Verizon a récemment publié son rapport 2022 sur les enquêtes relatives aux violations de données, qui donne aux entreprises des informations essentielles sur l'état de la cybersécurité dans le monde. En analysant plus de 23 000 incidents et 5 200 violations confirmées sur 15 ans, Verizon attribue le motif numéro un des cyberattaques au gain financier. Près de quatre brèches sur cinq sont attribuables au crime organisé, qui cherche à extorquer aux entreprises des sommes considérables au titre des rançongiciels, en s'appuyant sur les indemnités d'assurance.
Verizon a également estimé qu'il y a eu une augmentation de 13 % des violations par ransomware, soit plus qu'au cours des cinq dernières années combinées. En outre, 82 % des cyber-violations impliquent un élément humain, qu'il s'agisse d'un vol d'informations d'identification, d'un hameçonnage, d'une utilisation abusive ou d'une simple erreur.
Verizon affirme que les personnes continuent de jouer un rôle très important dans les incidents et les brèches. Cette année, 18 % des courriels d'hameçonnage cliqués proviendraient directement d'un téléphone portable, ce qui souligne la faiblesse de la sécurité des entreprises. Verizon affirme que ses statistiques soulignent l'importance de disposer d'un solide programme de sensibilisation à la sécurité.
Il est très clair que les entreprises privées et les organismes publics ont désespérément besoin de changer leur approche de la cybersécurité. Améliorer la sensibilisation à la sécurité, c'est bien, mais s'attaquer directement à un problème qui persiste sans contestation depuis près de deux décennies, c'est mieux.
Défaut systémique dans le processus d'accès
La communauté de la cybersécurité et les médias sont largement convaincus que le principal problème de cybersécurité est lié aux personnes. Cette idée est étayée par des études telles que le dernier rapport d'enquête sur les violations de données de Verizon, qui révèle que plus de 80 % des cyberattaques et des violations de réseaux sont dues à des erreurs humaines concernant les informations d'identification, en particulier le vol et l'utilisation abusive d'informations d'identification.
Toutefois, cette accusation est déplacée. Imaginez qu'il y ait un carrefour où plus de 80 % des accidents se produisent et que les gens commencent à blâmer les conducteurs, suggérant qu'ils devraient être formés pour mieux conduire. Ce qu'il faut changer, c'est la conception du carrefour, pas les gens.
Utilisation systématique de mots de passe faibles et réutilisés
Dans toutes les brèches, les humains sont toujours accusés d'utiliser des mots de passe faibles ou réutilisés. En réalité, ce problème n'est pas la faute de l'individu. Tout d'abord, il est impossible de se souvenir de centaines de mots de passe aléatoires comme 9f64q3tfAT$Q£532W pour cent. Les gens n'auraient jamais dû être mis dans cette situation en premier lieu. Mais n'ayant pas le choix dans le monde numérique, ils ont dû recourir à des mots de passe faciles à retenir, à des phrases ou à des modèles tels que 123456 pour que le processus fonctionne pour eux.
Violation systémique des lois sur la confidentialité des données
Les mots de passe faibles et réutilisés ne sont pas la cause première des violations. Le plus gros problème auquel les entreprises sont confrontées survient lorsqu'elles autorisent leurs employés à créer leurs propres mots de passe. Dans ce cas, les entreprises ont perdu le contrôle de leurs clés, et donc de leurs données et de leur réseau. Si ce ne sont pas "vos clés", ce ne sont pas "vos données". Cela signifie que les entreprises ne peuvent pas se conformer aux lois sur la confidentialité des données, ce qui peut expliquer pourquoi les violations de données sont si fréquentes de nos jours.
Démantèlement systémique de la résilience
En plus de perdre le contrôle de leur accès, les entreprises ont adopté l'accès unique (Single Sign On, Identity Access Management, Privileged Access Management) pour tenter de réduire le nombre de mots de passe à retenir, sans se rendre compte que cela supprime automatiquement des couches et des obstacles pour les criminels, en réduisant le nombre d'étapes nécessaires une fois qu'ils ont pénétré dans leur réseau. Ayant créé un chemin d'or pour les criminels pour accéder, scanner et localiser le privilège nécessaire pour verrouiller l'ensemble du réseau, ils ont réduit de 94,34 %.le temps global nécessaire entre l'accès initial au ransomware -- de plus de deux mois à 3,85 jours entre 2019 et 2021. Dans le même processus, ils ont aggravé l'effet négatif potentiel de toute violation de données en mettant toutes leurs données dans le même panier accessible depuis un compte administrateur ou privilégié.
