Savoir qui est là

Ressources exclusives supplémentaires

Abordez le paysage des menaces
avec la sécurité des identités

Aujourd’hui, les dangers qui menacent la sécurité de l’entreprise sont plus complexes que jamais. Découvrez comment protéger rapidement vos salariés.

Lire l’infographie

5 mesures pour atténuer le cyberrisque avec la sécurité des identités

Comprenez les cinq mesures que vous pouvez prendre pour réduire le risque en mettant votre programme de sécurité des identités à niveau.

Get the brief

Sécuriser les identités numériques et réduire le risque dans l’entreprise

L’an dernier, 84 % des organisations ont été confrontées à un détournement d’identité. Comment l’empêcher et protéger votre entreprise ?

Voir le guide

The post Savoir qui est là appeared first on SailPoint.

Qu’est-ce qu’une violation de données ?

Une violation de données est tout incident dans lequel une partie non autorisée accède à des informations sensibles, protégées ou confidentielles. Lorsque la prévention des violations de données échoue, deux types de données peuvent être consultés et/ou partagés sans autorisation :

1. Données personnelles (par exemple, numéros de sécurité sociale, informations médicales ou numéros de carte de crédit)
2. Données d’entreprise (par exemple, dossiers clients, propriété intellectuelle ou documents juridiques)

En matière de prévention, il est important de comprendre qu’une violation de données n’est pas synonyme de cyberattaque. Une violation de données peut être le résultat d’une cyberattaque ou d’une simple erreur. La prévention des violations de données repose sur la compréhension des acteurs de menace, à savoir :

• Menace interne involontaire : par exemple, un employé perd son téléphone, qui contient des informations sensibles, ou envoie accidentellement des informations confidentielles à la mauvaise personne.
• Acteurs internes malveillants : par exemple, des employés mécontents ou d’anciens employés qui profitent d’un accès autorisé pour exposer illégitimement des données en représailles ou un employé qui accepte un pot-de-vin et partage des données sensibles.
• Cybercriminels – c’est-à-dire des personnes malveillantes externes à l’entreprise (par exemple, des organisations criminelles, des pirates informatiques ou des acteurs étatiques) qui lancent des cyberattaques pour dérober des données.

Anatomie d’une violation de données

La prévention des violations de données devrait tenir compte des trois étapes de base que suivent la plupart des violations de données intentionnelles causées par des acteurs de menace internes ou externes :

1. Recherche
2. Attaque
3. Compromission

1. Recherche  
La prise en compte de la manière dont un plan de violation de données commence rend la protection contre les violations de données plus efficace. Une fois la cible choisie, l’attaquant recherche les vulnérabilités qu’il peut exploiter pour accéder aux données.

2. Attaque  
Une fois qu’un cybercriminel a identifié le vecteur d’attaque sur la base des faiblesses de la prévention des violations de données, il lance une cyberattaque. Dans certains cas, les attaquants contournent la prévention des violations de données en se procurant des identifiants d’accès volés sur le dark web. Les lacunes ou faiblesses exploitées sont généralement liées aux employés, aux systèmes ou aux réseaux et comprennent les éléments suivants.

Attaques par force brute  
Pour éviter les attaques par force brute, la prévention des violations de données devrait exiger l’utilisation de mots de passe forts et de l’authentification multi-facteurs. Les attaques par force brute exploitent les mots de passe faibles, en utilisant des logiciels pour les deviner. En tirant parti de l’intelligence artificielle et de l’apprentissage automatique, les attaques par force brute sont de plus en plus efficaces pour déchiffrer les identifiants plus faibles.

Acteurs internes abusant d’un accès privilégié 
Même les meilleures mesures de prévention contre les violations de données peuvent être contournée par un acteur interne privilégié qui agit de manière malveillante. En raison de ses droits d’accès étendus, un acteur interne disposant d’un accès privilégié peut causer des ravages dans une entreprise, en utilisant son accès autorisé pour se déplacer à travers les systèmes et compromettre des informations sensibles.

Logiciels malveillants et ransomwares 
La prévention des violations de données se concentre en grande partie sur les logiciels malveillants et les ransomwares, car ce sont des vecteurs d’attaque couramment exploités. Bien qu’il existe des solutions de détection, les logiciels malveillants et les ransomwares continuent de contourner la protection contre les violations de données lorsque les utilisateurs les déclenchent accidentellement, ainsi qu’en ciblant et en exploitant les vulnérabilités du système (par exemple, les logiciels non corrigés).

Violations de sécurité physique ou de site 
Bien que la prévention des violations de données ait tendance à se concentrer sur les protections numériques, il est important de ne pas négliger la sécurité physique. Cela peut inclure l’accès non autorisé à tout, des armoires de classement aux salles de serveurs. Les compromissions physiques incluent également la perte ou le vol d’ordinateurs portables, de périphériques mobiles, de disques durs et de clés USB contenant des informations sensibles.

Attaques par ingénierie sociale 
L’ingénierie sociale est l’un des vecteurs les plus difficiles à prévenir du point de vue de la prévention des violations de données, car les personnes sont considérées comme un maillon très faible. Les cybercriminels utilisent des tactiques d’ingénierie sociale pour manipuler les gens afin de compromettre les systèmes de sécurité.

L’un des types d’ingénierie sociale les plus courants est l’hameçonnage. La prévention des atteintes à la protection des données est souvent entravée par ces e-mails, SMS, contenus de réseaux sociaux et sites Web ingénieux, mais frauduleux qui incitent les utilisateurs à exécuter des logiciels malveillants ou à communiquer des informations d’identification.

Identifiants volés 
La prévention des violations de données ne permet pas de protéger les mots de passe lorsque les utilisateurs les stockent dans des endroits physiques ou numériques évidents. Certains des pires endroits où les utilisateurs continuent de mettre des mots de passe sont sur des post-its, dans des carnets ou des journaux, dans des fichiers non chiffrés, dans des applications de messagerie ou de courriel et enregistrés dans des navigateurs. Les cybercriminels profiteront du mauvais jugement des utilisateurs pour voler ces identifiants facilement accessibles.

3. Compromission 
Une fois que la prévention des violations de données a été contournée, les cybercriminels passent à la compromission des données. Il peut s’agir d’une exfiltration, d’une destruction ou de l’exécution d’une attaque de ransomware qui chiffre les données jusqu’à ce que la rançon soit payée.

Prévention des violations de données

De nombreuses solutions de sécurité peuvent être utilisées pour la prévention des violations de données. Voici quelques-unes des plus utilisées :

• Intelligence artificielle (IA) et automatisation pour la détection et la réponse aux menaces
  • EDR (détection et réponse aux points terminaux)
  • SOAR (orchestration, automatisation et réponse de sécurité)
  • UEBA (analyse comportementale des utilisateurs et des entités)
  • XDR (détection et réponse étendues)
• Chiffrement de haute qualité pour protéger les données sensibles
  • AES-256 pour les données au repos
  • TLS 1.2+ pour les données en transit
• Gestion de l’identité et des accès (IAM)
  • Contrôle d’accès basé sur les attributs (ABAC)
  • Authentification multi-facteurs (MFA)
  • Password managers  
    • Mises à jour automatiques de mots de passe
    • Mots de passe complexes
    • Gestion des accès privilégiés (PAM)
  • Contrôle d’accès basé sur les rôles (RBAC)
  • Authentification unique (SSO)

Par ailleurs, des mesures de sécurité standard doivent être mises en œuvre et intégrées dans les processus, notamment :

• Procédures de protection des données maintenues à jour
• Configuration appropriée des bases de données, des pare-feux et des réseaux
• Évaluations régulières des vulnérabilités
• Sauvegardes programmées
• Strong Politiques de mots de passe robustes

D’autres composants de la prévention des violations de données incluent ce qui suit :

• Vérifier régulièrement les applications et les réseaux pour s’assurer qu’ils ont été mis à jour.
• Créer un processus pour identifier les vulnérabilités et anticiper les menaces dans votre réseau.
• Develop and conduct employee security training regularly with a focus on: 
  • Manipulation des données sensibles selon les protocoles de sécurité de l’entreprise
  • Identification et évitement des attaques d’ingénierie sociale, en particulier l’hameçonnage
  • Réponse à une violation de données selon les processus établis dans les plans de réponse aux incidents.
• Mettre en application les politiques de sécurité Bring Your Own Device (BYOD), telles que l’obligation pour tous les appareils d’utiliser un service VPN professionnel et une protection antivirus.
• Imposer l’utilisation d’identifiants forts et de l’authentification multi-facteurs.
• Appliquer les correctifs aux systèmes et aux réseaux dès que des mises à jour sont disponibles.
• Effectuer des audits de sécurité régulièrement (veiller à inclure tous les systèmes connectés au réseau de l’entreprise).
• Empêcher que les dispositifs de stockage de données (par exemple, disques durs et clés USB) ne soient stockés dans des endroits non sécurisés dans les bureaux.
• Mettre à niveau les appareils lorsque le logiciel n’est plus pris en charge par le fabricant.
• Adopter une approche zero-trust en matière de sécurité qui :
  • Vérifie continuellement les utilisateurs, les applications ou les composants d’infrastructure, même ceux déjà présents dans le réseau, avec une authentification, une autorisation et une validation contextuelles
  • Met en application le principe du moindre privilège, , dans lequel les utilisateurs, les applications ou les composants d’infrastructure se voient accorder les accès et les autorisations minimales nécessaires pour accomplir leurs tâches ou remplir leur rôle
  • Identifie les données sensibles et applique une classification et une protection, telles que la protection contre la perte de données (DLP)
  • Met en œuvre une surveillance complète et continue de toute l’activité réseau
  • Ne fait jamais confiance aux utilisateurs, aux applications ou aux composants de l’infrastructure, qu’ils soient internes ou externes
  • Fournit une visibilité complète sur l’ensemble de l’écosystème réseau de l’entreprise, y compris sur la manière dont les utilisateurs et les entités accèdent aux informations sensibles et les utilisent en fonction de leurs rôles et de leurs responsabilités
  • Segmente les réseaux pour empêcher les mouvements latéraux

Création d’un plan de réponse aux incidents

Un plan de réponse aux incidents bien conçu et testé est un élément essentiel de la prévention des violations de données. Bien qu’il soit appliqué à la suite d’une violation de données, il soutient la prévention des violations de données en atténuant les dommages causés et le périmètre de propagation d’un incident.

Un plan de réponse aux incidents est un ensemble de directives écrites qui indiquent aux équipes comment se préparer, identifier, réagir et se remettre d’une cyberattaque qui réussit à contourner les systèmes de protection contre les violations de données.

Il doit également fournir des détails sur ce qui constitue une violation de données.

Un plan de réponse aux incidents de violation de données efficace est fortement axé sur les équipes informatiques. Cependant, il doit également inclure des instructions pour d’autres services qui seront affectés et impliqués après une violation de données, tels que :

• Service client
• Service financier
• Ressources humaines
• Service juridique et de conformité
• Marketing et relations publiques
• Ventes
• Représentants exécutifs

Avoir un plan de réponse aux incidents de violation de données, comporte de nombreux avantages notamment :

• Accélère la réponse aux incidents 
  Un plan formel aide les entreprises à concentrer leurs activités d’évaluation des risques et de réponse pour détecter rapidement un incident ou une attaque.
• Limite le déploiement des plans coûteux de reprise après sinistre
  Une réponse rapide aux incidents après une violation de données peut souvent permettre à une entreprise d’économiser du temps et des dépenses en exécutant des plans complets de reprise après sinistre et de continuité des activités. Même lorsque les systèmes de prévention des violations de données sont compromis, une réponse rapide peut entraîner une politique d’endiguement et une résolution rapides sans mettre en œuvre les procédures de reprise après sinistre et de continuité des activités.
• Atténue les dommages causés par les menaces en facilitant une intervention précoce  
  Lorsqu’une entreprise dispose d’un plan de réponse aux incidents, l’équipe qui en est en charge est opérationnelle et sait comment agir. Cela permet non seulement d’atténuer les dommages et les pertes potentiels, mais aussi de réduire la durée de l’incident. En outre, il accélère l’analyse légale, ce qui réduit le temps de récupération.
• Conformité réglementaire
  La plupart des organismes de réglementation et de nombreuses législations (par exemple, la Loi fédérale sur la gestion de la sécurité de l’information [FISMA], la oi sur la portabilité et la responsabilité en matière d’assurance maladie [HIPAA], et la norme de sécurité des données de l’industrie des cartes de paiement [PCI-DSS]) exigent que les organisations prennent les dispositions nécessaires pour protéger les informations sensibles par des mesures de prévention des violations de données, mais aussi qu’elles disposent d’un plan de réponse aux incidents. L’absence de plan de réponse aux incidents peut entraîner des sanctions pour non-conformité.

Étapes de préparation d’un plan de réponse aux incidents pour faire face aux échecs de prévention des violations de données

Préparation. 
Avant de rédiger un plan de réponse aux incidents de violation de données, tirez parti de la prévention des violations de données ; il est possible d’en tirer des informations précieuses pour l’évaluation des risques en ce qui concerne les informations sensibles. Les éléments suivants doivent être inclus dans l’étape de préparation. Notez qu’une grande partie de ces informations peut être tirée des rapports d’évaluation des risques et des plans de prévention des violations de données.

• Catégoriser les informations sensibles
• Déterminer où se trouvent les informations sensibles et qui y a accès
• Définir ce qui constitue une violation de données
• Détailler les scénarios potentiels de cyberattaques (par exemple, ransomware, compromission des identifiants, hameçonnage)
• Déterminer le moment d’activation du plan de réponse aux incidents

Définir les membres de l’équipe de réponse aux incidents de violation de données.   
Une équipe de réponse à une violation de données sera majoritairement composée de membres de l’équipe informatique impliqués dans la prévention des violations de données, car ils ont une connaissance approfondie des personnes, des systèmes et des processus qui seront affectés par un incident. Outre l’équipe informatique, des représentants d’autres services de l’organisation doivent être inclus, comme indiqué ci-dessus. Le plan de réponse aux incidents doit inclure les coordonnées de chaque membre de l’équipe et des informations détaillées sur leur rôle.

