen le plus efficace d’y parvenir, mais compte tenu de la variété des services utilisés par chaque individu, il y a souvent de nombreuses applications et connexions en dehors de cet environnement, et certaines applications ne prennent tout simplement pas en charge l’authentification moderne basée sur le contexte. Pour aggraver les choses, ces identifiants et mots de passe sont souvent stockés dans des endroits peu sûrs ou partagés entre collègues par facilité.
La couche défensive : Lorsque le SSO ne peut pas être mis en œuvre, il est essentiel que tous les utilisateurs aient accès à un stockage des mots de passe solide, de niveau entreprise, basé sur une chambre forte. Nous savons que n’importe quel utilisateur peut devenir privilégié dans les bonnes circonstances, ils doivent donc tous être protégés avec la même importance qu’un administrateur informatique, par exemple. Non seulement un coffre-fort de mots de passe augmente la visibilité et le contrôle globaux pour les équipes de cybersécurité, mais il facilite la vie des utilisateurs en leur permettant de capturer et de récupérer automatiquement les informations d’identification en cas de besoin.
>Voir aussi : Ce qu’il faut savoir sur l’authentification des utilisateurs et la cybersécurité
Construire ces couches défensives
Dans le processus d’empilement de ces couches défensives, il est important de prêter attention aux particularités de la surface d’attaque de chaque organisation. En abordant la sécurité des utilisateurs de manière plus globale, couche par couche, et en gardant à l’esprit une attitude de confiance zéro, il est possible de développer des défenses plus solides.
David Higgins est directeur principal du bureau des technologies de terrain chez CyberArk.
Voir aussi :
Le jargon de la cybersécurité affecte la communication entre la direction et les spécialistes – Selon une étude de Kaspersky, plus de deux cinquièmes (42 %) des spécialistes britanniques de la direction estiment que le jargon de la cybersécurité est la principale raison du manque de compréhension des risques au sommet des organisations.
Les 10 cyber-hacks les plus désastreux des années 2020 jusqu’à présent – Cet article présente les 10 cyber-hacks les plus désastreux menés sur des organisations au cours de cette décennie, jusqu’à présent.