Le nouveau visage des risques de cybersécurité
- Courriel
-
Signet
-
Imprimer
Les spécialistes de la cybersécurité ont du pain sur la planche – avec plus de télétravailleurs et des pirates informatiques plus astucieux, les vols de données n’ont jamais été aussi nombreux. D’après Risk Based Security, 37 milliards de dossiers ont été volés en 2020, en hausse de 141 % par rapport à l’année précédente.
L’année 2021 s’annonce déjà mouvementée sur ce plan. Les pirates qui s’étaient attaqués à SolarWinds l’an dernier ont pénétré les courriels de plus de 3 000 employés de 150 organismes gouvernementaux et humanitaires du monde, tandis que les attaques par rançongiciel ont augmenté de 102 % sur 12 mois au premier semestre de 2021 à l’échelle mondiale, d’après Check Point Software Technologies.
Apprenez-en davantage sur l’investissement de capital de risque dans l’infonuagique, les données et les technologies zéro confiance.
Il a beaucoup été question des façons de parer à cette menace grandissante au Sommet sur la cybersécurité de BMO qui s’est déroulé en mode virtuel le 25 mai. Une table ronde, animée par Charan Singh, chef de l’architecture de sécurité de BMO Groupe financier, a réuni des technologues qui ont discuté des menaces actuelles.
Participants :
•Kunal Anand, chef de la technologie, Imperva
•Rob McNutt, chef de la technologie, ForeScout Technologies
•Nayaki Nayyar, chef des produits, Ivanti
L’évolution de la sécurité des données
Les données ont été l’un des principaux sujets de discussion. Ces dernières années, les entreprises du monde entier ont accumulé le plus d’information possible, en se disant que celles qui détiendraient le plus de données auraient le dessus, souligne Rob McNutt. Cependant, plus vous possédez de données, plus vous devenez une cible pour les pirates.
Pourtant, bon nombre de sociétés continuent de recueillir des données sans avoir un plan solide pour les protéger. « C’est un peu effrayant de constater que nous avons amassé toutes ces données et que nous commençons à peine à nous demander comment empêcher qu’elles tombent aux mains de personnes malveillantes désireuses de s’en servir à mauvais escient, souligne M. McNutt. Les bris de sécurité surviennent à répétition, et les vols de données qui faisaient les manchettes font désormais partie des réalités courantes auxquelles il faut s’attendre au niveau de l’Internet et des entreprises. »
Kunal Anand ajoute que la protection des données est l’affaire de tous, que l’on travaille à sécuriser les réseaux, les applications ou les points d’accès. « La protection de l’organisation incombe à tout le monde », dit-il, ajoutant que les attaques se multiplient parce que les données sont de plus en plus précieuses. « Les gens tâchent d’accéder aux données parce qu’ils peuvent les monétiser. Directement ou indirectement, la vente de cette information à des tiers peut rapporter gros. »
Évidemment, il a fallu adapter la sécurité de données à la prolifération des intrusions. Auparavant axés sur la conformité à la réglementation, les efforts de protection deviennent plus proactifs. Les sociétés informent mieux les gens des renseignements qu’elles recueillent et de l’endroit où elles les gardent. « Désormais, nous devons non seulement comprendre où se trouve cette information, mais aussi mieux la protéger », conclut M. Anand.
La riposte au rançongiciel
Un autre problème important réside dans la fréquence accrue des attaques au rançongiciel, qui permettent à un pirate de pénétrer dans un ordinateur et de le prendre en otage jusqu’à ce que son propriétaire lui verse de l’argent.
Nous avons été à même de constater récemment la gravité de ces attaques. Par exemple, en mai, un rançongiciel a forcé Colonial Pipeline à interrompre ses activités, entraînant des pénuries de carburant qui ont fait grimper le prix de l’essence au plus haut en sept ans. La société a dû payer près de 5 millions de dollars aux pirates pour reprendre ses opérations.
