Verizon a rcemment publi son rapport 2022 sur les enqutes relatives aux violations de donnes, qui donne aux entreprises des informations essentielles sur l’tat de la cyberscurit dans le monde. En analysant plus de 23 000 incidents et 5 200 violations confirmes sur 15 ans, Verizon attribue le motif numro un des cyberattaques au gain financier.
Prs de quatre brches sur cinq sont attribuables au crime organis, qui cherche extorquer aux entreprises des sommes considrables au titre des ranongiciels, en s’appuyant sur les indemnits d’assurance.
Verizon a galement estim qu’il y a eu une augmentation de 13 % des violations par ransomware, soit plus qu’au cours des cinq dernires annes combines. En outre, 82 % des cyber-violations impliquent un lment humain, qu’il s’agisse d’un vol d’informations d’identification, d’un hameonnage, d’une utilisation abusive ou d’une simple erreur.
Verizon affirme que les personnes continuent de jouer un rle trs important dans les incidents et les brches. Cette anne, 18 % des courriels d’hameonnage cliqus proviendraient directement d’un tlphone portable, ce qui souligne la faiblesse de la scurit des entreprises. Verizon affirme que ses statistiques soulignent l’importance de disposer d’un solide programme de sensibilisation la scurit.
Il est trs clair que les entreprises prives et les organismes publics ont dsesprment besoin de changer leur approche de la cyberscurit. Amliorer la sensibilisation la scurit, c’est bien, mais s’attaquer directement un problme qui persiste sans contestation depuis prs de deux dcennies, c’est mieux.
Dfaut systmique dans le processus d’accs
La communaut de la cyberscurit et les mdias sont largement convaincus que le principal problme de cyberscurit est li aux personnes. Cette ide est taye par des tudes telles que le dernier rapport d’enqute sur les violations de donnes de Verizon, qui rvle que plus de 80 % des cyberattaques et des violations de rseaux sont dues des erreurs humaines concernant les informations d’identification, en particulier le vol et l’utilisation abusive d’informations d’identification.
Toutefois, cette accusation est dplace. Imaginez qu’il y ait un carrefour o plus de 80 % des accidents se produisent et que les gens commencent blmer les conducteurs, suggrant qu’ils devraient tre forms pour mieux conduire. Ce qu’il faut changer, c’est la conception du carrefour, pas les gens.
Utilisation systmatique de mots de passe faibles et rutiliss
Dans toutes les brches, les humains sont toujours accuss d’utiliser des mots de passe faibles ou rutiliss. En ralit, ce problme n’est pas la faute de l’individu. Tout d’abord, il est impossible de se souvenir de centaines de mots de passe alatoires comme 9f64q3tfAT$Q532W pour cent. Les gens n’auraient jamais d tre mis dans cette situation en premier lieu. Mais n’ayant pas le choix dans le monde numrique, ils ont d recourir des mots de passe faciles retenir, des phrases ou des modles tels que 123456 pour que le processus fonctionne pour eux.
Violation systmique des lois sur la confidentialit des donnes
Les mots de passe faibles et rutiliss ne sont pas la cause premire des violations. Le plus gros problme auquel les entreprises sont confrontes survient lorsqu’elles autorisent leurs employs crer leurs propres mots de passe. Dans ce cas, les entreprises ont perdu le contrle de leurs cls, et donc de leurs donnes et de leur rseau. Si ce ne sont pas « vos cls », ce ne sont pas « vos donnes ». Cela signifie que les entreprises ne peuvent pas se conformer aux lois sur la confidentialit des donnes, ce qui peut expliquer pourquoi les violations de donnes sont si frquentes de nos jours.
Dmantlement systmique de la rsilience
En plus de perdre le contrle de leur accs, les entreprises ont adopt l’accs unique (Single Sign On, Identity Access Management, Privileged Access Management) pour tenter de rduire le nombre de mots de passe retenir, sans se rendre compte que cela supprime automatiquement des couches et des obstacles pour les criminels, en rduisant le nombre d’tapes ncessaires une fois qu’ils ont pntr dans leur rseau. Ayant cr un chemin d’or pour les criminels pour accder, scanner et localiser le privilge ncessaire pour verrouiller l’ensemble du rseau, ils ont rduit de 94,34 %.le temps global ncessaire entre l’accs initial au ransomware — de plus de deux mois 3,85 jours entre 2019 et 2021. Dans le mme processus, ils ont aggrav l’effet ngatif potentiel de toute violation de donnes en mettant toutes leurs donnes dans le mme panier accessible depuis un compte administrateur ou privilgi.