Identifier les vulnérabilités.  
La vulnérabilité la plus importante et la plus susceptible d’être ciblée est le personnel. Prenez le temps d’élaborer et de mettre en œuvre une formation obligatoire en matière de cybersécurité afin de réduire ce risque. Utilisez les informations issues de l’évaluation des risques pour identifier d’autres vulnérabilités susceptibles d’être utilisées pour échapper à la prévention des violations de données.

Identifier les actifs critiques.
Les informations pouvant être extraites des rapports d’évaluation des risques comprennent un inventaire catégorisé des actifs. Cet inventaire doit être utilisé pour hiérarchiser les efforts après une violation de données en se concentrant sur les systèmes où se trouvent les actifs critiques et les informations sensibles.

S’assurer que des systèmes automatisés de sauvegarde des données sont en place. 
Les sauvegardes de données doivent être automatisées, les données étant stockées hors site et non connectées aux réseaux de l’organisation. En outre, il doit y avoir au moins une personne en charge des sauvegardes de données ayant une expérience en matière de récupération.

Identifier les experts externes en récupération de données après violation de données.   
Toutes les organisations doivent rechercher des experts en cybersécurité et en récupération de données et avoir leurs coordonnées à portée de main. Ces ressources fournissent une expertise précieuse pour la prévention des violations de données et la réponse aux incidents.

Élaborer une liste de contrôle du plan de réponse aux incidents de violation de données. 
Un cadre de réponse aux incidents largement utilisé est celui développé par le SANS Institute.

1. Préparation
   • Élaborer des politiques de sécurité pour la prévention des violations de données.
   • Effectuer une évaluation des risques.
   • Identifier les actifs sensibles.
   • Définir une violation de données.
2. Identification
   • Surveiller les systèmes informatiques pour détecter les activités inhabituelles et déterminer s’il s’agit d’incidents de sécurité.
   • Recueillir des preuves supplémentaires, déterminer le type et la gravité de l’incident et documenter toutes les conclusions.
3. Endiguement
   • Initier un endiguement immédiat et ciblé, comme isoler le segment réseau qui est attaqué.
   • Passer à l’endiguement temporaire, qui comprend des correctifs à court terme pour remettre les systèmes en ligne pendant que des systèmes non contaminés sont reconstruits.
4. Éradication
   • Supprimer les logiciels malveillants de tous les systèmes affectés.
   • Identifier la cause profonde de l’attaque.
   • Mettre en œuvre des mesures de remédiation pour empêcher que des attaques similaires ne se reproduisent.
5. Récupération
   • Remettre soigneusement en ligne les systèmes de production affectés pour empêcher d’autres attaques ou la propagation de logiciels malveillants.
   • Tester, valider et surveiller les systèmes affectés pour s’assurer qu’ils fonctionnent normalement.
6. Enseignements tirés
   • Effectuer un audit de l’incident.
   • Préparer une documentation complète de l’incident.
   • Déterminer si certains aspects du processus de réponse à l’incident peuvent être améliorés.
   • Mettre à jour le plan de réponse aux incidents de violation de données avec les enseignements tirés.

Créer un plan de communication.
Une communication rapide et claire est essentielle après une violation de données. Le fait d’avoir préparé des déclarations à partager avec les forces de l’ordre, les organismes de réglementation, le personnel, les clients et les médias permettra aux équipes de les adapter rapidement pour refléter les détails de l’incident et de les distribuer sans tarder.

Les projets de déclaration doivent inclure un calendrier de diffusion et les coordonnées des personnes à contacter. Étant donné que chaque État dispose de sa propre législation sur la notification des violations de données et de règles dictées par d’autres organes directeurs, il est important de faire cette recherche en amont et de savoir exactement qui doit être notifié et à quel moment.

Évaluer et mettre à jour régulièrement le plan de réponse en cas de violation de données
Les plans d’intervention en cas de violation de données doivent être régulièrement mis à jour pour tenir compte de toute modification des données, des utilisateurs et de l’infrastructure informatique. Les révisions du plan doivent tenir compte des changements réglementaires.

Préparer, planifier et réviser la prévention des violations de données pour réussir

Une réponse efficace à une violation de données commence par la préparation et la planification. Les experts s’accordent à dire que la plupart des organisations seront confrontées à une violation de données. Les organisations qui disposent d’un plan de prévention des violations de données se rétablissent plus rapidement et avec moins d’impact que celles qui n’ont pas investi de temps dans l’élaboration et la mise à jour d’un plan robuste.

Vous pourriez également être intéressé par :

Article

Qu’est-ce qu’une faille de sécurité ?

Article

Qu’est-ce qu’une violation de données ?

Blog

RIP la violation de données

The post Prévention des violations de données appeared first on SailPoint.

La gestion des mots de passe est une combinaison de systèmes et de processus utilisés pour gérer de manière sécurisée l’émission, l’accès, le stockage et la maintenance des mots de passe. En raison de la prolifération des systèmes et des appareils, elle est devenue un élément essentiel de la trousse à outils de chaque équipe informatique. La gestion des mots de passe facilite l’application des meilleures pratiques tout au long du cycle de vie des mots de passe, de leur création à leur désactivation.

Découvrez comment utiliser la gestion des mots de passe pour réduire les appels au service d’assistance, renforcer la sécurité et améliorer l’expérience utilisateur.

À mesure que les cybermenaces deviennent plus sophistiquées et efficaces, la gestion des mots de passe devient une défense essentielle contre l’accès non autorisé aux systèmes, aux applications et aux données.

La gestion des mots de passe aide les organisations à lutter contre les comportements négligents qui conduisent aux violations de données, tels que les suivantes :

• La création de mots de passe simples et faciles à deviner.
• Le partage de mots de passe par des échanges verbaux dans un bureau, des documents, des e-mails, des appels téléphoniques ou des SMS
• L’utilisation d’un mot de passe identique pour toutes les connexions
• L’écriture des mots de passe

En plus d’atténuer les pratiques à risque en matière de mots de passe, la gestion des mots de passe :

• Élimine le besoin de mémoriser les mots de passe
• Chiffre les mots de passe des utilisateurs pour renforcer la protection
• Assure la conformité avec les réglementations et les meilleures pratiques
• Facilite la création de mots de passe forts, complexes et difficiles à deviner
• Permet de créer, gérer et utiliser les mots de passe plus rapidement et plus facilement
• Minimise la réutilisation des mots de passe
• Informe les utilisateurs lorsque leurs informations d’identification ont été compromises dans le cadre d’une violation de données ou d’une tentative d’hameçonnage
• Offre la possibilité de remplir automatiquement les informations d’identification des utilisateurs en cas de détection d’un formulaire de connexion pour lequel le système dispose d’un nom d’utilisateur et d’un mot de passe
• Prend en charge la synchronisation des informations d’identification sur plusieurs appareils

Gestionnaires de mots de passe du navigateur

Les gestionnaires de mots de passe du navigateur se sont démocratisés, car les navigateurs sont le moyen le plus courant pour les utilisateurs d’accéder aux sites et aux services. La gestion des mots de passe est incluse dans toutes les principales plateformes de navigateur.

La gestion des mots de passe du navigateur permet aux utilisateurs de sauvegarder les informations d’identification des comptes ; le navigateur les remplit automatiquement. De nombreux utilisateurs utilisent la gestion des mots de passe du navigateur sans comprendre les risques de sécurité, qui incluent ce qui suit.

Les navigateurs n’ont pas été conçus pour la gestion des mots de passe. Étant donné que la gestion des mots de passe a été ajoutée aux navigateurs, la plupart d’entre eux manquent des fonctionnalités de sécurité et de productivité des solutions conçues à cet effet.

Si un appareil est volé, les mots de passe peuvent être récupérés à partir des navigateurs ouverts. Comme la plupart des utilisateurs ne se déconnectent pas des navigateurs, la gestion des mots de passe du navigateur est une approche à haut risque en matière de gestion des mots de passe.

Les mots de passe deviennent compromis si un navigateur est attaqué. Les navigateurs sont vulnérables aux cyberattaques qui infectent les appareils par le biais de pièces jointes d’e-mail malveillantes, de fichiers infectés téléchargés depuis des sites ou de visites sur des sites infectés. Les cybercriminels compromettent également les navigateurs en combinant des logiciels malveillants à des extensions de navigateur et par le biais de logiciels partagés, gratuits, publicitaires et espions.

Qu’est-ce que FIDO ?

FIDO signifie Fast Identity Online. La FIDO Alliance, une organisation à but non lucratif, a été créée en juillet 2012 avec Infineon, PayPal, Lenovo, Nok Nok, Validity Sensors et Agnitio comme entreprises fondatrices. Les normes FIDO visent à remplacer les mots de passe par un jeton unique utilisé pour l’authentification et à exploiter l’authentification multi-facteurs pour améliorer la sécurité et la convivialité.

Les utilisateurs se connectent avec des passkeys résistants à l’hameçonnage grâce à FIDO. Les passkeys remplacent les connexions basées uniquement sur les mots de passe. FIDO permet aux utilisateurs de se connecter avec des passkeys sur tous leurs appareils en utilisant une biométrie ou une clé de sécurité.

Qu’est-ce que les passkeys ?

Les passkeys sont un type d’authentification qui permet aux utilisateurs de se connecter aux applications, aux sites, aux services et aux systèmes sans saisir de mot de passe, avec les appareils que les utilisateurs ont déjà utilisés (par exemple, smartphone ou ordinateur portable). Basées sur la norme d’authentification Web, les passkeys s’appuient sur la cryptographie à clé publique pour assurer la sécurité. Cela permet d’éviter leur vol dans le cadre de cyberattaques, telles que l’hameçonnage. Avec les passkeys, la clé privée est stockée sur les appareils des utilisateurs, et la clé publique est sur les serveurs des organisations.

L’utilisation de passkeys pour l’authentification des utilisateurs élimine le recours à des noms d’utilisateur et des mots de passe vulnérables. Les passkeys remplacent les informations d’identification traditionnelles par des informations d’identification numériques analogues à des clés physiques. Les utilisateurs accèdent à ces clés numériques en se connectant à des appareils à l’aide d’un numéro d’identification personnel (NIP), d’un motif de balayage ou de données biométriques (par exemple, les empreintes digitales).

Les avantages couramment cités des passkeys sont les suivants :

• Une expérience d’authentification simplifiée pour les utilisateurs.
• Une accessibilité améliorée pour les utilisateurs en situation de handicap
• Une réduction de la charge de travail du service d’assistance en raison de la nécessité de réinitialiser les mots de passe par les utilisateurs
• Une résistance accrue aux attaques par hameçonnage
• Une approche basée sur des normes qui accélère l’intégration des fonctionnalités d’authentification pour les développeurs

Fonctionnement des gestionnaires de mots de passe

Les solutions de gestion des mots de passe, ou gestionnaires de mots de passe, fournissent un ensemble de fonctionnalités conçues pour automatiser, rationaliser et sécuriser les fonctions liées aux mots de passe. Ses fonctionnalités incluent celles qui suivent.

Créer des politiques de mots de passe personnalisées.

Pour les organisations dont les équipes ont des exigences d’accès différentes, les politiques de gestion des mots de passe peuvent être mises en œuvre à un niveau granulaire ; par exemple, des exigences d’autorisation renforcées peuvent être mises en œuvre pour les utilisateurs ayant accès à des informations sensibles.

Détecter les changements

Un système de gestion des mots de passe peut détecter automatiquement les modifications de mot de passe et les synchroniser sur toutes les applications appropriées.

Activer l’authentification multi-facteurs

La gestion des mots de passe fournit des fonctionnalités d’authentification multi-facteurs robustes pour garantir la validité des utilisateurs tentant d’accéder. Cela peut inclure la possibilité de déclencher une authentification multi-facteurs lorsque des comportements inhabituels sont détectés.

Mettre en application les exigences de mot de passe.

La gestion des mots de passe aide les organisations à mettre en œuvre et à appliquer automatiquement les politiques de mots de passe. Les organisations peuvent s’assurer que toutes les exigences sont appliquées à l’échelle du réseau, y compris l’utilisation de mots de passe forts, les mises à jour régulières des mots de passe et l’utilisation de mots de passe uniques pour différentes applications, services et systèmes.

Générer des mots de passe robustes

Une solution de gestion des mots de passe peut automatiquement créer des mots de passe uniques et robustes que les utilisateurs ont du mal à créer.

Synchroniser sur plusieurs appareils et systèmes d’exploitation

Comme les utilisateurs dépendent de plusieurs appareils, la gestion des mots de passe partage automatiquement les mots de passe entre les appareils, éliminant ainsi le besoin de saisir manuellement le mot de passe sur ces différents appareils.

Les solutions robustes de gestion des mots de passe offrent d’autres fonctionnalités :

• La capacité d’enregistrer, de surveiller et de résilier les mots de passe des utilisateurs
• Un contrôle d’accès pour les appareils des employés
• Des options de déploiement sur site et dans le cloud.
• La gestion des mots de passe sur les terminaux des employés
• Des outils de rapport
• Des fonctionnalités en libre-service

Des certifications de sécurité globale pour la gestion des mots de passe

Il existe de nombreuses certifications de sécurité associées à la gestion des mots de passe. Voici quelques-unes des certifications les plus couramment utilisées par les organisations internationales.

Règles de confidentialité transfrontalières (CBPR) de la Coopération économique pour l’Asie-Pacifique (APEC)

Les APEC CBPR sont une certification de confidentialité des données soutenue par le gouvernement, qui permet aux entreprises de prouver qu’elles respectent les mesures de protection de la confidentialité des données reconnues à l’échelle internationale. Elle met l’accent sur les pratiques de confidentialité pour garantir que les données personnelles des clients de l’APEC sont protégées conformément aux normes prescrites en cas de transfert transfrontalier.

