Le nouveau visage des risques de cybersécurité
-
Temps de lecture
-
Écouter
Arrêter
-
Agrandir | Réduire le texte
Les spécialistes de la cybersécurité ont du pain sur la planche – avec plus de télétravailleurs et des pirates informatiques plus astucieux, les vols de données n’ont jamais été aussi nombreux. D’après Risk Based Security, 37 milliards de dossiers ont été volés en 2020, en hausse de 141 % par rapport à l’année précédente.
L’année 2021 s’annonce déjà mouvementée sur ce plan. Les pirates qui s’étaient attaqués à SolarWinds l’an dernier ont pénétré les courriels de plus de 3 000 employés de 150 organismes gouvernementaux et humanitaires du monde, tandis que les attaques par rançongiciel ont augmenté de 102 % sur 12 mois au premier semestre de 2021 à l’échelle mondiale, d’après Check Point Software Technologies.
Apprenez-en davantage sur l’investissement de capital de risque dans l’infonuagique, les données et les technologies zéro confiance.
Il a beaucoup été question des façons de parer à cette menace grandissante au Sommet sur la cybersécurité de BMO qui s’est déroulé en mode virtuel le 25 mai. Une table ronde, animée par Charan Singh, chef de l’architecture de sécurité de BMO Groupe financier, a réuni des technologues qui ont discuté des menaces actuelles.
Participants :
•Kunal Anand, chef de la technologie, Imperva
•Rob McNutt, chef de la technologie, ForeScout Technologies
•Nayaki Nayyar, chef des produits, Ivanti
L’évolution de la sécurité des données
Les données ont été l’un des principaux sujets de discussion. Ces dernières années, les entreprises du monde entier ont accumulé le plus d’information possible, en se disant que celles qui détiendraient le plus de données auraient le dessus, souligne Rob McNutt. Cependant, plus vous possédez de données, plus vous devenez une cible pour les pirates.
Pourtant, bon nombre de sociétés continuent de recueillir des données sans avoir un plan solide pour les protéger. « C’est un peu effrayant de constater que nous avons amassé toutes ces données et que nous commençons à peine à nous demander comment empêcher qu’elles tombent aux mains de personnes malveillantes désireuses de s’en servir à mauvais escient, souligne M. McNutt. Les bris de sécurité surviennent à répétition, et les vols de données qui faisaient les manchettes font désormais partie des réalités courantes auxquelles il faut s’attendre au niveau de l’Internet et des entreprises. »
Kunal Anand ajoute que la protection des données est l’affaire de tous, que l’on travaille à sécuriser les réseaux, les applications ou les points d’accès. « La protection de l’organisation incombe à tout le monde », dit-il, ajoutant que les attaques se multiplient parce que les données sont de plus en plus précieuses. « Les gens tâchent d’accéder aux données parce qu’ils peuvent les monétiser. Directement ou indirectement, la vente de cette information à des tiers peut rapporter gros. »
Évidemment, il a fallu adapter la sécurité de données à la prolifération des intrusions. Auparavant axés sur la conformité à la réglementation, les efforts de protection deviennent plus proactifs. Les sociétés informent mieux les gens des renseignements qu’elles recueillent et de l’endroit où elles les gardent. « Désormais, nous devons non seulement comprendre où se trouve cette information, mais aussi mieux la protéger », conclut M. Anand.
La riposte au rançongiciel
Un autre problème important réside dans la fréquence accrue des attaques au rançongiciel, qui permettent à un pirate de pénétrer dans un ordinateur et de le prendre en otage jusqu’à ce que son propriétaire lui verse de l’argent.
Nous avons été à même de constater récemment la gravité de ces attaques. Par exemple, en mai, un rançongiciel a forcé Colonial Pipeline à interrompre ses activités, entraînant des pénuries de carburant qui ont fait grimper le prix de l’essence au plus haut en sept ans. La société a dû payer près de 5 millions de dollars aux pirates pour reprendre ses opérations.
Ces menaces sont présentes depuis une trentaine d’années, rappelle M. McNutt, et elles ne vont qu’empirer, en partie parce que la technologie de sécurité n’a pas évolué. Ainsi, il y a un découplage entre les réseaux internes et la sécurité. « Dans sa forme actuelle, le réseau local a une seule fonction – livrer des paquets de données rapidement et sans aucune interférence. Il n’est donc pas conçu pour réagir à ce genre d’attaque, souligne M. McNutt. Pourtant, c’est au niveau du réseau que vous pouvez contenir ces menaces ou en limiter les conséquences. »
« Si nous continuons de penser que nous allons réagir et riposter à de telles attaques en comptant sur l’ordinateur pour être sa propre police et protéger les données, nous ne serons jamais à la hauteur », ajoute-t-il.