Ces menaces sont présentes depuis une trentaine d’années, rappelle M. McNutt, et elles ne vont qu’empirer, en partie parce que la technologie de sécurité n’a pas évolué. Ainsi, il y a un découplage entre les réseaux internes et la sécurité. « Dans sa forme actuelle, le réseau local a une seule fonction – livrer des paquets de données rapidement et sans aucune interférence. Il n’est donc pas conçu pour réagir à ce genre d’attaque, souligne M. McNutt. Pourtant, c’est au niveau du réseau que vous pouvez contenir ces menaces ou en limiter les conséquences. »
« Si nous continuons de penser que nous allons réagir et riposter à de telles attaques en comptant sur l’ordinateur pour être sa propre police et protéger les données, nous ne serons jamais à la hauteur », ajoute-t-il.
M. Anand précise que la lutte contre la menace grandissante des rançongiciels doit faire intervenir le personnel, les processus et la technologie. « La technologie a ses limites, explique-t-il. En fin de compte, il faut se doter des bons processus. Sauvegardez-vous activement vos données? Testez-vous l’intégrité de vos copies de sauvegarde? Formez-vous et évaluez-vous vos employés pour qu’ils ne branchent pas n’importe quel lecteur à leur ordinateur? »
Le télétravail
Par ailleurs, le travail à domicile restera un enjeu permanent. Malgré la lente réouverture des bureaux, la majorité des entreprises opteront vraisemblablement pour une formule hybride dans laquelle les employés travailleront quelques jours au bureau et quelques jours à la maison. Ceci crée un problème de sécurité, puisque les gens pourront maintenant utiliser des dispositifs et accéder aux réseaux à partir de divers endroits.
Nayaki Nayyar affirme qu’en plus de trouver un moyen de sécuriser leurs données, les sociétés doivent articuler leur réflexion autour de trois axes critiques. Le premier consiste à sécuriser les dispositifs utilisés par leur personnel, le deuxième consiste à sécuriser les utilisateurs de ces dispositifs – « l’identification de ces utilisateurs est le maillon faible de la chaîne de sécurité », souligne-t-elle – et le troisième consiste à sécuriser l’accès.
Sur ce dernier point, de plus en plus de sociétés passent à l’accès zéro confiance, dans lequel l’identité de l’utilisateur doit être vérifiée à plusieurs reprises plutôt qu’une seule fois au départ. « Ceci exige un changement de mentalité à tous les échelons, explique Mme Nayyar, qui souligne que ce sera là une priorité clé pour les entreprises à l’ère de l’après-COVID. Il faudra absolument réussir à implanter cette mentalité de confiance zéro dans la culture de l’entreprise. »
Le risque lié à la chaîne d’approvisionnement
Un autre enjeu critique gravite autour du risque lié à la chaîne d’approvisionnement de logiciel. Actuellement, bien des sociétés ne connaissent pas tous les éléments des programmes qu’elles utilisent – il pourrait s’agir par exemple d’une combinaison de logiciels libres et commerciaux. Ceci les expose à des risques, puisqu’il suffit d’une seule faille de sécurité pour faire tomber une entreprise. « Il faut plus de visibilité dans la chaîne d’approvisionnement, soutient M. Anand. Les sociétés doivent responsabiliser les fournisseurs, et les fournisseurs doivent faire preuve d’une grande franchise lorsqu’un problème de sécurité touche un élément de leurs programmes. »
Une solution consiste à resserrer les exigences au moyen d’une nomenclature du logiciel, qui répertorie tous les éléments utilisés dans la création d’un programme. M. Anand voudrait que plus d’entreprises demandent une telle nomenclature et que plus de fournisseurs en offrent une en disant : « Je vais vous remettre une nomenclature dont j’assume la responsabilité et attester qu’elle inclut tous les éléments qui composent le programme ».