Reconnaissance de la confidentialité pour les sous-traitants (PRP) de la Coopération économique pour l’Asie-Pacifique (APEC)

APEC PRP est une certification pour les sous-traitants de données qui travaillent au nom des organisations clientes (contrôleurs de données) pour démontrer leur capacité à mettre en œuvre efficacement les exigences de confidentialité d’un contrôleur.

Catalogue de contrôles de conformité du Cloud Computing (C5) de l’Office fédéral de la sécurité des technologies de l’information (BSI)

BSI C5 est une norme auditée qui établit une base minimale obligatoire pour la sécurité du cloud et l’adoption de solutions de cloud public. Elle a été introduite en Allemagne par le Bureau fédéral de la sécurité de l’information (BSI).

ISO  27001

ISO 27001 est une spécification reconnue internationalement pour un système de management de la sécurité de l’information (ISMS), qui évalue la gestion globale de la sécurité de l’information.

SOC2 Type II

Un audit de contrôle d’entreprise de service (SOC) Type II évalue la manière dont un fournisseur de services cloud gère les informations sensibles. Il couvre l’adéquation des contrôles d’une entreprise et son efficacité opérationnelle.

SOC3

Un audit de contrôle d’entreprise de service (SOC) III évalue les contrôles internes en matière de sécurité, de disponibilité, d’intégrité du traitement et de confidentialité.

Règlement général sur la protection des données (RGPD)

Le RGPD est un règlement qui fournit un ensemble de lois standardisées de protection des données dans l’Union européenne (UE) pour renforcer la confidentialité et étendre les droits des citoyens de l’UE en matière de données.

Bouclier de protection des données Union européenne (UE)-États-Unis (US)

Le bouclier de protection des données UE-US est un cadre juridique qui réglemente les échanges transatlantiques de données personnelles à des fins commerciales entre l’Union européenne et les États-Unis et exige des protections des données.

Défis liés à la gestion des mots de passe

La gestion des mots de passe présente de nombreux avantages, mais aussi plusieurs défis notables. Comprendre les défis permet aux organisations d’extraire de manière sécurisée et efficace la valeur maximale des solutions.

Les défis liés à la gestion des mots de passe comprennent :

• Interopérabilité
  Étant donné qu’il n’existe pas de normes obligatoires, tous les sites Web ne sont pas compatibles avec l’ensemble des systèmes de gestion des mots de passe.
• Vulnérabilité du mot de passe principal
  Étant donné que les solutions de gestion des mots de passe utilisent un mot de passe principal pour accéder à d’autres mots de passe, une compromission pourrait exposer ces derniers ; de plus, si le mot de passe principal est égaré, l’utilisateur pourrait perdre l’accès aux applications, aux services et aux systèmes.
• Préoccupations en matière de sécurité
  Ces préoccupations tournent autour de l’idée que la gestion des mots de passe peut être un point unique de défaillance, car tous les mots de passe pourraient être exposés si le système était compromis.
• Adoption par les utilisateurs
  Dans certains cas, les utilisateurs ont du mal à configurer et à utiliser de nouveaux systèmes de gestion des mots de passe.

Un autre ensemble de défis liés à la gestion des mots de passe concerne les cybermenaces, qui pèsent sur la protection des mots de passe dans les cas suivants :

• Attaques par force brute
  Des outils automatisés sont utilisés pour voler ou deviner des mots de passe.
• Violations de données
  Les cybercriminels obtiennent un accès non autorisé aux réseaux et dérobent des informations d’identification de connexion des bases de données de sites Web.
• Usurpation de connexion
  Les cybercriminels utilisent des mots de passe collectés illégalement via une fausse page de connexion.
• Attaques par observation
  Les mots de passe sont volés par un cybercriminel observant l’entrée des utilisateurs dans les systèmes (par exemple, en utilisant une caméra cachée).
• Attaques par reniflement de paquets
  Les mots de passe sont volés en utilisant plusieurs tactiques illégales, telles que le vol physique, le keylogging et les logiciels malveillants.

Meilleures pratiques en matière de gestion des mots de passe

Interdire la réutilisation des mots de passe

Les mots de passe ne doivent pas être réutilisés sur différents appareils ou applications. Chaque compte doit avoir un mot de passe unique. Cela peut être difficile à suivre sans gestion des mots de passe.

Créer et appliquer une politique de gestion des mots de passe

Fournir aux employés et aux administrateurs un guide clair pour la gestion des mots de passe afin de faciliter le respect des bonnes pratiques par les utilisateurs et leur mise en œuvre par les administrateurs.

Sensibiliser les membres de l’équipe à la sécurité en ligne

L’éducation est essentielle pour que les utilisateurs adoptent les meilleures pratiques de gestion des mots de passe. Voici quelques moyens d’expliquer l’importance des meilleures pratiques de gestion des mots de passe et d’encourager leur respect, ce qui contribuera à instaurer et à maintenir une culture de la sécurité en tant que priorité.

• Expliquer le rôle de la gestion des mots de passe dans la prévention des violations de données
• Former les employés aux meilleures pratiques de gestion des mots de passe
• Aider les employés à suivre les meilleures pratiques de gestion des mots de passe avec l’automatisation
• Cette formation devrait être accessible à tout moment et fournir des ressources que les employés peuvent consulter à leur convenance.
• Proposer des incitations telles qu’une prime en espèces ou des cartes-cadeaux peut encourager les employés à participer à la formation et aux exercices de gestion des mots de passe.

Renforcer la protection des comptes et des mots de passe des utilisateurs privilégiés

Utiliser la gestion des accès privilégiés pour ajouter une couche supplémentaire de protection aux comptes qui ont un niveau d’accès plus élevé aux données et aux applications et qui sont recherchés par les cybercriminels.

Identifier rapidement les problèmes de sécurité et aider les employés à corriger les comptes à risque

La gestion des mots de passe devrait identifier de manière proactive les problèmes de sécurité liés aux mots de passe et les comptes à risque. Lorsque des problèmes sont détectés, la solution devrait avoir des réponses automatisées pour la correction et des alertes pour ceux jugés à haut risque.

Implémenter l’authentification multi-facteurs

L’authentification multi-facteurs (MFA) exige que les utilisateurs fournissent deux preuves (facteurs) ou plus pour vérifier leur identité avant d’accorder l’accès. Ces facteurs comprennent :

• Quelque chose que vous savez : mot de passe ou numéro d’identification personnel (NIP)
• Quelque chose que vous avez : smartphone, téléphone mobile ou jeton
• Quelque chose que vous êtes : biométrie (par exemple, empreinte digitale ou reconnaissance faciale)

Rendre les changements de mot de passe obligatoires

Exiger des utilisateurs qu’ils changent leurs mots de passe selon un calendrier défini. La gestion des mots de passe automatise ce processus pour garantir la conformité.

Éliminer progressivement la gestion des mots de passe basée sur le navigateur

La gestion des mots de passe basée sur le navigateur représente un risque de sécurité. Les organisations sont encouragées à élaborer des plans visant à éliminer l’utilisation de la gestion des mots de passe par navigateur et à la remplacer par une solution spécifique.

Exiger des mots de passe robustes

Les mots de passe doivent être complexes et uniques pour empêcher les cybercriminels de les déchiffrer. Les systèmes de gestion des mots de passe peuvent automatiquement générer des mots de passe forts qui comprennent :

• Plus de huit caractères
• Une combinaison de caractères majuscules et minuscules
• Différents chiffres et symboles

Stocker les mots de passe dans un système de gestion des mots de passe

Utilisez une gestion des mots de passe conçue à cet effet pour rationaliser les processus pour les utilisateurs et faciliter l’administration par les équipes informatiques. Cela permet de définir des règles de gestion des mots de passe et d’améliorer la sécurité.

Utiliser le chiffrement des mots de passe

Le chiffrement bout en bout irréversible est un élément indispensable de la gestion des mots de passe pour protéger les informations d’identification, car même le mot de passe le plus fort est vulnérable s’il n’est pas chiffré. Il des mots de passe sécurise les données stockées ou transférées. Il sécurise les données numériques en les codant mathématiquement à l’aide de la cryptographie pour empêcher leur lecture ou leur déchiffrement avec une clé ou un mot de passe.

Gestion des mots de passe : une mise à niveau de sécurité simple, mais performante

La cybersécurité présente des défis croissants à mesure que les cybercriminels renforcent leurs tactiques grâce à des technologies sophistiquées, telles que l’intelligence artificielle et l’apprentissage automatique. Toutes les technologies mises à profit pour les empêcher d’entrer sont utilisées pour obtenir un accès non autorisé. Les équipes de sécurité utilisent un ensemble de solutions pour fournir une protection.

La gestion des mots de passe est l’une des solutions de sécurité les plus faciles à mettre en œuvre et dont l’efficacité a été prouvée. Elle permet d’éliminer presque totalement un vecteur d’attaque très exploité. La gestion des mots de passe empêche la compromission des informations d’identification qui expose les organisations à des dommages incalculables.

Vous pourriez également être intéressé par :

Produits

Simplifiez et renforcez l’administration des mots de passe

Blog

Gestion des mots de passe : La voie vers la productivité informatique

Vidéo

2 minutes sur la gestion des mots de passe

The post Meilleures pratiques en matière de gestion des mots de passe appeared first on SailPoint.

L’atténuation des ransomwares est l’une des meilleures mesures que les entreprises peuvent prendre pour prévenir ou atténuer les attaques de ransomwares. Dans cet article, nous examinons les avantages de l’atténuation des ransomwares et la manière dont elle aide les entreprises à protéger leurs données, leurs employés et leur entreprise.

Pourquoi les entreprises ont-elles besoin d’un plan d’atténuation des ransomwares ?

Un plan d’atténuation des ransomwares permet à l’entreprise de protéger ses données, ses employés et l’organisation dans son ensemble. Les ransomwares sont l’une des menaces les plus difficiles à contrer et compte tenu de son ampleur croissante, chaque organisation est exposée à un risque. Un plan d’atténuation des risques permet à l’entreprise de prendre des mesures proactives pour identifier et combler les lacunes de ses défenses.

Protection des données

La protection des données est l’aspect fondamental d’une stratégie globale de cybersécurité, et elle est particulièrement importante lorsqu’il s’agit d’atténuer les effets des ransomwares. Une infection par ransomware peut affecter non seulement la disponibilité des données, mais aussi leur confidentialité et leur intégrité.

Les opérateurs de ransomwares utilisent désormais couramment des systèmes de double extorsion : non seulement ils chiffrent les données contre une rançon, mais ils les volent également pour obliger les victimes à payer si elles ne veulent pas que leurs données sensibles soient divulguées.

Par ailleurs, le processus de chiffrement et de déchiffrement peut altérer voire détruire les données.

Protection des employés

La protection des employés contre les attaques de ransomware est aussi importante que la protection les données. Les employés peuvent être des cibles faciles pour les cybercriminels. Très souvent, par une combinaison d’ingénierie sociale et de saisie par force brute, ces acteurs transforment les employés en acteurs passifs de leur plan malveillant et les utilisent pour accéder aux systèmes de l’entreprise.

Protection de l’entreprise

Les efforts d’atténuation des ransomwares permettent à l’organisation de se protéger contre diverses conséquences, allant des pertes financières à l’atteinte à la réputation. Cela est d’autant plus vrai si l’entreprise est cotée en bourse et doit rendre des comptes aux membres du conseil d’administration, aux actionnaires et aux instances dirigeantes. Des études ont également montré que 42% des entreprises touchées par des attaques de ransomware ont déclaré avoir perdu des clients à la suite de ces attaques.

La prévalence croissante des ransomwares

Les ransomwares sont devenus un problème courant qui touche des organisations de toutes tailles et de tous secteurs. L’une des tendances qui se développent est le ransomware en tant que service, qui élimine la barrière à l’entrée pour les cybercriminels en fournissant une infrastructure, un code et d’autres composants prêts à l’emploi pour lancer une attaque sans aucune connaissance technique.

Ils offrent également aux cybercriminels un meilleur retour sur investissement que d’autres types d’attaques. Ces deux facteurs combinés indiquent que cette menace va probablement continuer à se développer.

Atténuation des ransomwares et sécurité des identités

La sécurité des identités fait partie intégrante d’une stratégie globale de cybersécurité qui permet d’atténuer les effets des ransomwares. SailPoint propose une variété de solutions qui aident les entreprises à garantir que les bons utilisateurs ont un accès approprié au moment opportun. Laissez-nous vous montrer comment nous permettons aux entreprises comme la vôtre d’y parvenir.

Vous pourriez également être intéressé par :

Article

Six risques en matière de cybersécurité et comment s’y préparer

Video

Ransomware, reconnaissance faciale et Liz Wharton

Blog

S’attaquer aux ransomwares avec un ensemble particulier de compétences

The post Atténuation des ransomwares appeared first on SailPoint.

Dans cet article, vous découvrirez en quoi consistent la détection et la réponse aux menaces, ainsi que des exemples de cybermenaces et la manière dont les renseignements sur les menaces sont utilisés pour y répondre. Découvrez comment adopter une approche proactive de la détection des menaces.

Qu’est-ce que la détection et la réponse aux menaces ?

La détection et la réponse aux menaces sont un ensemble de pratiques et d’outils de cybersécurité visant à identifier les activités malveillantes et à les neutraliser ou à les atténuer avant que les réseaux, les systèmes ou les données sensibles ne soient compromis.

La détection et la réponse les plus efficaces aux menaces sont mises en œuvre à l’aide d’une combinaison de technologies, de processus et de personnes.

Qu’est-ce que la détection des menaces ?

Il existe deux grandes catégories de menaces : connues et inconnues. Une stratégie de détection des menaces doit employer les fonctionnalités suivantes pour identifier efficacement ces deux types d’attaques.