Plus d'outils de cybersécurité ou de formation ne résoudront pas le problème
Si les lacunes en matière de sécurité d'accès ne sont pas comblées, l'augmentation des budgets consacrés aux outils de cybersécurité ou à la formation n'empêchera pas les violations ou les ransomwares. Tout comme mettre plus de gadgets dans une voiture et donner plus de leçons de conduite n'empêchera pas les accidents de la route si l'infrastructure est construite de manière dangereuse. Il n'est pas nécessaire de former les gens à l'hygiène des mots de passe s'ils ne devraient pas créer et connaître les mots de passe de l'entreprise en premier lieu.
Il n'est pas nécessaire de former les gens au hameçonnage s'ils ne peuvent pas donner des mots de passe qu'ils ne connaissent pas. Il n'est pas nécessaire de débrancher l'ensemble de l'infrastructure informatique lorsque vous soupçonnez une violation, lorsque chaque système a un mot de passe différent et qu'il n'y a pas d'accès unique d'où tout verrouiller ou voler.
Un changement de mentalité
Au cours des dernières années, le nombre de cyberattaques a augmenté en même temps que les budgets de cybersécurité, sans que beaucoup de gens se demandent pourquoi. Bien que plus de 80 % des brèches soient liées à des identifiants humains, la majeure partie du budget de cybersécurité a été consacrée aux vulnérabilités des infrastructures et des systèmes, dont la majorité n'a pas été détectée. Mais aujourd'hui, les risques massifs de débordement dans le monde physique ont poussé les gens à exiger un changement dans la façon dont la cybersécurité est assurée. À titre d'exemple, le directeur national américain du cyberespace, Chris Inglis, a récemment demandé à l'administration et aux agences fédérales de transformer leur approche et leurs investissements en matière de cybersécurité, car les efforts précédents n'ont manifestement "pas fonctionné".
Pourquoi les gens ne devraient pas créer leurs mots de passe en premier lieu
Investir des milliards de dollars dans la cybersécurité n'aura aucun effet si vous ne parvenez pas à sécuriser vos portes. Et cela commence par le fait de ne pas laisser les employés contrôler les informations d'accès aux infrastructures et aux actifs des entreprises. Lorsque d'autres personnes créent les clés numériques de toute votre organisation, vous perdez à la fois la visibilité et le contrôle sur ce qui leur arrive.
En réalité, les mots de passe ne sont que des clés
Pour pouvoir reprendre le contrôle de leurs mots de passe, les entreprises doivent traiter les mots de passe pour ce qu'ils sont : des clés. De la même manière qu'un nouvel employé commence un nouvel emploi et reçoit les clés du bâtiment et du bureau, il reçoit des clés numériques lorsqu'il commence un nouvel emploi, et non pas qu'il fabrique les siennes.
La seule différence entre les clés physiques et numériques est l'absence d'obstacle physique dans le monde numérique. Pour voler des clés physiques, il faut être à proximité immédiate des clés. Les clés numériques ou les mots de passe peuvent être volés de n'importe où dans le monde.
Chiffrez vos clés pour qu'elles ne puissent pas être volées
En l'absence d'obstacles physiques au vol de clés, la mesure la plus efficace pour protéger les clés est d'utiliser la méthode permettant de protéger les secrets : la cryptographie. Il suffit aux entreprises de crypter leur accès et de distribuer les informations d'identification de tous les systèmes à leurs utilisateurs dans un endroit sécurisé auquel seul chaque utilisateur peut accéder. Cette logique permet de résoudre plus de 80 % des brèches.
Source : Verizon
Et vous ?
Trouvez-vous ce rapport pertinent ? Qu'en est-il au sein de votre entreprise ?Voir aussi :
37 % des professionnels de la cybersécurité pensent que la sécurité du cloud est la principale préoccupation en matière de cybersécurité, suivie par les ransomwares, et les travailleurs à distance Sécurité : 72 % des professionnels de la cybersécurité envisagent de quitter la profession faute de ressources, selon Censornet Les employés du classement Fortune 1000 ont des pratiques de cybersécurité moyennes à médiocres, avec un taux moyen de réutilisation des mots de passe de 64 %, selon Spycloud