Une autre option consiste à rapatrier les achats informatiques au service informatique, au lieu de laisser chacun acheter les logiciels qu’il veut, comme c’est devenu la règle, soutient M. McNutt. « Il devient de plus en plus difficile de comprendre à quoi ressemble votre chaîne d’approvisionnement quand les achats de matériel et de logiciels informatiques ne sont plus centralisés, fait-il observer. Tous ces éléments se retrouvant dans le même réseau, il devient de plus en plus important que ce réseau puisse les isoler et les protéger. »
Les pirates informatiques étant de plus en plus subtils, ces enjeux vont encore gagner en importance à l’avenir. La sécurité informatique ne peut plus être une réflexion après coup, prévient Mme Nayyar. Trop d’entreprises négligent encore les principes fondamentaux de la sécurité ou n’étendent pas leurs efforts de protection à l’ensemble de leurs activités. « Il faut revenir à la base, à l’application de correctifs – cela peut s’automatiser, mais il faut s’y appliquer avec rigueur et discipline, souligne-t-elle. Nous commençons à peine à entrevoir les conséquences catastrophiques que peuvent avoir les atteintes à la cybersécurité. À mon avis, ce sera pire dans quelques années. Les sociétés doivent intégrer le souci de la sécurité informatique dans leurs activités quotidiennes et leur culture. »
- Temps de lecture
- Écouter Arrêter
- Agrandir | Réduire le texte
Les spécialistes de la cybersécurité ont du pain sur la planche – avec plus de télétravailleurs et des pirates informatiques plus astucieux, les vols de données n’ont jamais été aussi nombreux. D’après Risk Based Security, 37 milliards de dossiers ont été volés en 2020, en hausse de 141 % par rapport à l’année précédente.
L’année 2021 s’annonce déjà mouvementée sur ce plan. Les pirates qui s’étaient attaqués à SolarWinds l’an dernier ont pénétré les courriels de plus de 3 000 employés de 150 organismes gouvernementaux et humanitaires du monde, tandis que les attaques par rançongiciel ont augmenté de 102 % sur 12 mois au premier semestre de 2021 à l’échelle mondiale, d’après Check Point Software Technologies.
Apprenez-en davantage sur l’investissement de capital de risque dans l’infonuagique, les données et les technologies zéro confiance.
Il a beaucoup été question des façons de parer à cette menace grandissante au Sommet sur la cybersécurité de BMO qui s’est déroulé en mode virtuel le 25 mai. Une table ronde, animée par Charan Singh, chef de l’architecture de sécurité de BMO Groupe financier, a réuni des technologues qui ont discuté des menaces actuelles.
Participants :
•Kunal Anand, chef de la technologie, Imperva
•Rob McNutt, chef de la technologie, ForeScout Technologies
•Nayaki Nayyar, chef des produits, Ivanti
L’évolution de la sécurité des données
Les données ont été l’un des principaux sujets de discussion. Ces dernières années, les entreprises du monde entier ont accumulé le plus d’information possible, en se disant que celles qui détiendraient le plus de données auraient le dessus, souligne Rob McNutt. Cependant, plus vous possédez de données, plus vous devenez une cible pour les pirates.
Pourtant, bon nombre de sociétés continuent de recueillir des données sans avoir un plan solide pour les protéger. « C’est un peu effrayant de constater que nous avons amassé toutes ces données et que nous commençons à peine à nous demander comment empêcher qu’elles tombent aux mains de personnes malveillantes désireuses de s’en servir à mauvais escient, souligne M. McNutt. Les bris de sécurité surviennent à répétition, et les vols de données qui faisaient les manchettes font désormais partie des réalités courantes auxquelles il faut s’attendre au niveau de l’Internet et des entreprises. »
Kunal Anand ajoute que la protection des données est l’affaire de tous, que l’on travaille à sécuriser les réseaux, les applications ou les points d’accès. « La protection de l’organisation incombe à tout le monde », dit-il, ajoutant que les attaques se multiplient parce que les données sont de plus en plus précieuses. « Les gens tâchent d’accéder aux données parce qu’ils peuvent les monétiser. Directement ou indirectement, la vente de cette information à des tiers peut rapporter gros. »
Évidemment, il a fallu adapter la sécurité de données à la prolifération des intrusions. Auparavant axés sur la conformité à la réglementation, les efforts de protection deviennent plus proactifs. Les sociétés informent mieux les gens des renseignements qu’elles recueillent et de l’endroit où elles les gardent. « Désormais, nous devons non seulement comprendre où se trouve cette information, mais aussi mieux la protéger », conclut M. Anand.