• Détection des menaces aux points terminaux
  Identifie les événements potentiellement malveillants sur les systèmes des utilisateurs, tels que les ordinateurs de bureau, les appareils de l’Internet des objets (IoT), les ordinateurs portables, les smartphones, les serveurs, les tablettes et les postes de travail.
• Détection des menaces réseau
  Établit des modèles de trafic normal sur le réseau et surveille les anomalies.
• Détection des événements de sécurité
  Agrège les données à partir d’événements sur le réseau, y compris l’authentification, l’accès au réseau et les journaux système.
• Tests de pénétration
  Simulent des attaques sur les systèmes pour évaluer la sécurité et identifier les vulnérabilités.

Voici trois méthodes clés de détection des menaces.

1. Détection des menaces basée sur le comportement 
Identifie les comportements anormaux qui pourraient indiquer une activité sur les appareils ou les réseaux. Ce modèle de détection des menaces établit des références pour les modèles de comportement normaux, tels que le lieu habituel de connexion d’un utilisateur, l’heure de la journée à laquelle il est en ligne et les ressources auxquelles il accède, qui sont développées et régulièrement mises à jour. Si le comportement s’écarte des modèles établis, une alerte est déclenchée, signalant une activité potentiellement malveillante.

2. Détection des menaces basée sur l’apprentissage automatique 
De vastes quantités de données provenant de diverses sources, telles que les fichiers journaux, les systèmes de sécurité et les services cloud, sont traitées à l’aide de modèles d’apprentissage automatique. Les algorithmes d’apprentissage automatique utilisent des statistiques et des probabilités pour reconnaître rapidement des schémas impossibles à détecter pour les humains. En tirant des informations de l’ensemble de la surface d’attaque, la détection des menaces par apprentissage automatique joue un rôle essentiel dans l’identification des menaces inconnues.

3. Détection des menaces basée sur les signatures 
Les approches de détection des menaces basées sur les signatures analysent le trafic réseau à la recherche d’indicateurs de menaces connues (par exemple, des hachages, des noms de fichiers, des clés de registre ou des chaînes présentes dans un fichier). Lorsqu’une correspondance est trouvée, une alerte est générée.

En quoi consiste la réponse aux menaces ?

Après la détection des menaces, la réponse aux menaces comprend les mesures prises pour minimiser l’impact des cyberattaques et d’autres activités malveillantes. Une réponse efficace aux menaces dépend de la mise en place d’un plan détaillé permettant aux équipes d’agir rapidement.

Les plans de réponse aux menaces doivent détailler les rôles et les responsabilités. Les personnes impliquées dans la réponse aux menaces sont désignées sous le nom d’équipe d’intervention en cas de cyberincident (CIRT). Les CIRTs incluent généralement des représentants de toute l’entreprise (par exemple, sécurité et IT, direction, service juridique, ressources humaines, conformité, gestion des risques et relations publiques).

Voici les six étapes d’une réponse efficace aux menaces:

1. Préparation  
L’efficacité de la réponse aux menaces repose sur la préparation. Elle implique de créer et de réviser régulièrement tous les aspects du plan de réponse aux menaces afin de s’assurer que les étapes peuvent être suivies rapidement et qu’elles correspondent au panorama des menaces le plus récent. Cette préparation doit inclure une stratégie, des politiques et des plans visant à minimiser les perturbations et les dommages.

2. Identification et analyses 
La détection des menaces identifie les incidents à l’aide de données provenant de diverses sources, telles que les fichiers journaux, les outils de surveillance, les messages d’erreur, les systèmes de détection d’intrusion et les pare-feux. Après la détection des menaces, une analyse doit être effectuée pour comprendre sa nature exacte et l’étendue de l’attaque. Ces informations garantissent la réponse la plus efficace.

3. Endiguement  
Les efforts d’endiguement doivent commencer dès que possible après la détection des menaces. Il existe deux phases d’endiguement :

1. Court terme : Les mesures d’endiguement se concentrent sur l’isolement des systèmes affectés pour arrêter la propagation de la menace. Souvent, les appareils infectés sont mis hors ligne.
2. Long terme : Les mesures d’endiguement sont élargies pour renforcer les défenses et protéger les systèmes non affectés. Parfois, les ressources sensibles sont physiquement séparées par une segmentation du réseau.

4. Éradication 
Pendant la phase d’éradication, l’équipe doit rechercher et éliminer toutes les traces de la menace des systèmes affectés et non affectés. Cela peut impliquer la destruction de logiciels malveillants, le déploiement de correctifs, la reconstruction des systèmes à partir de sauvegardes ou la mise hors production permanente des systèmes.

5. Récupération
Avant que les systèmes ne soient remis en production, ils sont testés, surveillés et validés pour confirmer que les étapes d’éradication ont été respectées. Pour les incidents plus importants, la phase de récupération comprend également la décision de rétablir les opérations. Dans certains cas, les systèmes non affectés seront remis en production en premier, les systèmes infectés étant soumis à des tests supplémentaires.

6. Révision post-incident
Une fois que la menace a été traitée et que toutes les opérations ont été rétablies, une équipe examine les preuves recueillies lors de chaque étape de la réponse aux menaces pour comprendre ce qui s’est passé et comment cela peut être évité à l’avenir. Les leçons apprises sont partagées avec les équipes internes et souvent avec des tiers pour aider d’autres personnes à éviter une situation similaire. Une ressource pour signaler la cybercriminalité est l’Internet Crime Complaint Center ou IC3 du FBI, le centre central américain de signalement la cybercriminalité qui collecte des données liées aux menaces.

Exemples de cybermenaces

La sensibilisation aux types de cybermenaces auxquelles les organisations sont confrontées est essentielle pour la détection et la réponse aux menaces. Certaines des menaces les plus courantes comprennent :

• Les menaces persistantes avancées (APT)
• Les attaques par déni de service distribué (DDoS)
• Les menaces internes—malveillantes et négligentes
• Les logiciels malveillants
• L’hameçonnage
• L’ingénierie sociale
• Les ransomwares
• Les attaques contre la chaîne d’approvisionnements
• Les attaques zero-day

Utilisation des renseignements sur les menaces

Les renseignements sur les menaces sont collectés, traités et analysés pour fournir des informations sur les motivations, les cibles et les comportements des attaques. Les décisions en matière de sécurité peuvent être prises plus rapidement et passer de la réactivité à la proactivité. Voici quelques exemples de données de renseignement sur les menaces :

• Conseils en matière de défense contre les attaques
• Comportement anormal
• Tactiques, techniques et procédures d’attaque (TTPs)
• Menaces et cybercriminels connus
• Motivations d’une attaque
• Origine d’une attaque
• Types de logiciels malveillants ou infrastructure de l’attaquant
• Menaces et cybercriminels inconnus
• Vulnérabilités

Réponse aux incidents de sécurité

La célérité est essentielle lors de la réponse à un incident de sécurité. Le temps entre la détection de la menace et son endiguement doit être aussi court que possible pour minimiser les dommages.

Comme indiqué ci-dessus, un plan de réponse aux menaces devrait être la priorité absolue de chaque organisation. Quelle que soit sa taille, chaque organisation est susceptible de subir une cyberattaque et en pâtira si elle n’y fait pas face rapidement et efficacement.

Les questions à se poser et à traiter pour garantir la réponse la plus proactive possible à un incident de sécurité sont les suivantes :

• Les équipes sont-elles en place pour répondre aux alertes de détection de menace ?
• Les équipes savent-elles qui est responsable de chaque phase du plan de réponse aux menaces ?
• Une chaîne de communication est-elle en place et est-elle bien comprise par tous les membres de l’équipe ?
• Les conditions d’escalade sont-elles claires pour tous les membres de l’équipe ?
• Tous les outils et systèmes sont-ils en place pour répondre rapidement aux alertes de détection de menace ?

Détection proactive des menaces

La détection proactive des menaces dépend de l’exploitation optimale des capacités technologiques et humaines. Les outils permettent l’automatisation afin d’éliminer les tâches manuelles fastidieuses et d’améliorer la détection des menaces au-delà de ce que les personnes peuvent faire. L’élément humain permet de percevoir les nuances et de prendre des décisions que les machines ne peuvent pas prendre.

Les ressources importantes qui peuvent être utilisées pour la détection proactive des menaces comprennent :

• Solutions alimentées par l’intelligence artificielle (IA) et l’apprentissage automatique
• Surveillance et analyse continues
• Tests de pénétration
• Plans et équipes de détection et de réponse proactives aux menaces
• Chasse aux menaces

Le rôle vital de la détection et de la réponse aux menaces

La plupart des experts s’accordent à dire que la détection et la réponse aux menaces sont indispensables pour toute organisation. La profondeur et la portée de ces systèmes varient en fonction du type et de la taille de l’entreprise et des informations qu’elle collecte, utilise et stocke. La bonne nouvelle est que des solutions sont disponibles pour répondre aux besoins spécifiques de toute organisation.

Vous pourriez également être intéressé par :

Article

Qu’est-ce qu’un vecteur de menace ? Exemples en cybersécurité

Article

Qu’est-ce qu’une menace interne ?

Vidéo

Savoir qui est là

The post Détection et réponse aux menaces appeared first on SailPoint.

Une menace interne est un risque de sécurité émanant de l’intérieur d’une organisation et activé par des employés, d’anciens employés et des tiers. Souvent associée à des intentions malveillantes, une menace interne peut également résulter d’accidents innocents. Elle fait généralement référence à des cyberévénements qui permettent l’utilisation de privilèges d’accès légitimes pour obtenir un accès non autorisé à des données sensibles, des réseaux et des systèmes.

Découvrez comment la gestion des risques liés aux non-salariés contribue à atténuer les menaces internes en offrant une visibilité complète sur l’accès aux identités tierces.

Un acteur interne est « toute personne ayant ou ayant eu un accès autorisé ou une connaissance des ressources d’une organisation, y compris le personnel, les installations, les informations, l’équipement, les réseaux et les systèmes. »

-Cybersecurity & Infrastructure Security Agency (CISA)

Une menace interne avec une intention malveillante vise le plus souvent un gain financier, cherchant à perpétrer une violation de données, une fraude ou une attaque de ransomware. Cependant, certaines menaces internes malveillantes visent à perturber les opérations pour des motifs de terrorisme ou de vengeance.

Une menace interne accidentelle ou involontaire peut être déclenchée de nombreuses façons, comme en cliquant sur un lien d’hameçonnage ou en cédant à une ruse d’ingénierie sociale. Les utilisateurs innocents peuvent également devenir une menace interne en accédant accidentellement à des données sensibles sans autorisation ou en les envoyant par e-mail en dehors de l’entreprise.

Types de menaces internes

Une menace interne est généralement catégorisée comme étant malveillante ou accidentelle. Un employé malveillant est une personne (par exemple, un employé, un tiers) qui utilise ses privilèges d’accès pour voler ou nuire à une entreprise. Ce type de menace interne est également appelé menace interne intentionnelle, car les employés volent des données d’entreprise pour les vendre à des hackers, des organisations tierces ou des entreprises rivales. Une menace interne accidentelle peut se manifester de plusieurs façons, notamment des politiques de sécurité organisationnelles laxistes, un manque de formation des employés et des membres d’équipe négligents.

Au sein de ces deux catégories, il existe des sous-catégories nuancées qui méritent d’être notées, notamment les suivantes.

Employés quittant l’entreprise

Lorsqu’un employé quitte une entreprise de manière volontaire ou involontaire, il devient souvent une menace interne. Parfois, il s’agit d’un accident, un employé emportant par erreur des informations internes en rassemblant ses effets personnels et ses fichiers. D’autres fois, c’est intentionnel. Les employés sortants soustraient des informations à des fins personnelles (par exemple, secrets commerciaux, listes de clients) ou divulguent des données sensibles par vengeance.

Agents infiltrés

Similaires à des espions infiltrés, les agents infiltrés ciblent des entreprises et obtiennent des postes en tant qu’employés ou tiers pour accéder à des données et des informations sensibles. Les agents infiltrés travaillent souvent pour le compte d’un groupe externe.

Anciens employés

Les anciens employés peuvent conserver l’accès aux systèmes dans des organisations avec des processus de désactivation laxistes. Certains anciens employés deviennent une menace interne, utilisant leur accès pour causer des dommages ou voler des données, ou partageant leur accès avec une personne ou un groupe malveillant.

Taupes

Les taupes sont en réalité des acteurs de menace externes qui manipulent un employé autorisé ou un tiers pour accéder aux systèmes et aux données. Les tactiques d’ingénierie sociale sont couramment utilisées par les taupes.

Évasion

Un type hybride de menace interne, les auteurs de l’évasion mettent les entreprises en danger en ignorant, contournant ou outrepassant volontairement, parfois malicieusement, les dispositifs de sécurité.

Tiers non-salariés

Bien qu’ils ne soient pas employés, les tiers non-salariés peuvent constituer des menaces internes. Un non-salarié est un partenaire, un entrepreneur, un fournisseur, un affilié, un travailleur contingent, un volontaire, un étudiant ou un prestataire de services ayant accès aux systèmes, aux données et aux applications d’une organisation.

Le risque lié aux tiers peut être aussi dangereux, voire plus dangereux, que d’autres menaces internes, car de nombreux tiers n’ont pas le même niveau de contrôles de sécurité que les organisations qui les engagent.

Acteurs internes involontaires

Une menace interne involontaire, également appelée menace interne négligente, est souvent considérée comme plus dangereuse qu’une menace interne malveillante, car la personne n’est souvent pas consciente qu’elle a été compromise. Cela peut se produire de plusieurs façons, notamment lorsque l’utilisateur :

• laisse un appareil de travail non chiffré sans surveillance
• utilise des canaux de communication non sécurisés
• tombe dans une arnaque à l’hameçonnage
• succombe à des tactiques d’ingénierie sociale

Bien que grave, une menace interne est plus facile à combattre que d’autres cybermenaces, car le risque peut être considérablement réduit en suivant les meilleures pratiques en matière de sécurité.

Détection d’une menace interne

Bien qu’elles soient généralement furtives, il existe plusieurs signes avant-coureurs liés à la cybersécurité qui pourraient indiquer une menace interne. Comprendre comment une menace interne peut survenir et être capable d’identifier les modèles de comportement et les activités qui peuvent signifier une menace sont les meilleures façons de protéger de manière proactive les données sensibles, les réseaux et les systèmes.