M. Anand précise que la lutte contre la menace grandissante des rançongiciels doit faire intervenir le personnel, les processus et la technologie. « La technologie a ses limites, explique-t-il. En fin de compte, il faut se doter des bons processus. Sauvegardez-vous activement vos données? Testez-vous l’intégrité de vos copies de sauvegarde? Formez-vous et évaluez-vous vos employés pour qu’ils ne branchent pas n’importe quel lecteur à leur ordinateur? »
Le télétravail
Par ailleurs, le travail à domicile restera un enjeu permanent. Malgré la lente réouverture des bureaux, la majorité des entreprises opteront vraisemblablement pour une formule hybride dans laquelle les employés travailleront quelques jours au bureau et quelques jours à la maison. Ceci crée un problème de sécurité, puisque les gens pourront maintenant utiliser des dispositifs et accéder aux réseaux à partir de divers endroits.
Nayaki Nayyar affirme qu’en plus de trouver un moyen de sécuriser leurs données, les sociétés doivent articuler leur réflexion autour de trois axes critiques. Le premier consiste à sécuriser les dispositifs utilisés par leur personnel, le deuxième consiste à sécuriser les utilisateurs de ces dispositifs – « l’identification de ces utilisateurs est le maillon faible de la chaîne de sécurité », souligne-t-elle – et le troisième consiste à sécuriser l’accès.
Sur ce dernier point, de plus en plus de sociétés passent à l’accès zéro confiance, dans lequel l’identité de l’utilisateur doit être vérifiée à plusieurs reprises plutôt qu’une seule fois au départ. « Ceci exige un changement de mentalité à tous les échelons, explique Mme Nayyar, qui souligne que ce sera là une priorité clé pour les entreprises à l’ère de l’après-COVID. Il faudra absolument réussir à implanter cette mentalité de confiance zéro dans la culture de l’entreprise. »
Le risque lié à la chaîne d’approvisionnement
Un autre enjeu critique gravite autour du risque lié à la chaîne d’approvisionnement de logiciel. Actuellement, bien des sociétés ne connaissent pas tous les éléments des programmes qu’elles utilisent – il pourrait s’agir par exemple d’une combinaison de logiciels libres et commerciaux. Ceci les expose à des risques, puisqu’il suffit d’une seule faille de sécurité pour faire tomber une entreprise. « Il faut plus de visibilité dans la chaîne d’approvisionnement, soutient M. Anand. Les sociétés doivent responsabiliser les fournisseurs, et les fournisseurs doivent faire preuve d’une grande franchise lorsqu’un problème de sécurité touche un élément de leurs programmes. »
Une solution consiste à resserrer les exigences au moyen d’une nomenclature du logiciel, qui répertorie tous les éléments utilisés dans la création d’un programme. M. Anand voudrait que plus d’entreprises demandent une telle nomenclature et que plus de fournisseurs en offrent une en disant : « Je vais vous remettre une nomenclature dont j’assume la responsabilité et attester qu’elle inclut tous les éléments qui composent le programme ».
Une autre option consiste à rapatrier les achats informatiques au service informatique, au lieu de laisser chacun acheter les logiciels qu’il veut, comme c’est devenu la règle, soutient M. McNutt. « Il devient de plus en plus difficile de comprendre à quoi ressemble votre chaîne d’approvisionnement quand les achats de matériel et de logiciels informatiques ne sont plus centralisés, fait-il observer. Tous ces éléments se retrouvant dans le même réseau, il devient de plus en plus important que ce réseau puisse les isoler et les protéger. »
Les pirates informatiques étant de plus en plus subtils, ces enjeux vont encore gagner en importance à l’avenir. La sécurité informatique ne peut plus être une réflexion après coup, prévient Mme Nayyar. Trop d’entreprises négligent encore les principes fondamentaux de la sécurité ou n’étendent pas leurs efforts de protection à l’ensemble de leurs activités. « Il faut revenir à la base, à l’application de correctifs – cela peut s’automatiser, mais il faut s’y appliquer avec rigueur et discipline, souligne-t-elle. Nous commençons à peine à entrevoir les conséquences catastrophiques que peuvent avoir les atteintes à la cybersécurité. À mon avis, ce sera pire dans quelques années. Les sociétés doivent intégrer le souci de la sécurité informatique dans leurs activités quotidiennes et leur culture. »
Propos tenus lors du Sommet sur la cybersécurité de BMO
PARTIE 2
Infonuagique, données et zéro confiance : voilà les aspects de la cybersécurité privilégiés par les investisseurs de capital de risque
10 juin 2021
En 2020, la cybersécurité a beaucoup attiré les investisseurs, qui y ont injecté des capitaux record de 7,8&nbs…
PARTIE 3
Principales tendances liées à la technologie et aux affaires en 2021
19 mai 2021
Le moins qu’on puisse dire, c’est que les 14 derniers mois ont été une période intéressante et…