La riposte au rançongiciel
Un autre problème important réside dans la fréquence accrue des attaques au rançongiciel, qui permettent à un pirate de pénétrer dans un ordinateur et de le prendre en otage jusqu’à ce que son propriétaire lui verse de l’argent.
Nous avons été à même de constater récemment la gravité de ces attaques. Par exemple, en mai, un rançongiciel a forcé Colonial Pipeline à interrompre ses activités, entraînant des pénuries de carburant qui ont fait grimper le prix de l’essence au plus haut en sept ans. La société a dû payer près de 5 millions de dollars aux pirates pour reprendre ses opérations.
Ces menaces sont présentes depuis une trentaine d’années, rappelle M. McNutt, et elles ne vont qu’empirer, en partie parce que la technologie de sécurité n’a pas évolué. Ainsi, il y a un découplage entre les réseaux internes et la sécurité. « Dans sa forme actuelle, le réseau local a une seule fonction – livrer des paquets de données rapidement et sans aucune interférence. Il n’est donc pas conçu pour réagir à ce genre d’attaque, souligne M. McNutt. Pourtant, c’est au niveau du réseau que vous pouvez contenir ces menaces ou en limiter les conséquences. »
« Si nous continuons de penser que nous allons réagir et riposter à de telles attaques en comptant sur l’ordinateur pour être sa propre police et protéger les données, nous ne serons jamais à la hauteur », ajoute-t-il.
M. Anand précise que la lutte contre la menace grandissante des rançongiciels doit faire intervenir le personnel, les processus et la technologie. « La technologie a ses limites, explique-t-il. En fin de compte, il faut se doter des bons processus. Sauvegardez-vous activement vos données? Testez-vous l’intégrité de vos copies de sauvegarde? Formez-vous et évaluez-vous vos employés pour qu’ils ne branchent pas n’importe quel lecteur à leur ordinateur? »
Le télétravail
Par ailleurs, le travail à domicile restera un enjeu permanent. Malgré la lente réouverture des bureaux, la majorité des entreprises opteront vraisemblablement pour une formule hybride dans laquelle les employés travailleront quelques jours au bureau et quelques jours à la maison. Ceci crée un problème de sécurité, puisque les gens pourront maintenant utiliser des dispositifs et accéder aux réseaux à partir de divers endroits.
Nayaki Nayyar affirme qu’en plus de trouver un moyen de sécuriser leurs données, les sociétés doivent articuler leur réflexion autour de trois axes critiques. Le premier consiste à sécuriser les dispositifs utilisés par leur personnel, le deuxième consiste à sécuriser les utilisateurs de ces dispositifs – « l’identification de ces utilisateurs est le maillon faible de la chaîne de sécurité », souligne-t-elle – et le troisième consiste à sécuriser l’accès.
Sur ce dernier point, de plus en plus de sociétés passent à l’accès zéro confiance, dans lequel l’identité de l’utilisateur doit être vérifiée à plusieurs reprises plutôt qu’une seule fois au départ. « Ceci exige un changement de mentalité à tous les échelons, explique Mme Nayyar, qui souligne que ce sera là une priorité clé pour les entreprises à l’ère de l’après-COVID. Il faudra absolument réussir à implanter cette mentalité de confiance zéro dans la culture de l’entreprise. »
Le risque lié à la chaîne d’approvisionnement
Un autre enjeu critique gravite autour du risque lié à la chaîne d’approvisionnement de logiciel. Actuellement, bien des sociétés ne connaissent pas tous les éléments des programmes qu’elles utilisent – il pourrait s’agir par exemple d’une combinaison de logiciels libres et commerciaux. Ceci les expose à des risques, puisqu’il suffit d’une seule faille de sécurité pour faire tomber une entreprise. « Il faut plus de visibilité dans la chaîne d’approvisionnement, soutient M. Anand. Les sociétés doivent responsabiliser les fournisseurs, et les fournisseurs doivent faire preuve d’une grande franchise lorsqu’un problème de sécurité touche un élément de leurs programmes. »
Une solution consiste à resserrer les exigences au moyen d’une nomenclature du logiciel, qui répertorie tous les éléments utilisés dans la création d’un programme. M. Anand voudrait que plus d’entreprises demandent une telle nomenclature et que plus de fournisseurs en offrent une en disant : « Je vais vous remettre une nomenclature dont j’assume la responsabilité et attester qu’elle inclut tous les éléments qui composent le programme ».