Comment les menaces internes se produisent-elles ?

Une menace interne se produit lorsque des informations d’identification légitimes sont utilisées pour obtenir un accès « autorisé » aux systèmes, aux données ou aux réseaux d’une organisation. Qu’elle soit accidentelle ou malveillante, l’apparition d’une menace interne implique l’utilisation abusive des informations d’identification utilisateur au détriment d’une organisation.

Modèles de comportement des menaces internes

Une menace interne peut souvent être détectée en prêtant attention à des signes avant-coureurs comportementaux. Dans de nombreux cas, des changements dans le comportement d’un utilisateur ou des comportements inhabituels peuvent indiquer une menace. Bien qu’un seul exemple ci-dessous puisse ne pas être indicatif d’une menace, une personne doit être considérée comme une menace interne potentielle lorsque plusieurs facteurs sont applicables.

• Accès à des informations non liées à son emploi
• Tentatives de contournement des protocoles de sécurité
• Augmentation soudaine des achats d’articles haut de gamme (par exemple, vacances, bijoux, voiture, maison)
• Conflit avec les collègues
• Copie de données sur des appareils personnels
• Création de comptes non autorisés
• Comportement mécontent envers les collègues
• Téléchargement de quantités anormalement importantes de données
• Expression d’un intérêt pour des projets sensibles non liés à son emploi
• Utilisation fréquente de congés maladie
• Violations fréquentes des règles de protection des données et de conformité
• Visites fréquentes au bureau en dehors des heures de travail normales
• Niveau de stress accru
• Insatisfaction professionnelle
• Manque d’intérêt pour les projets et les missions liés à leur emploi
• Connexion au réseau à des heures inhabituelles
• Faibles évaluations dans les rapports de performance
• Utilisation abusive des frais de déplacement
• Changements soudains de mode de vie
• Discussions sur de nouvelles opportunités d’emploi ou réflexions sur la démission
• Violations des politiques de l’entreprise

Indicateurs de menace interne

D’autres indicateurs de menace interne comprennent des preuves qu’un utilisateur tente de, ou qu’un outil est utilisé pour :

• Accéder ou télécharger de grandes quantités de données
• Changer les mots de passe pour des comptes non autorisés
• Contourner les contrôles d’accès
• Connecter des appareils externes ou des appareils personnels aux systèmes organisationnels
• Accumuler des données ou copier des fichiers à partir de dossiers sensibles
• Démanteler, désactiver ou négliger les contrôles de sécurité (par exemple, chiffrement, outils antivirus, paramètres de pare-feux)
• Envoyer des données sensibles en dehors de l’organisation par e-mail
• Accéder à des données ou des applications non associées au rôle ou aux responsabilités de l’individu
• Installer du matériel ou des logiciels pour accéder aux systèmes organisationnels à distance
• Installer des logiciels non autorisés ou des logiciels malveillants
• Déplacer des données d’entreprise vers des versions personnelles d’applications approuvées
• Parcourir les réseaux et effectuer d’autres recherches de données sensibles
• Outrepasser les blocages des tentatives d’exfiltration de données
• Augmenter les privilèges d’accès
• Renommer des fichiers afin que l’extension de fichier ne corresponde pas au contenu
• Rechercher et analyser les vulnérabilités de sécurité
• Envoyer des pièces jointes à l’aide d’un service de messagerie électronique chiffré non autorisé
• Transmettre des données en dehors de l’organisation
• Utiliser des dispositifs de stockage non autorisés (par exemple, clés USB, disques durs externes)

Exemples de menaces internes

Un employé compromis

Des hackers ont compromis plusieurs comptes Twitter de haut niveau en utilisant une campagne d’hameçonnage basée sur un téléphone et ont accédé à des outils de support de compte qui les ont aidés à pirater plus de 100 comptes Twitter.

Un employé quittant l’entreprise

Dans cet exemple de menace interne, un employé a volé des informations de produit propriétaires après avoir reçu une offre d’emploi d’un concurrent. L’employé a téléchargé plus d’un demi-million de pages de propriété intellectuelle (PI) de son employeur sur ses appareils personnels, sachant que les informations seraient utiles à son nouveau poste.

Erreur d’un employé

Un employé municipal innocent a supprimé plus de 20 téraoctets (To) de données. Parmi les fichiers détruits figuraient plus de 10 To de vidéos, de photos et de notes de cas.

Un ancien employé

Un ancien employé est devenu une menace interne lorsqu’il a utilisé un compte secret qu’il avait créé pendant son mandat pour accéder au système d’expédition de l’entreprise et a supprimé des données d’expédition critiques, retardant les livraisons de produits vitaux.

Un employé contournant la sécurité

Un employé a envoyé une feuille de calcul confidentielle à sa femme pour obtenir son aide dans la résolution de problèmes de mise en forme. La feuille de calcul contenait des dizaines de milliers d’informations personnelles d’employés dans des colonnes cachées. En contournant les protocoles de sécurité et en envoyant la feuille de calcul à un appareil non sécurisé et à un non-employé, les numéros d’identification des employés, les lieux de naissance et les numéros de sécurité sociale ont été compromis.

Un employé licencié

Cet exemple de menace interne s’est produit lorsqu’un employé licencié a volé des données confidentielles sur l’activation des ventes, contournant la protection contre la perte de données (DLP) et téléchargeant des documents de grande valeur sur une clé USB et en les partageant.

Un tiers non-salarié

Des cybercriminels ont exploité les informations d’identification d’employés tiers pour pirater une application utilisée par des milliers d’entreprises. Les cybercriminels ont volé des millions de dossiers contenant des données à caractère personnel (DCP) conduisant à une amende d’environ vingt millions de dollars

Prévention et atténuation des menaces internes

Bien qu’il n’existe aucun moyen d’éliminer le risque de menace interne, certaines mesures peuvent être prises pour l’atténuer. Pour lutter contre les menaces internes :

• Gardez à l’esprit qu’il s’agit d’un problème humain.
• Maintenez les solutions et les processus de sécurité à jour
• Soyez conscient de l’emplacement des données sensibles et des ressources, ainsi que des personnes qui y ont accès
• Soyez prudent dans l’accès que vous accordez aux tiers non-salariés
• Surveillez en continu l’activité des utilisateurs et du réseau.
• Agissez immédiatement lorsque vous identifiez un incident de sécurité.
• Maintenez une visibilité granulaire sur toutes les activités des systèmes
• Configurez les systèmes pour déclencher des alertes en cas d’activité anormale
• Enquêtez sur la cause profonde des incidents de sécurité
• Établissez des bases de référence pour le comportement normal des utilisateurs
• Segmentez les réseaux pour contenir les incidents
• Mettez en application le principe du moindre privilège
• Utilisez des réseaux privés virtuels (VPNs) pour chiffrer les données et permettre aux utilisateurs de garder leur activité de navigation anonyme.
• Développez et appliquez des politiques et des programmes de sécurité robuste

Quels types d’organisations sont exposés aux menaces internes ?

Tous les types d’organisations sont exposés aux menaces internes en raison des motivations diverses des auteurs, qu’il s’agisse d’employés malveillants ou d’employés négligents. Cependant, celles qui sont le plus susceptibles de subir des attaques de violation de données sont celles qui collectent et stockent des informations sensibles.

Quels types d’informations sont généralement ciblés par les menaces internes ?

• Informations fiscales fédérales (FTI)
• Données sensibles du gouvernement
• Propriété intellectuelle (PI)
• Informations de carte de paiement (PCI)
• Données à caractère personnel (DCP)
• Informations de santé protégées (PHI)
• Données des étudiants et les dossiers éducatifs des étudiants, protégés par la Loi sur les droits et la protection de la famille en matière d’éducation (FERPA)

FAQ sur les menaces internes :

Comment prévenir les menaces internes ?

Bien que la prévention des menaces internes ne soit pas garantie, leur réduction peut être facilitée en surveillant continuellement l’activité et le comportement physique et numérique des utilisateurs, l’activité du réseau et les journaux système, ainsi qu’en dispensant une formation continue en matière de sécurité.

Quels risques sont associés aux menaces internes ?

La liste des risques associés aux menaces internes est longue ; les risques couramment cités comprennent la corruption des données, le vol de données, la fraude financière et les attaques par ransomwares.

D’où viennent les menaces internes ?

Une menace interne provient d’un utilisateur ayant un accès légitime aux ressources d’une organisation, notamment :

• Un employé malveillant qui utilise son accès pour voler des informations sensibles
• Un tiers négligent qui compromet la sécurité en ne mettant pas en œuvre et en ne suivant pas les meilleures pratiques en matière de sécurité.
• An employee or third-party non-employee who 
  • a reçu un accès à un ordinateur et/ou à un réseau
  • a reçu un badge ou un dispositif d’accès
  • dispose d’un accès privilégié à des informations et ressources sensibles
  • a une certaine connaissance des opérations de l’organisation.
  • ne suit pas intentionnellement ou délibérément les règles de cybersécurité
• Un employé, démissionnaire ou licencié, qui conserve ou utilise des identifiants actifs ou profils activés.
• Toute personne ayant des connaissances sur les fondamentaux de l’entreprise, y compris les prix, les plans futurs, le développement de produits, ainsi que les forces et les faiblesses de l’organisation.

Quelles sont les trois catégories de menaces internes ?

1. Compromission—-Un cybercriminel utilise des identifiants dérobés à un employé légitime et se fait passer pour un utilisateur autorisé pour voler des informations sensibles, souvent sans que l’utilisateur ne le sache.
2. Négligence— Un employé légitime utilise accidentellement ou expose des informations sensibles, souvent suite à de l’ingénierie sociale, à la perte ou au vol d’appareils, ou à l’envoi de courriels ou de fichiers sans autorisation.
3. Malveillance— Un utilisateur autorisé (par exemple, des employés actuels ou anciens, des tiers ou des partenaires) utilise délibérément un accès privilégié pour voler des informations sensibles à des fins néfastes, telles que la fraude, le sabotage, le chantage ou la rançon.

Quels sont les deux types d’individus constituant une menace interne ?

Les individus constituant une menace interne comprennent les pions et les traîtres. Les pions sont des employés qui sont trompés pour faciliter une cyberattaque (par exemple, tombent dans le piège de l’ingénierie sociale pour divulguer leurs identifiants, sont incités à télécharger des logiciels malveillants).

Généralement, les traîtres sont des employés qui exploitent intentionnellement leur employeur pour un gain financier ou pour nuire à l’organisation. Dans certains cas, le profil du traître n’est pas malveillant, comme dans le cas d’un lanceur d’alerte.

Combattre la menace interne insidieuse

Les organisations consacrent d’énormes ressources à la lutte contre les menaces externes. Bien que celles-ci posent de graves problèmes, il ne faut pas négliger la menace interne insidieuse. Souvent cachée à la vue de tous, une menace interne peut être tout aussi dommageable, voire plus, qu’une menace externe.

La bonne nouvelle est qu’une menace interne est, dans la plupart des cas, plus facile à détecter et à arrêter qu’une menace externe. Avec une surveillance et une formation adéquates, le défi posé par la menace interne peut être relevé. Dans la plupart des cas, bon nombre des outils utilisés pour lutter contre les menaces externes peuvent être utilisés pour empêcher une menace interne de se transformer en incident.

Vous pourriez également être intéressé par :

Vidéo

Gestion des risques liés aux non-salariés

Article

Indicateurs de menaces internes : Un guide complet

Article

Guide sur les menaces internes en cybersécurité

The post Qu’est-ce qu’une menace interne ? appeared first on SailPoint.

Une cyberattaque est tout accès non autorisé à des systèmes informatiques, des appareils numériques ou des réseaux qui vise explicitement à altérer, bloquer, contrôler, supprimer, détruire, désactiver, perturber, exposer, manipuler ou voler des données, des applications ou d’autres actifs numériques. Les motifs d’une cyberattaque sont nombreux et il en existe de nombreux types. Leur point commun est que les cyberattaques existent depuis presque aussi longtemps que les systèmes numériques, et que le volume, la vitesse et la sophistication des cyberattaques se sont accrus au fur et à mesure que l’utilisation de ces systèmes s’intensifiait.

Pourquoi les cyberattaques se produisent-elles ?

Les cyberattaques sont conçues pour causer des dommages, mais les objectifs varient en fonction de l’organisation ciblée et du criminel. Parmi les motivations les plus courantes pour une cyberattaque, on trouve :

• L’espionnage industriel
• La cyber-guerre ou le cyberespionnage contre un autre État-nation
• Le gain financier
• L’hacktivisme ou activisme informatique, qui peut être motivé par la politique, une cause, ou pour faire passer un message
• La reconnaissance et la réussite (c’est-à-dire pour se vanter)
• Des représailles de la part d’un acteur interne en rapport avec un grief

Qui sont les auteurs des cyberattaques ?

Les auteurs de la plupart des cyberattaques sont issus de ces catégories :

• Des organisations criminelles
• Des groupes soutenus par un gouvernement
• Des individus agissant seuls
• Des acteurs internes malveillants

Qui sont les cibles des cybercriminels ?

Une cyberattaque a presque toujours un objectif spécifique. Très souvent, son auteur vise à obtenir quelque chose de valeur, notamment :

• Des données financières
• Des listes de clients
• Des données clients (par exemple, des données à caractère personnel [DCP] et d’autres données sensibles)
• Des perturbations (par exemple, pour créer une distraction tout en commettant un autre crime, des représailles)
• Des adresses e-mail
• La propriété intellectuelle (par exemple, des secrets commerciaux ou des conceptions de produits)
• Des informations d’identification
• De l’argent

En fonction de l’objectif de la cyberattaque, le cybercriminel identifie une cible. Une fois une organisation cible sélectionnée, l’attaque est dirigée contre des individus.

