Les 7 erreurs classiques commises par les entreprises en matière de sécurité

Les failles de sécurité sont bien souvent le résultat direct d’une mauvaise configuration technique. Si, parmi les sept élucubrations suivantes, vous en identifiez au moins une que vous tenez pour acquise, il est peut être temps de réévaluer le niveau de formation et de sécurité au sein de votre entreprise.

1. Je ne suis pas assez important pour être ciblé par les pirates

Les choses évoluent en raison de la récente attention portée par les médias sur les cyber-attaques et les pertes de données de beaucoup d’entreprises. Même les plus petites entreprises commencent à s’inquiéter au sujet de leur sécurité. près de 60% affirment qu'elles vont prendre des mesures sérieuses pour atténuer les risques, d’après des études récentes.

>> Ceci est probablement l'une des idées les plus répandues dans les entreprises, car elles estiment souvent que leurs données ne justifient pas une violation de sécurité ; or, rien ne pourrait être plus éloigné de la vérité. Tous types de données, dossiers de ressources humaines, factures ou encore données de télémétrie pourraient être exploitées dans des campagnes de spear phishing ou d'ingénierie sociale de grande envergure.

2. Le cloud public est plus facilement attaqué – les fournisseurs de cloud sont responsables de leur sécurité

Le niveau de sécurité du cloud public est généralement considéré comme précaire et celui-ci comme étant potentiellement la cible d’un large éventail d'attaques visant à dérober des données personnelles et sensibles. La vérité est que, bien souvent, les experts en sécurité ne parviennent pas à configurer correctement leurs environnements de cloud computing et applications, les laissant de fait exposés aux attaques.

>> Il est toujours plus facile de blâmer quelqu'un d'autre pour les lacunes de sécurité et c’est habituellement les fournisseurs de cloud public qui sont pointés du doigt en cas de violation. L'utilisateur final (ou, dans ce cas précis, la société) qui utilise les clouds publics devrait faire tout ce qu’il peut pour sécuriser et protéger ses données, ainsi que mettre en place des mécanismes de sécurité pour empêcher les accès non autorisés.

 3. La force du mot de passe est déterminante

Plus de 44% des utilisateurs emploient le même mot de passe pour plusieurs comptes, des études ont montré que ces derniers utilisent même  un seul et même mot de passe pour près des trois quarts de leurs comptes en ligne.

Dans le monde de l'entreprise, une authentification forte est souvent considérée comme une pratique de sécurité de niveau acceptable, mais sans une authentification multi-facteur, l'accès aux systèmes critiques peut facilement être perdu.

>> Croire qu'un seul mot de passe, même fort, peut garder les intrus à distance est une autre idée fausse. Dans le cadre de la sécurisation des données situées dans le cloud, la force du mot de passe associé à une authentification multi-facteur est vitale dans le renforcement de l'accès aux systèmes cruciaux, applications et données  critiques.

4. L’antivirus et le pare-feu sont des sécurités à toute épreuve

Plus de 62% des professionnels de l'IT pensent que les solutions de sécurité traditionnelles génèrent trop de faux positifs, tandis que 38% estiment que trop de données insuffisamment renseignées sont recueillies et qu’ils manquent d’informations pour en tirer des conclusions, selon le cabinet d'études Enterprise Management Associates (EMA).

Les pare-feux et les logiciels de sécurité sont des nécessités absolues pour protéger votre réseau et vos données, mais ne croyez pas pour autant qu’ils suffisent à maintenir à distance les menaces ou attaques les plus sophistiquées. Les menaces d'aujourd'hui sont beaucoup plus complexes et la surface d'attaque a été élargie, en allant de simples chevaux de Troie qui récoltent des données aux ransomwares et menaces persistantes avancées (APT) diffusés via tout type de périphérique connecté au réseau de l'entreprise.

>> Les nouvelles menaces présentent non seulement des capacités de morphisme qui font qu'il est très peu probable que les solutions de sécurité traditionnelles parviennent à détecter les charges malveillantes, mais elles exploitent également les vulnérabilités non corrigées des logiciels pour pénétrer les systèmes critiques. Une approche multi-niveaux de la sécurité devrait inclure une bien meilleure analyse de la sécurité pour détecter et répondre aux menaces nouvelles ou inconnues.

5. Il existe des solutions miracle contre les attaques ciblées

Cela va de paire avec l’idée erronée précédente, selon laquelle il suffit que les entreprises appliquent les meilleures pratiques pour protéger leurs données. Même s’il est bien évidemment préférable que ces  bonnes pratiques soient respectées, la lutte contre les menaces d'aujourd'hui ne peut être  remportée qu’en mettant en place des mécanismes de sécurité multiples permettant de rassembler  toutes les informations pertinentes.

>> Aucune solution unique ne peut protéger contre toutes les attaques ciblées, car les pirates passent énormément de temps en reconnaissance pour déterminer où se trouve le maillon faible de la chaîne. C’est pourquoi le concept de « solution miracle » consiste  davantage en une série de solutions, ce qui signifie que les technologies de sécurité diverses et variées ont besoin de fonctionner ensemble afin d'augmenter le coût d’une attaque en espérant décourager les attaquants.

6. Les mises à jour et correctifs logiciels empêchent les attaques

Bien que plus de 35% des spécialistes de la sécurité fassent de la mise à jour des logiciels utilisés une priorité selon une étude de Google, les attaques ciblées continuent d’exploiter des vulnérabilités toujours existantes dans des logiciels qui ont pourtant déjà été « patchés ».

>> Même si l'installation des dernières mises à jour et correctifs permet de réduire les risques d'attaques exploitant les vulnérabilités connues, reste la question du déploiement en temps voulu de ces mises à jour au sein de l'entreprise, ce qui peut prendre quelques mois, et également le risque d'assaillants utilisant des vulnérabilités inconnues (également appelées « vulnérabilités 0-day ») afin de compromettre un réseau entier ou un endpoint en particulier.

7. Le manque de fonctionnalités des solutions de sécurité

Certaines entreprises pourraient arguer du fait que les solutions de sécurité ne remplissent pas correctement leur fonction pour garantir la protection contre les attaques ; mais il ne faut pas omettre en parallèle les questions de sécurité liées à l’utilisation non autorisée de ressources informatiques au sein d'une entreprise, le shadow IT, qui est l’une des raisons pour lesquelles des données internes à l'entreprise sont quelques fois revendues et pourquoi la sécurité est mise à mal depuis l’intérieur de celle-ci.

Un manque de restrictions et de politiques capables de décourager l’installation ou l’utilisation d’outils non approuvés par le service informatique peut conduire à des incidents de sécurité ou même ouvrir la porte à des attaquants.

>> Beaucoup de problèmes résident dans les procédures et les pratiques définies en interne. Par exemple, les stratégies de BYOD (Bring Your Own Device) sont les plus sujettes à l’exploitation de failles de sécurité – et il faut savoir que 74% des entreprises l’autorisent (étude Tech Research Pro).

Pour résumer

Aussi difficile que cela puisse être à accepter, les entreprises doivent assumer la responsabilité des violations de sécurité, et remplacer leur habitude qui consiste à rechercher un coupable par une conception proactive d’un plan de réponse aux incidents qui inclut impérativement d’identifier leurs actifs les plus précieux à protéger.

La discipline nécessaire pour éviter d’être la victime des erreurs sur la sécurité listées ci-dessus ne devrait pas être si difficile à mettre en place, surtout si vous accordez la valeur qu’elles méritent aux données de vos clients et de votre entreprise.