Une autre option consiste à rapatrier les achats informatiques au service informatique, au lieu de laisser chacun acheter les logiciels qu’il veut, comme c’est devenu la règle, soutient M. McNutt. « Il devient de plus en plus difficile de comprendre à quoi ressemble votre chaîne d’approvisionnement quand les achats de matériel et de logiciels informatiques ne sont plus centralisés, fait-il observer. Tous ces éléments se retrouvant dans le même réseau, il devient de plus en plus important que ce réseau puisse les isoler et les protéger. »
Les pirates informatiques étant de plus en plus subtils, ces enjeux vont encore gagner en importance à l’avenir. La sécurité informatique ne peut plus être une réflexion après coup, prévient Mme Nayyar. Trop d’entreprises négligent encore les principes fondamentaux de la sécurité ou n’étendent pas leurs efforts de protection à l’ensemble de leurs activités. « Il faut revenir à la base, à l’application de correctifs – cela peut s’automatiser, mais il faut s’y appliquer avec rigueur et discipline, souligne-t-elle. Nous commençons à peine à entrevoir les conséquences catastrophiques que peuvent avoir les atteintes à la cybersécurité. À mon avis, ce sera pire dans quelques années. Les sociétés doivent intégrer le souci de la sécurité informatique dans leurs activités quotidiennes et leur culture. »
Propos tenus lors du Sommet sur la cybersécurité de BMO
PARTIE 2
Infonuagique, données et zéro confiance : voilà les aspects de la cybersécurité privilégiés par les investisseurs de capital de risque
10 juin 2021
En 2020, la cybersécurité a beaucoup attiré les investisseurs, qui y ont injecté des capitaux record de 7,8&nbs…
PARTIE 3
Principales tendances liées à la technologie et aux affaires en 2021
19 mai 2021
Le moins qu’on puisse dire, c’est que les 14 derniers mois ont été une période intéressante et…
Autre contenu intéressant
Les cybercriminels ciblent votre argent à l’aide de l’intelligence artificielle
Pourquoi chaque organisation a besoin d’une stratégie en matière d’intégrité des données
Géopolitique et intelligence artificielle générative : une tempête de cybersécurité se prépare-t-elle?
Comment la NASA et IBM utilisent les données géospatiales et l’intelligence artificielle pour analyser les risques climatiques
Comment les entreprises peuvent utiliser l’IA pour améliorer (mais non remplacer) le travail humain
Trésorerie nouvelle génération : Protéger son organisation contre une attaque à la cybersécurité
Article d’opinion : Les entreprises et les organismes communautaires doivent unir leurs efforts pour combattre la pauvreté
Problèmes de la chaîne d’approvisionnement : le bien-être des fournisseurs au cœur des préoccupations
Capital-investissement : Déployer les capitaux dans la nouvelle normalité
L’état actuel et futur de la chaîne d’approvisionnement mondiale
Les changements radicaux causés par le variant Omicron et la pandémie – Mise à jour sur la situation sanitaire et la biopharmaceutique
Le variant Omicron – Perspectives sur la santé et les marchés
Le meilleur des deux mondes : L’avenir du travail sur les marchés des capitaux
Des spécialistes de BMO discutent des résultats des élections canadiennes
De formidables nouveaux facteurs donnent les moyens de croître aux activités de fusion et d’acquisition aux États-Unis
COVID-19 : Les 100 premiers jours de Joe Biden : vers la reprise
Biggest Trends in Food and Ag, From ESG to Inflation to the Supply Chain
One Year Later: Lessons Learned in the Food Supply Chain
Infonuagique, données et zéro confiance : voilà les aspects de la cybersécurité privilégiés par les investisseurs de capital de risque
L’appétit croissant pour l’investissement dans un but précis dans les valeurs à revenu fixe par Magali Gable
Banques centrales, changements climatiques et leadership : Forum annuel destiné aux femmes œuvrant dans le secteur des titres à revenu fixe, devises et produits de base