Les auteurs de cyberattaques recherchent des personnes jugées faciles à compromettre, comme celles dont l’identité est facile à découvrir (par exemple, des personnes dont les coordonnées sont accessibles au public, par exemple sur des blogs, des sites Web d’entreprises ou des plateformes de réseaux sociaux).

Il convient de noter que les dirigeants des organisations (par exemple, les cadres supérieurs ou les directeurs), ne sont pas les cibles préférentielles ; les cibles récurrentes sont celles qui ont accès aux dirigeants, comme l’assistant d’un cadre supérieur.

Les organisations les plus couramment ciblées par les cyberattaques appartiennent à divers secteurs industriels, notamment :

• L’infrastructure critique
• L’éducation
• Les entreprises d’énergie et de services publics
• Les institutions financières
• Les agences gouvernementales et militaires
• Les organisations de soins de santé et médicales

-Comment les organisations sont-elles affectées par les cyberattaques ?

Bien que les impacts à court terme d’une cyberattaque sur une organisation puissent être significatifs, l’impact à long terme peut être encore pire. Les cyberattaques, lorsqu’elles réussissent, peuvent infliger des dommages majeurs à une organisation dans de nombreux domaines, notamment les suivants :

Perturbation des opérations

Les opérations perturbées en raison d’une cyberattaque entraînent des temps d’arrêt et des retards de service qui peuvent avoir de graves répercussions sur une organisation, impactant la productivité, entraînant des pertes financières et, dans certains cas, mettant des vies en danger.

Perte financière

Les pertes financières pour les organisations en cas de cyberattaque peuvent inclure :

• Le vol d’informations financières sensibles
• L’exécution de transactions frauduleuses
• La demande de paiements de rançon pour débloquer des données chiffrées, ainsi que les amendes et les frais juridiques associés
• La dépense de temps et d’argent pour enquêter et atténuer une cyberattaque

Perte de propriété intellectuelle

Les cyberattaques ciblent couramment la propriété intellectuelle (PI), notamment les informations propriétaires, les recherches, les données et les secrets commerciaux. Non seulement cela peut compromettre l’avantage concurrentiel et la position sur le marché d’une organisation, mais cela peut également entraîner des impacts allant du gaspillage d’investissements projetés à la perte de possibilités de revenus.

Conséquences légales et réglementaires en matière de conformité

Les organisations encourent des risques de graves conséquences légales et réglementaires à la suite d’une cyberattaque. Si une cyberattaque est considérée comme le résultat d’une défaillance de sécurité, une organisation peut se retrouver en violation des lois sur la protection des données et de la vie privée, des réglementations sectorielles et des obligations contractuelles. Chacun de ces éléments peut entraîner des amendes, des responsabilités juridiques et des poursuites.

Risques pour la sécurité nationale

La sécurité nationale peut être mise en péril lorsqu’une cyberattaque cible un organisme gouvernemental. Par exemple, une cyberattaque pourrait divulguer des informations sensibles, perturber des services essentiels ou compromettre les capacités de défense nationale si l’infrastructure critique, les systèmes gouvernementaux ou les opérations militaires sont touchés.

Dommages à la réputation

Une cyberattaque, en particulier une violation de données, entraîne souvent des dommages importants à la réputation des gouvernements et des organisations, tels que :

• Manque de confiance de la part des clients, des partenaires et du public
• Perte de clients, de partenaires et d’opportunités commerciales
• Publicité négative et dommages à la réputation de la marque

Types de cyberattaques

Les cyberattaques sont classées en plusieurs catégories. La première est une cyberattaque active par opposition à une cyberattaque passive.

Une cyberattaque active vise à impacter la Confidentialité, l’Intégrité ou la Disponibilité (c’est-à-dire le modèle de la triade CIA qui constitue la base des systèmes de cybersécurité). Une cyberattaque passive n’impacte pas les systèmes, mais se concentre sur l’accès aux données.

Une autre façon de catégoriser une cyberattaque est de la qualifier de syntaxique ou de sémantique. Une cyberattaque syntaxique fait référence à un logiciel malveillant qui infecte un ordinateur par divers canaux. Les logiciels malveillants peuvent bloquer l’accès aux fichiers, détruire des données, perturber le fonctionnement des systèmes, les rendre inopérants ou subtiliser des informations.

Une cyberattaque sémantique adopte une approche plus subtile, en manipulant le comportement de la cible. Des logiciels malveillants peuvent être utilisés, mais leur importance est moindre. L’accent est mis sur le fait de tromper une cible pour qu’elle prenne une mesure souhaitée afin de faciliter l’attaque. Par exemple, l’hameçonnage et les ransomwares combinent une cyberattaque syntaxique et une cyberattaque sémantique.

Exemples de vecteurs de cyberattaque syntaxique

Cross-site scripting 
Une cyberattaque de cross-site scripting ou XSS ajoute du code malveillant à une page Web ou une application légitime. Lorsqu’un utilisateur visite le site ou l’application compromis, le code malveillant s’exécute automatiquement dans le navigateur Web de l’utilisateur. Le cross-site scripting est généralement utilisé pour voler des informations sensibles saisies dans les formulaires du site légitime ou rediriger le visiteur vers un site Web malveillant falsifié.

Déni de service  
: Une attaque par déni de service distribuée (DDoS) est une approche qui submerge le serveur d’une cible avec un nombre écrasant de demandes de données simultanées. Ce trafic frauduleux est souvent généré par des botnets, qui sont un réseau d’appareils compromis (par exemple, des appareils de l’Internet des objets [IoT], des appareils mobiles et des ordinateurs portables) infectés par des logiciels malveillants.

Ces logiciels malveillants donnent à un cybercriminel l’accès à la puissance informatique nécessaire pour lancer une cyberattaque DDoS. Le volume et la vélocité du trafic rendent impossible le traitement des demandes légitimes par les serveurs, ce qui perturbe les opérations normales. Souvent, une attaque DDoS est utilisée pour distraire les équipes de sécurité d’un autre. vecteur d’attaque.

Usurpation de DNS (Domain Name System) 
L’usurpation de DNS ou l’empoisonnement du DNS modifie secrètement les enregistrements DNS, remplaçant l’adresse IP (Internet Protocol) d’un site Web légitime par celle qui les redirige vers une version malveillante de ce site. À partir de cette dernière, les cybercriminels volent des données ou diffusent des logiciels malveillants.

Tunneling DNS 
Le tunneling DNS est une cyberattaque syntaxique sophistiquée. Les cybercriminels établissent un accès système persistant (c’est-à-dire un tunnel) aux systèmes des cibles, fournissant un point d’entrée qui contourne les pare-feux et autres mesures de sécurité.

Ensuite, le trafic malveillant est livré en paquets à travers le tunnel DNS. Le tunneling DNS est également utilisé comme point d’extraction secrète de données ou pour créer des connexions entre des logiciels malveillants et un serveur de commande et de contrôle

Téléchargement furtif 
Les cybercriminels infectent souvent des sites Web légitimes avec des logiciels malveillants. Lorsqu’un utilisateur visite un site infecté, le système de l’utilisateur est également infecté.

Logiciel malveillant sans fichier
Une cyberattaque sans fichier ou « fileless » exploite les vulnérabilités des logiciels légitimes pour insérer du code malveillant dans la mémoire d’un système. Les cyberattaques sans fichier modifient généralement les configurations du système ou volent des mots de passe.

Chevaux de Troie   
Ils sont nommés d’après le cheval utilisé par les Grecs lors de la guerre de Troie. En termes de cyberattaque, un cheval de Troie semble bénin, mais transporte une charge malveillante.

Les chevaux de Troie sont utilisés pour plusieurs types de cyberattaques ; ils se dissimulent sous la forme d’applications ou sont intégrés dans des logiciels légitimes pour tromper les utilisateurs et les inciter à les installer.

Chevaux de Troie d’accès à distance   
Un cheval de Troie d’accès à distance ou RAT crée une porte dérobée secrète sur le système de la cible, puis l’utilise pour accéder sans soupçons à un système et à un cheval de Troie. La cyberattaque est exécutée par le cheval de Troie qui installe des logiciels malveillants supplémentaires.

Logiciel espion  
Le logiciel espion est distribué sur un système à l’aide d’un autre type de logiciel malveillant (par exemple, un ver, un virus ou un cheval de Troie). Une cyberattaque par logiciel espion se produit principalement en arrière-plan, les utilisateurs des systèmes étant inconscients de sa présence. Le logiciel espion collecte secrètement des données (par exemple, les numéros de carte de crédit, les noms d’utilisateur et les mots de passe) à partir des systèmes et envoie ces informations au cybercriminel qui a lancé l’attaque.

Injection SQL 
Une injection SQL (Structured Query Language) est une tentative de prendre le contrôle et généralement d’extraire des informations. Le code malveillant est injecté dans la base de données backend d’un site Web ou d’une application.

Une fois le code en place, les cybercriminels peuvent exploiter les vulnérabilités des applications pilotées par les données. Ils peuvent par exemple, saisir les commandes à travers les champs accessibles aux utilisateurs, tels que les barres de recherche et les fenêtres de connexion, qui sont transmises à la base de données, qui renvoie les informations sensibles souhaitées (par exemple, les numéros de carte de crédit ou les données personnelles des clients).

Virus 
Un virus est un type de logiciel malveillant autoreproductifs qui peut se fixer à un autre fichier ou programme pour se propager. Vecteur de cyberattaque couramment utilisé, les virus se trouvent souvent dans les téléchargements de fichiers et les pièces jointes d’e-mails. Une fois qu’un téléchargement est initié, le virus est activé et se réplique, se propageant à d’autres utilisateurs et systèmes.

Vers 
Les vers sont considérés comme le logiciel malveillant le plus fréquemment utilisé pour les cyberattaques syntaxiques. Ils sont autoreproductifs et peuvent rapidement se propager à travers les applications et les appareils.

Tout comme les virus, les vers sont généralement distribués via des téléchargements de fichiers et des pièces jointes. Contrairement aux virus, les vers sont autonomes et ne dépendent pas d’un autre fichier pour se propager. Type de logiciel malveillant assez sophistiqué, les vers peuvent collecter et transmettre des données à un emplacement spécifié en utilisant le réseau qu’ils ont compromis.

Exemples de vecteurs et d’approches de cyberattaque sémantique

Basé sur les informations d’identification 
Une cyberattaque basée sur les informations d’identification consiste à dérober des informations d’identification pour accéder et gérer des systèmes afin de prendre des données sensibles ou de perturber les opérations d’une organisation. Un type de cyberattaque basée sur les informations d’identification est le bourrage d’informations d’identification, qui se produit lorsque les cybercriminels utilisent des informations d’identification volées pour accéder à d’autres systèmes. Un autre type d’attaque basée sur les informations d’identification est l’attaque par force brute, dans laquelle les attaquants procèdent par essais et erreurs pour tenter de deviner les informations d’identification d’accès (par exemple, les noms d’utilisateur, les mots de passe et les clés de chiffrement).

L’homme du milieu 
Avec une attaque de l’homme du milieu, les cybercriminels obtiennent un accès au système en interceptant les communications entre deux personnes ou entre un utilisateur et un serveur. Une fois l’accès établi, le cybercriminel peut voler des données, diffuser des logiciels malveillants ou passer à d’autres systèmes.

L’hameçonnage 
L’hameçonnage est un type d’ingénierie sociale dans lequel des messages électroniques sont conçus pour tromper les destinataires en les incitant à les ouvrir, à cliquer sur des liens malveillants, à aller sur un site Web compromis ou contrefait, à télécharger et à ouvrir une pièce jointe ou à partager des informations sensibles. L’un des vecteurs de cyberattaque sémantique les plus répandus, l’hameçonnage continue d’être un outil efficace pour les cybercriminels.

SMiShing 
Le SMiShing, également appelé hameçonnage SMS, reprend le concept de l’hameçonnage et l’applique aux SMS. Comme dans le cas de l’hameçonnage, les cibles reçoivent des messages écrits pour les inciter à cliquer sur un lien malveillant ou à ouvrir un fichier infecté.

Ransomware 
L’une des cyberattaques sémantiques les plus redoutées est le ransomware.Une combinaison de logiciels malveillants et d’interaction humaine, le ransomware chiffre généralement des fichiers et des dossiers sur des disques locaux, des disques attachés et des ordinateurs en réseau.

Les cybercriminels offrent ensuite à la cible la possibilité de payer une rançon pour retrouver leurs données. Dans certains cas, la menace est que les fichiers resteront chiffrés et inaccessibles. Dans d’autres cas, la menace est que des informations sensibles seront exposées publiquement.

Scareware 
Le scareware est un autre type d’ingénierie sociale qui utilise de faux messages pour effrayer les cibles afin qu’elles effectuent une action souhaitée, comme aller sur un site falsifié, télécharger des logiciels malveillants ou révéler des informations sensibles. Par exemple, un cybercriminel enverra un message qui semble provenir des forces de l’ordre et prétendra que le destinataire doit faire quelque chose pour éviter de graves conséquences, bien que fausses.

Chaîne d’approvisionnement  
Une cyberattaque de la chaîne d’approvisionnement vise des tiers ayant des liens avec une organisation cible. Souvent, ces tiers ont une sécurité moins robuste que l’organisation cible, ce qui les rend plus faciles à compromettre. Les cybercriminels exploitent ces vulnérabilités comme points d’entrée pour lancer leur attaque sur la cible.    

Détection des cyberattaques

Il est impossible d’empêcher une tentative de cyberattaque, mais le fait d’en connaître les signes peut contribuer à empêcher le succès des cybercriminels. Les outils et approches recommandés par les experts pour détecter une cyberattaque sont les suivants :

• Logiciels antivirus et antimalware
• Renseignements sur les menaces
• Analyse de la cybersécurité
• Détection des menaces aux points terminaux
• Signalement des e-mails habituels
• Pièges pour intrus ou honeypots
• Détection des menaces réseau
• Signalement d’une activité de connexion inhabituelle
• Tests de pénétration
• Chasse proactive aux menaces
• Signalement d’un réseau plus lent que d’habitude
• Technologie de détection d’événements de sécurité
• Systèmes de gestion de l’information et des événements de sécurité (SIEM) enrichis de données de renseignement sur les menaces
• Outils de détection des menaces
• Analyse comportementale des utilisateurs et des entités (UEBA)

Réponse aux cyberattaques

Une réponse rapide est la manière la plus efficace de minimiser les dommages et les perturbations en cas de cyberattaque. Les huit étapes suivantes sont recommandées comme cadre de base pour un plan de réponse aux cyberattaques.