Plus d’outils de cyberscurit ou de formation ne rsoudront pas le problme
Si les lacunes en matire de scurit d’accs ne sont pas combles, l’augmentation des budgets consacrs aux outils de cyberscurit ou la formation n’empchera pas les violations ou les ransomwares. Tout comme mettre plus de gadgets dans une voiture et donner plus de leons de conduite n’empchera pas les accidents de la route si l’infrastructure est construite de manire dangereuse. Il n’est pas ncessaire de former les gens l’hygine des mots de passe s’ils ne devraient pas crer et connatre les mots de passe de l’entreprise en premier lieu.
Il n’est pas ncessaire de former les gens au hameonnage s’ils ne peuvent pas donner des mots de passe qu’ils ne connaissent pas. Il n’est pas ncessaire de dbrancher l’ensemble de l’infrastructure informatique lorsque vous souponnez une violation, lorsque chaque systme a un mot de passe diffrent et qu’il n’y a pas d’accs unique d’o tout verrouiller ou voler.
Un changement de mentalit
Au cours des dernires annes, le nombre de cyberattaques a augment en mme temps que les budgets de cyberscurit, sans que beaucoup de gens se demandent pourquoi. Bien que plus de 80 % des brches soient lies des identifiants humains, la majeure partie du budget de cyberscurit a t consacre aux vulnrabilits des infrastructures et des systmes, dont la majorit n’a pas t dtecte. Mais aujourd’hui, les risques massifs de dbordement dans le monde physique ont pouss les gens exiger un changement dans la faon dont la cyberscurit est assure. titre d’exemple, le directeur national amricain du cyberespace, Chris Inglis, a rcemment demand l’administration et aux agences fdrales de transformer leur approche et leurs investissements en matire de cyberscurit, car les efforts prcdents n’ont manifestement « pas fonctionn ».
Pourquoi les gens ne devraient pas crer leurs mots de passe en premier lieu
Investir des milliards de dollars dans la cyberscurit n’aura aucun effet si vous ne parvenez pas scuriser vos portes. Et cela commence par le fait de ne pas laisser les employs contrler les informations d’accs aux infrastructures et aux actifs des entreprises. Lorsque d’autres personnes crent les cls numriques de toute votre organisation, vous perdez la fois la visibilit et le contrle sur ce qui leur arrive.
En ralit, les mots de passe ne sont que des cls
Pour pouvoir reprendre le contrle de leurs mots de passe, les entreprises doivent traiter les mots de passe pour ce qu’ils sont : des cls. De la mme manire qu’un nouvel employ commence un nouvel emploi et reoit les cls du btiment et du bureau, il reoit des cls numriques lorsqu’il commence un nouvel emploi, et non pas qu’il fabrique les siennes.
La seule diffrence entre les cls physiques et numriques est l’absence d’obstacle physique dans le monde numrique. Pour voler des cls physiques, il faut tre proximit immdiate des cls. Les cls numriques ou les mots de passe peuvent tre vols de n’importe o dans le monde.
Chiffrez vos cls pour qu’elles ne puissent pas tre voles
En l’absence d’obstacles physiques au vol de cls, la mesure la plus efficace pour protger les cls est d’utiliser la mthode permettant de protger les secrets : la cryptographie. Il suffit aux entreprises de crypter leur accs et de distribuer les informations d’identification de tous les systmes leurs utilisateurs dans un endroit scuris auquel seul chaque utilisateur peut accder. Cette logique permet de rsoudre plus de 80 % des brches.
Source : Verizon
Et vous ?
Trouvez-vous ce rapport pertinent ?
Qu’en est-il au sein de votre entreprise ?
Voir aussi :