BMO annonce un don de 250 000 $ aux organisations qui soutiennent les efforts de secours d'urgence mondiale contre la COVID-19
Budget fédéral de 2021 : Dépenser en vue de l’immunité et au-delà
Le grand saut dans la dette – Comment les détaillants ont emprunté pour rester à flot durant la COVID
Le Canada pourrait connaître son plus fort rebond économique en un demi-siècle, mais il faut viser une reprise équitable, d’après une table ronde
IN Tune: Commodity Pointers From China's Big Policy Meeting
Mise à jour à l’intention de nos clients : Une année d’adversité, de résilience et de croissance
Diriger avec résilience : Points saillants du Forum à l’intention des femmes dirigeantes de BMO
Conversation avec Ian Bremmer : La pandémie et le paysage géopolitique en évolution
IN Tune: ESG Performance in the Canadian Real Estate Industry
Gestion des flux de trésorerie de la prochaine génération : votre feuille de route de la transformation numérique
La Pandémie, D’aujourd’hui A Demain - Entretiens avec les spécialistes
Perspectives des marchés américain et canadien 2021 – Spécialistes de BMO
The Evolution of Corporate Purpose and Pandemic: The Great Accelerator
Premiers résultats des élections américaines : Ce que nous savons
L’année 2020 façonnera toute une génération - Entretiens avec les spécialistes
La vie de tous les jours a changé - Entretiens avec les spécialistes
Episode 25: Achieving Sustainability In The Food Production System
L’évolution du processus démocratique - Entretiens avec les spécialistes
La transformation du milieu de travail - Entretiens avec les spécialistes
La COVID 19 souligne une évolution des systèmes de négociation électroniques
L’essor de l’apprentissage virtuel - Entretiens avec les spécialistes
Comment optimiser les liquidités dans un contexte incertain
Faire le point sur la situation avec vos gens - Entretiens avec les spécialistes
Entretien avec Jared Diamond : la COVID-19, une crise prometteuse
Changer les perceptions à propos du secteur canadien du pétrole et du gaz
Résurgence de l’épidémie de COVID-19 aux États-Unis : Dr Eric Feigl-Ding, épidémiologiste
Le chemin du rétablissement de la demande mondiale pétrolière et gazière sera long : Rystad Energy
The E-commerce and CPG Implications of COVID-19
Episode 16: Covid-19 Implications and ESG Funds with Jon Hale
Inside Stories: Gabriela Herman – Professional Photographer
Sonder les profondeurs de la récession imputable à la COVID-19
Effets de la crise de la COVID-19 sur le secteur des technologies et des logiciels
Une mise à jour destinée à nos clients : Travailler pendant et après la pandémie
Données critiques – Des tests, des tests, et encore plus de tests
Technology and Software: How COVID Will Change Remote Work Forever
Inside Stories: Both a Major League Athlete and a Stay-at-Home Dad
Résultats du sondage de l’Association for Financial Professionals (AFP) sur la réaction des trésoriers à la COVID-19
Rapport spécial de BMO sur l'économie post-pandémique : combler les écarts
Precedents can help us understand this unprecedented crisis
Leadership and Long-Run Experience in a Time of Radical Uncertainty
La COVID-19 met en lumière l’importance de solides pratiques en matière de gestion de la liquidité et de prévention de la fraude
Le pic de la pandémie de COVID-19 en vue grâce aux mesures d’atténuation
Discussion avec le chef de la direction de BMO : Comprendre les conséquences de la COVID-19
Les mesures de relance publiques ralentiront la chute, mais n’empêcheront pas la récession
Les experts de BMO s’expriment : Répercussions économiques et sociales de la COVID-19
COVID-19: Reshaping the restaurant industry, today and tomorrow
Les prochaines semaines seront déterminantes dans la lutte contre la COVID-19
Contenir la propagation de la COVID-19 – Y a-t-il des raisons d’être optimiste?
Les six grandes banques canadiennes prennent des mesures décisives pour soutenir leurs clients affectés par la COVID-19