1. Préparation  
   Disposer d’un plan pour traiter les types de cyberattaques susceptibles de toucher l’entreprise.
2. Détection et analyse
   Utiliser des outils pour permettre une détection précoce de l’activité suspecte qui pourrait indiquer une cyberattaque. En cas d’attaque en cours, analyser les informations disponibles en examinant les journaux informatiques et réseau pour identifier la source et l’ampleur de l’attaque.
3. Endiguement de l’attaque 
   L’endiguement est essentiel, car les logiciels malveillants peuvent se propager rapidement à travers les systèmes et les réseaux.
4. Éradication des logiciels malveillants et fermeture des points de violation
   Une fois que le vecteur d’attaque a été identifié et contenu, il doit être neutralisé et détruit. Les failles doivent être comblées et les vulnérabilités connexes éliminées.
5. Évaluation de l’ampleur des dommages
   La phase d’évaluation peut fournir des informations précieuses pour que l’équipe de sécurité identifie d’éventuelles vulnérabilités restantes. C’est également important, car les types de données et de systèmes compromis peuvent déterminer quelles divulgations de suivi sont nécessaires pour respecter les exigences légales et de conformité.
6. Consultation des équipes juridiques et de conformité de l’entreprise
   Il est important de bien comprendre les obligations d’information en cas de cyberattaque. En fonction de la portée, de l’ampleur et du contenu de la cyberattaque, les exigences peuvent varier, et certaines sont obligatoires.
7. Alerte des parties concernées
   Une fois que les parties impactées nécessitant une notification ont été identifiées, elles doivent être contactées en temps opportun. Disposer d’ébauches de ces communications avant un incident permet de garantir un processus de notification sans heurts et de contrôler le message afin de limiter les atteintes à la réputation.
8. Récupération et restauration
   Dès que possible, les opérations normales doivent être rétablies et toutes les données perdues ou endommagées doivent être récupérées à partir de sauvegardes.

Prévention des cyberattaques

Si les cyberattaques sont omniprésentes et souvent efficaces, il existe de nombreuses méthodes qui rendent leur lancement plus difficile. Les solutions et tactiques de prévention des cyberattaques les plus couramment déployées sont les suivantes :

• Sauvegarder régulièrement les données.
• Effectuer régulièrement des tests de pénétration.
• Maintenir les systèmes et les applications à jour avec les derniers correctifs et versions.
• Gérer et surveiller étroitement les identités des utilisateurs.
• Tirer des enseignements des tentatives de cyberattaques passées.
• Dispenser une formation de sensibilisation à la sécurité.
• Exiger une authentification multi-facteurs et des mots de passe robustes.
• Restreindre l’accès aux systèmes et aux données, adopter une zero-trust.
• Réviser et tester régulièrement les plans de réponse en cas de cyberattaque.
• Use proven solutions, such as: 
  • Antivirus et antimalware
  • Gestion de la surface d’attaque (ASM)
  • Détection et réponse étendues (XDR)
  • Pare-feux
  • Gestion de l’identité et des accès (IAM)
  • Orchestration, automatisation et réponse de sécurité (SOAR)
  • Gestion unifiée des points terminaux (UEM)

Atténuation du risque de cyberattaque

Ce tour d’horizon des cyberattaques est un premier pas vers leur compréhension. Prenez le temps d’effectuer une analyse approfondie et d’évaluer ce que votre organisation fait pour se défendre contre une tentative de cyberattaque, ainsi que d’évaluer les processus de réponse en place. Bien que la prévention soit l’idéal, les cybercriminels sont sophistiqués et rusés et continuent de trouver des moyens de contourner même les meilleures défenses. Il est donc essentiel d’être prêt à détecter et à contenir une attaque afin d’en minimiser les dommages.

Vous pourriez également être intéressé par :

Article

Comment l’IA peut-elle contribuer à stopper les cyberattaques ?

Article

Qu’est-ce que la cyber-résilience ?

Article

Le cyberrisque

The post Qu’est-ce qu’une cyberattaque ? appeared first on SailPoint.

À mesure que de plus en plus d’entreprises se tournent vers le télétravail, la migration des charges de travail hors des réseaux traditionnels s’accélère, élargissant ainsi la surface de cyberattaque potentielle. Parallèlement, les cyberattaquants perfectionnent et adaptent leurs méthodes à mesure que les entreprises apprennent à mieux détecter les cyberattaques et à y répondre. De nombreux cybercriminels adoptent désormais des techniques avancées qui ont pour effet de compliquer la détection de leurs activités, recourent à l’automatisation pour mieux réussir et concentrent leurs attaques sur les cibles les plus précieuses des entreprises. Et comme les retombées sont de plus en plus importantes, la cybercriminalité devrait coûter au monde 10 500 milliards de dollars par an d’ici à 2025.[iii]

Six menaces de cybersécurité à surveiller.

Quelles sont donc les menaces de cybersécurité auxquelles les entreprises se heurtent ? À l’heure où les cybercriminels multiplient les tactiques pour porter atteinte à leurs cibles, voici six menaces de cybersécurité que toutes les entreprises devraient surveiller :

1. Attaques par rançongiciel : une attaque par rançongiciel est une forme d’attaque de logiciel malveillant dans laquelle l’attaquant chiffre les fichiers d’une entreprise et demande ensuite le versement d’une rançon en contrepartie de la restauration de l’accès aux données. Ce type d’attaque de cybersécurité connaît une croissance vertigineuse, au point qu’une nouvelle entreprise est victime d’un rançongiciel toutes les 10 secondes.[iv] Selon une enquête, la moitié des entreprises ont subi une attaque par rançongiciel au cours des deux dernières années.[v] Et lorsque l’on sait que le coût moyen d’une attaque par rançongiciel s’élève à 4 millions de dollars,[vi] il est clair que les répercussions peuvent être dévastatrices. Prenons l’exemple de la récente attaque par rançongiciel dont Colonial Pipeline a été victime. L’attaque, perpétrée à partir d’un seul mot de passe VPN compromis, a entraîné des pénuries de carburant et de longues files d’attente sur la côte Est des États-Unis. Le compte VPN ne faisait pas appel à l’authentification multifactorielle, de sorte que les pirates informatiques ont pu s’introduire facilement dans le réseau de Colonial.

• Attaques de phishing : dans les escroqueries de type « phishing », un attaquant envoie à un individu un courriel émanant prétendument d’une personne ou d’une entreprise légitime, afin de l’inciter à divulguer des informations confidentielles, à télécharger un logiciel malveillant, à payer une fausse facture ou à entreprendre toute autre action qui profite à l’attaquant. Ces attaques représentent plus de 80 % de tous les incidents de sécurité signalés et donnent lieu à des pertes de près de 18 000 dollars par minute.[vii] Malheureusement, les courriels de phishing gagnent en sophistication à mesure que les attaquants trouvent des moyens innovants de les faire passer pour des courriels légitimes provenant de collègues, de fournisseurs et de partenaires fiables.

• Attaques par bourrage d’identifiants : dans le cadre de cette pratique, les attaquants obtiennent des noms d’utilisateur et des mots de passe qui ont été divulgués lors de violations de données, et ils tentent ainsi de se connecter à des sites web et à des services plébiscités. Les taux de réussite étant faibles, les pirates recourent généralement à l’automatisation pour « bourrer » le site web avec de nombreux identifiants jusqu’à trouver la bonne combinaison. Ils utilisent ensuite ces identifiants pour effectuer des achats frauduleux en ligne ou accéder à des informations relatives aux cartes de crédit, aux numéros de sécurité sociale et à d’autres données sensibles. Ce type d’attaque repose sur le fait que la plupart des gens réutilisent le même mot de passe pour plusieurs comptes – et ces attaques sont à la fois fréquentes et coûteuses. Selon le Ponemon Institute, cette forme de cyberattaque fait perdre en moyenne 6 millions de dollars par an aux entreprises.[viii]

• Attaques par déni de service distribué (DDoS) : dans une attaque par déni de service distribué (DDoS), le pirate tente de mettre hors service les systèmes d’une entreprise en inondant son réseau ou ses serveurs de trafic Internet afin de le(s) submerger de demandes d’accès. Malgré leur forme rudimentaire, ces cyberattaques peuvent être très perturbatrices et entraîner la fermeture du site web d’une entreprise et d’autres services numériques pendant des jours, voire des semaines. En 2020, un nombre record de 10 millions d’attaques DDoS ont été lancées, soit une augmentation de 20 % par rapport à l’année précédente.[ix] Des attaques DDoS ont été perpétrées contre des entreprises dans de nombreux secteurs, notamment ceux des services financiers, des soins de santé, des communications, de la technologie et de l’industrie manufacturière. Une attaque DDoS qui a fait grand bruit a même mis hors service la bourse de Nouvelle-Zélande.

• Attaques de la chaîne d’approvisionnement : ces attaques tentent de porter atteinte à une entreprise afin d’atteindre d’autres entreprises au sein de la même chaîne d’approvisionnement. En compromettant le compte de messagerie d’un fournisseur, par exemple, les cybercriminels peuvent amener l’entreprise cliente à payer une fausse facture ou à transférer les factures à venir sur un compte bancaire frauduleux. Ou encore, en trouvant un moyen de nuire à toutes les entreprises qu’une entreprise approvisionne, les pirates peuvent perturber l’ensemble de la chaîne d’approvisionnement. Un exemple très médiatisé concerne le piratage, par des attaquants Russes, du logiciel de gestion informatique SolarWinds, visant à espionner des centaines d’organismes publics et de sociétés de placement. Les pirates se sont introduits dans la plate-forme SolarWinds en insérant un code malveillant dans les mises à jour du logiciel Orion, l’outil de surveillance du réseau de l’entreprise. Les clients qui ont ensuite installé un correctif pour Orion ont vu le logiciel malveillant russe s’implanter dans leurs réseaux. Malheureusement, les attaques contre la chaîne d’approvisionnement se multiplient. Pour la seule année 2020, près de 700 entités ont été touchées par ce type de cyberattaque.[x]

• Deep Fakes : Les « deep fakes », également appelés « hypertrucages », sont des images, des sons et des vidéos qui utilisent l’intelligence artificielle pour créer de faux événements. Les « deep fakes » sont généralement utilisés pour diffuser des informations trompeuses, mais ils peuvent également l’être dans le cadre de cyberattaques. Par exemple, le PDG d’une filiale britannique a versé 243 000 dollars sur un compte bancaire hongrois après avoir reçu un appel téléphonique d’une personne ayant usurpé la voix de son supérieur hiérarchique au sein de sa société mère allemande.[xi] Le cybercriminel qui a piégé le PDG semble avoir fait appel à un logiciel basé sur l’IA pour imiter la voix par téléphone. On s’attend à ce que cette nouvelle forme de cyberattaque prenne de l’ampleur dans les années à venir, à mesure que les « deep fakes » se perfectionneront et deviendront plus difficiles à détecter.

Se défendre contre les cyberattaques.

La défense d’une entreprise contre les cyberattaques est un effort de longue haleine qui demande une vigilance de tous les instants. Voici quelques conseils qui vous permettront d’améliorer votre préparation :

• Évaluez la surface d’attaque de votre entreprise et sa capacité de résistance aux menaces afin de déterminer les zones où les contrôles sont les plus nécessaires.
• Adoptez une approche centralisée de la cybersécurité pour vous assurer une bonne visibilité dans l’ensemble de l’entreprise.
• Veillez à ce que votre posture de cybersécurité vous permette de prévoir et de prévenir les cyberattaques, ainsi que de détecter les attaques et d’y répondre le cas échéant.
• En matière de mots de passe, appliquez des règles strictes qui prévoient des changements fréquents de mots de passe et l’utilisation de mots de passe complexes.
• Faites appel à l’authentification multifactorielle pour créer plusieurs niveaux de protection des mots de passe afin de lutter efficacement contre l’emploi d’identifiants volés.
• Mettez en œuvre des outils de gestion des accès privilégiés (PAM) pour vous assurer que les comptes privilégiés ne tombent pas entre de mauvaises mains.
• Utilisez des filtres anti-phishing et anti-spam fiables pour protéger les comptes de messagerie de votre entreprise.
• Dispensez à tous vos employés une formation obligatoire de sensibilisation aux risques cyber.
• Réduisez votre vulnérabilité en veillant à ce que les systèmes d’exploitation, logiciels de sécurité, applications et outils soient tous à jour.
• Mettez en place un plan d’intervention prévoyant la sauvegarde des systèmes informatiques et des données afin d’éviter toute interruption des opérations en cas de cyberattaque.
• Suivez l’évolution des risques et améliorez continuellement votre réaction aux incidents de cybersécurité à mesure que de nouvelles menaces apparaissent.

Réduire votre vulnérabilité.

Pour les entreprises d’aujourd’hui, la question n’est pas tant de savoir « si » mais « quand » une cyberattaque se produira. Alors que les entreprises renforcent leurs mesures de protection, les cybercriminels continuent d’adapter leurs stratégies et font constamment émerger de nouvelles menaces. Si les entreprises ne peuvent pas éliminer totalement ces menaces, elles peuvent, en adoptant une solide posture de cybersécurité et en prêtant une attention de tous les instants à l’évolution des menaces, réduire leur vulnérabilité et détourner les cybercriminels vers des cibles plus faciles à atteindre.

Pour conclure.

Grâce à la sécurité des identités SailPoint, vous pouvez transformer les processus manuels en processus automatisés, passer d’une approche de la sécurité axée sur la technologie à une approche centrée sur les personnes, et faire évoluer les politiques statiques pour les rendre auto-apprenantes et adaptatives.

Découvrez comment votre entreprise peut tirer parti des solutions de sécurité des identités proposées par SailPoint.

[i] Forbes, “Alarming Cybersecurity Stats – What You Need to Know for 2021, (statistiques alarmantes sur la cybersécurité – ce qu’il faut savoir pour 2021) https://www.forbes.com/sites/chuckbrooks/2021/03/02/alarming-cybersecurity-stats——-what-you-need-to-know-for-2021/?sh=668e99e058d3

[iii] Cybercrime Magazine, “Cybercrime to Cost the World $10.5 Trillion by 2025,” (la cybercriminalité coûtera au monde 10 500 milliards de dollars d’ici à 2025) https://cybersecurityventures.com/hackerpocalypse-cybercrime-report-2016/

[iv] InfoSecurity Magazine, “One Ransomware Victim Every 10 Seconds in 2020,” (une personne victime d’attaque par rançongiciel toutes les 10 secondes en 2020) https://www.infosecurity-magazine.com/news/one-ransomware-victim-every-10/

[v] Randori, “The Rising Cost of Ransomware – 2021 Report,” (le coût croissant des rançongiciels – Rapport 2021) https://www.randori.com/2021-the-cost-of-ransomware/

[vi] Beta News, “The impact and cost of ransomware in 2020,” (l’impact et le coût des rançongiciels en 2020) https://betanews.com/2020/10/09/ransomware-in-2020/#:~:text=The%20global%20cost%20of%20ransomware,t%20get%20their%20data%20back.

[vii] CSO, “Top cybersecurity facts, figures and statistics,” (faits, chiffres et statistiques sur la cybersécurité) https://www.csoonline.com/article/3153707/top-cybersecurity-facts-figures-and-statistics.html

[viii] Ponemon Institute, “The Cost of Credential Stuffing,” (le coût des attaques par bourrage d’identifiants) https://library.idgcommunications.net/idgcampaigns/documents/uploaded_data/d40/97b/1c-/original/the-cost-of-credential-stuffing_EN.pdf?1526474825

[ix] Netscout, “Netscout Threat Intelligence Report,” (rapport Netscout concernant les outils de veille sur les menaces) https://www.netscout.com/threatreport

[x]SecureWorld, “More than SolarWinds: Supply Chain Attacks Increasing,” (au-delà de SolarWinds : les attaques contre la chaîne d’approvisionnement se multiplient) https://www.secureworldexpo.com/industry-news/supply-chain-attacks-increasing

[xi] Wall Street Journal, “Fraudsters Use AI to Mimic CEO’s Voice in Unusual Cybercrime Case,” (des fraudeurs utilisent l’IA pour imiter la voix du PDG : chronique d’une affaire de cybercriminalité hors du commun) https://www.wsj.com/articles/fraudsters-use-ai-to-mimic-ceos-voice-in-unusual-cybercrime-case-11567157402

Vous pourriez également vous intéresser à :

Article

Prévention des violations de données

Article

Meilleures pratiques en matière de gestion des mots de passe

Article

Atténuation des ransomwares

The post Six risques de cybersécurité et comment s’y préparer appeared first on SailPoint.

Avec l’IA et le machine learning, il est possible de connaître une cybermenace et de l’analyser en temps réel. Elles emploient des algorithmes pour créer des modèles de comportements, qui servent à faire des prédictions sur les cyberattaques au fur et à mesure que de nouvelles données apparaissent. Ensemble, ces technologies renforcent les défenses des entreprises en prenant les menaces de vitesse et à y réagissant avec plus de précision.

Un outil performant pour lutter contre les cyberattaques.

Plus les entreprises opèrent leur transformation numérique et plus les cyberattaques se multiplient. Aux États-Unis par exemple, l’année 2021 a battu tous les records : le nombre de violation de données à la fin du troisième trimestre a dépassé la totalité de celles de 2020, soit plus 17 %, d’après le Centre de recherches sur les vols d’identité (ITRC, Identity Theft Research Center).^[i] En même temps, les attaques par ransomwares ont augmenté à un taux alarmant, un incident coûtant en moyenne plus de 700 000 dollars.^[ii] Aujourd’hui, les piratages avec demande de rançon se produisent toutes les 11 secondes^[iii] et entraînent une interruption de l’activité d’une durée moyenne de 21 jours.^[iv]

Si les pirates lancent des attaques de plus en plus sophistiquées pour faire tomber les réseaux professionnels, l’IA et le machine learning peuvent les en prémunir. En effet, ces technologies deviennent des outils répandus à la disposition des spécialistes de la cybersécurité dans leur combat incessant contre les malfaiteurs.

D’après le Capgemini Research Institute, 61 % des organisations disent qu’elles ne pourront pas identifier des menaces sérieuses sans l’AI, 69 % estiment que l’IA sera nécessaire pour faire face aux cyberattaques.^[v] En effet, le marché de l’IA dans la cybersécurité devrait atteindre 46,3 milliards de dollars d’ici à 2027.^[vi]

Voici trois façons d’utiliser l’IA et le machine learning dans la cybersécurité :

1. La détection des anomalies: L’AI et le machine learning utilisent l’analyse des comportements et des paramètres sans cesse révisés pour détecter les anomalies susceptibles d’être des signes d’attaque.

2. La prévision de futures violations de données: Avec l’IA et le machine learning, il devient possible de traiter de grandes quantités de données de toutes sortes pour prédire les cybermenaces avant qu’elles soient mises à exécution.

3. La réaction en temps réel aux violations de données : L’IA et le machine learning peuvent envoyer des alertes lorsqu’une cybermenace est détectée, ou répondre de façon autonome, sans intervention humaine, en créant automatiquement et sur le champ des correctifs défensifs quand une attaque est détectée.

Les avantages de l’IA et du machine learning

Les organisations qui intègrent l’IA et le machine learning dans leur programme de cybersécurité engrangent des bénéfices substantiels. En voici quelques-uns :

• Une plus grande vitesse de détection et de réaction : L’IA et le machine learning permettent l’analyse d’énormes quantités de données en quelques secondes et, de ce fait, elles détectent les menaces bien plus vite qu’avec un traitement manuel. Qui plus est, elles peuvent mettre en œuvre des correctifs et remédier aux menaces quasiment en temps réel, ce qui réduit considérablement les temps de réaction. Face à la vitesse de pénétration des cybercriminels dans l’infrastructure d’une organisation, il est capital de pouvoir détecter les attaques et d’y répondre instantanément.

• La réduction des coûts informatiques : Il est bien moins difficile de détecter les cybermenaces et d’y réagir grâce à l’IA et au machine learning, ce qui en fait des technologies rentables. Selon le rapport de Capgemini, la réduction moyenne des coûts est de 12 %, certaines entreprises allant jusqu’à 15 % d’économies.^[vii]

• Une plus grande efficacité pour les cyberanalystes :  Avec l’IA et le machine learning, les cyberanalystes voient leur charge de travail diminuer, car ils n’ont plus à passer en revue des montagnes de données. Ces technologies peuvent les alerter en cas d’attaque et les renseigner sur le type d’attaque, ce qui les prépare à apporter la réponse qui convient. Disposant en permanence d’une analyse complète des comportements, ils sont mieux armés pour gérer les menaces les plus complexes avec moins de travail manuel.

• Un meilleur dispositif de sécurité global : Grâce à l’IA et au machine learning, plus il y a de données analysées et plus ces technologies apprennent des modèles précédents, plus la cybersécurité se renforce et plus elles sont compétentes pour repérer l’activité suspecte. En outre, comme leur protection s’étend au macro-niveau comme au micro-niveau, cela crée des défenses plus efficaces que celles que l’on obtiendrait avec des méthodes manuelles.

Diverses possibilités d’utilisation

Certes l’IA et le machine learning ne sont pas exempts de risques, mais on ne peut que s’attendre à ce que leur utilisation se perfectionne au fil du temps. Déjà, ces technologies se sont avérées d’une grande efficacité dans toutes sortes de cas d’usage. Parmi les plus courants, où des sociétés font un usage effectif de l’IA et du machine learning on peut citer :

• La notation des risques réseau : Nombreuses sont les entreprises qui utilisent l’IA et le machine learning pour classer les risques auxquels les exposent différents segments de leur réseau. Le machine learning sert à analyser des ensembles de données avant une cybermenace pour savoir quelles parties de leur réseau ont été le plus ciblées. Elle sert aussi à déterminer quelles parties du réseau, s’il était compromis, porteraient le plus atteinte à la société. Après avoir attribué une note à chaque partie du réseau de l’entreprise, les cyberanalystes affectent leurs ressources en priorité sur les risques les plus élevés.

• Détecter rapidement les intrusions : Les sociétés utilisent aussi l’IA pour obtenir des renseignements précis et automatiques sur toute activité malveillante. Avec le machine learning, les organisations sont en mesure de détecter et analyser les cyberattaques et s’en défendre en temps réel, de sorte qu’elles répondent aux intrusions dès qu’elles se produisent.

• Identifier les comportements suspects : On utilise également l’IA et le machine learning pour repérer un comportement suspect de la part d’un utilisateur. En surveillant les agissements inattendus, par exemple des connexions à des heures inhabituelles de la journée ou un nombre de téléchargements inhabituellement élevé, les organisations parviennent à distinguer, à l’aide du machine learning, les comportements normaux des comportements aberrants qui peuvent indiquer une cyberattaque. Ainsi, elles sont en mesure de remédier aux failles avant qu’une violation de données ait lieu.

• Détecter la fraude : De nombreuses sociétés se protègent de la fraude financière grâce à des algorithmes de machine learning pour prédire des comportements inhabituels de la part de leurs clients. En effet, ces technologies ont la capacité de reconnaître les comportements qui sortent de l’ordinaire, ce qui permet aux entreprises de détecter des fraudes avant qu’elles ne se produisent et de réduire leurs pertes financières.

• Découvrir les logiciels malveillants : Avec l’IA et le machine learning, les organisations peuvent également prédire de futures infections par des malwares. Utiliser des modèles trouvés dans l’apprentissage automatique de précédents logiciels malveillants permet aux cyberanalystes de prédire les attaques de malware et de remédier au risque à une vitesse inatteignable avec des processus manuels.

Comment planifier votre mise en œuvre.

Intégrer l’IA et le machine learning dans une stratégie de cybersécurité peut être compliqué, et souvent les organisations ont du mal à savoir par où commencer. Voici quelques conseils pour vous aider à obtenir les meilleurs résultats quand vous vous attelez à votre projet d’implémentation :

• Embauchez des cyberanalystes qui connaissent l’utilisation de l’IA et du machine learning sur le bout des doigts, et déterminez les tâches que vous envisagez d’automatiser et celles que vous préférez confier à des êtres humains.
• Veillez à avoir les ensembles de données dont vous avez besoin à l’aide d’algorithmes d’IA, que ces données sont complètes et à jour et qu’elles sont bien intégrées à votre infrastructure et à vos applications.
• Pour commencer, limitez-vous à un ou deux cas faciles à mettre en œuvre et qui offrent des bénéfices tangibles à votre organisation, et définissez des indicateurs clairs pour mesurer la réussite de ces projets tests.
• Planifiez clairement les tâches qui vous permettent de valider d’éventuelles menaces, de définir des priorités et d’analyser les menaces potentielles.
• Créez des processus de contrôle pour déterminer si un algorithme d’IA ne se comporte pas comme prévu, de façon à pouvoir parer rapidement à tous problèmes.
• Évaluez les résultats de vos projets tests et mettez en œuvre les changements à apporter à d’autres parties de votre stratégie de cybersécurité tandis que vous y incorporez l’IA et le machine learning.

De puissants outils pour faire remonter les problèmes.

Pour vous prémunir contre des cyberattaques de plus en plus nombreuses et sophistiquées, l’IA et le machine learning sont un moyen très puissant. Si elle a mis les bons outils en place, votre organisation peut détecter une cyberattaque et y réagir en temps réel, tout en déjouant les menaces avant qu’elles ne se transforment en problèmes graves. Capable de détecter les dangers plus vite et à moindre frais grâce à un dispositif de sécurité renforcé, vous ne risquez pas d’être dépassé par la vitesse et l’ampleur des risques d’aujourd’hui.

Dans votre travail de renforcement de votre stratégie de la cybersécurité, SailPoint peut vous aider à obtenir de meilleurs résultats. Découvrez comment, la plateforme complète de gestion de l’identité de SailPoint exploite la richesse des moyens de détection et d’atténuation autonomes des risques du machine learning, et permet aux sociétés de protéger dynamiquement leurs entreprises hébergées dans le cloud des cyberattaques les plus sophistiquées.

^[i]Identity Theft Resource Center to Share Latest Data Breach Analysis with U.S. Senate Commerce Committee; Number of Data Breaches in 2021 Surpasses all of 2020 – Identity Theft Resource Center (idtheftcenter.org)

^[ii] Understanding the true, hidden costs of ransomware attacks on the business (acronis.com)

^[iii] Global Ransomware Damage Costs Predicted To Reach $20 Billion (USD) By 2021 (cybersecurityventures.com)

^[iv] Ransomware Payments Decline in Q4 2020 (coveware.com)

^[v] AI-in-Cybersecurity_Report_20190711_V06.pdf (capgemini.com)

^[vi] Artificial Intelligence (AI) in Cybersecurity Market | Meticulous Market Research Pvt. Ltd. (meticulousresearch.com)

^[vii] AI-in-Cybersecurity_Report_20190711_V06.pdf (capgemini.com)

Vous pourriez également vous intéresser à :

Solution Brief

Une solution de sécurité des identités qui ouvre a voie à une efficacité…

eBook

The new era of IT and cost efficiency

Infographic

À l’ère de l’accélération numérique, la sécurité des identit…

The post Comment l’IA et le machine learning améliorent la cybersécurité appeared first on SailPoint.

The post Une solution de sécurité des identités qui ouvre a voie à une efficacité informatique renforcée appeared first on SailPoint.