Article
Impact de la COVID-19 sur la cybersécurité
La pandémie de coronavirus a créé de nouveaux défis pour les entreprises qui s'adaptent à un modèle opérationnel, dans lequel le travail à domicile est devenu la «nouvelle normalité». Les entreprises accélèrent leur transformation numérique et la cybersécurité est désormais une préoccupation majeure. Les implications sur la réputation, les opérations, la législation et la conformité pourraient être considérables si les risques de cybersécurité étaient négligés. Cet article examine l'impact de la COVID-19 sur les cyber-risques et les mesures d'atténuation que les entreprises peuvent prendre.
Impact de la COVID-19 sur le travail numérique et la cybersécurité
Les restrictions imposées par les gouvernements en réponse à la pandémie de coronavirus ont encouragé les employés à travailler à domicile et même à «rester à la maison». En conséquence, la technologie est devenue encore plus importante dans notre vie professionnelle et personnelle. Malgré cette augmentation des besoins technologiques, il est à noter que de nombreuses organisations ne fournissent toujours pas un environnement de travail à distance «cybersécurisé». Là où les réunions professionnelles se tenaient traditionnellement en présentiel, la plupart se déroulent désormais virtuellement.
En juin 2020 Swissinfo.ch a rapporté des chiffres du NCSC (National Cyber Security Center) montrant que 350 cas de cyberattaques (hameçonnage, sites Web frauduleux, attaques directes contre des entreprises, etc.) ont été signalés en Suisse en avril, contre 100 à 150 habituellement. La pandémie de coronavirus et le développement du travail à domicile ont été considérés comme une cause majeure de cette augmentation, car les personnes travaillant à domicile ne bénéficient pas du même niveau de mesures de protection et de dissuasion inhérentes à un environnement de travail (par exemple, la sécurité Internet).
Les arguments en faveur d'une cybersécurité accrue
L'augmentation du travail à distance nécessite une plus grande attention à la cybersécurité, en raison de la plus grande exposition aux cyber-risques. Cela ressort, par exemple, du fait que 47% des individus tombent dans le piège du phishing alors qu'ils travaillent à domicile. Les cyber-attaquants perçoivent la pandémie comme une occasion d'intensification de leurs activités criminelles en exploitant la vulnérabilité des employés travaillant à domicile et en capitalisant sur le vif intérêt des gens pour les nouvelles liées aux coronavirus (par exemple, les faux sites Web malveillants traitant du coronavirus). Une autre considération importante est que (selon le rapport IBM Cost of a Data Breach 2020) le coût moyen d'une violation de données résultant du travail à distance peut atteindre 137 000 $.
Le 8 juillet, la police de la ville de Londres a rapporté que depuis janvier 2020, plus de 11 millions de livres sterling avaient été perdus en raison des escroqueries de la COVID-19. En Suisse, un répondant sur sept à une enquête a été victime d'une cyberattaque pendant la pandémie.
Cyberattaques sur les services de visioconférence
Un bon exemple de la façon dont les criminels exploitent les faiblesses de la cybersécurité lors du travail à distance a été la série de cyberattaques sur les services de visioconférence. Entre février 2020 et mai 2020, plus d'un demi-million de personnes ont été touchées par des violations dans lesquelles les données personnelles des utilisateurs de services de visioconférence (par exemple, nom, mots de passe, adresses de courrier électronique) ont été volées et vendues sur le Dark Web. Pour exécuter cette attaque, certains pirates ont utilisé un outil appelé «OpenBullet».
Les pirates utilisent également des techniques de bourrage d'informations d'identification (« credential stuffing ») pour accéder aux informations d'identification des employés, les données volées sont ensuite vendues à d'autres criminels de cybersécurité. L'une des conséquences est une grave perturbation des entreprises qui dépendent fortement des plates-formes de visioconférence. Le bourrage d'informations d'identification est une forme de cyberattaque par laquelle les pirates utilisent des combinaisons précédemment volées de nom d'utilisateur et de mot de passe pour accéder à d'autres comptes. Cette méthode peut fonctionner, car il est très courant que les individus utilisent la même combinaison nom d'utilisateur / mot de passe sur plusieurs comptes.
Nous avons noté des cas où des membres indésirables et non invités ont accès à des réunions virtuelles et obtiennent des informations confidentielles ou sensibles, qui sont ensuite vendues à un tiers ou mises à la disposition du public pour nuire à la réputation de l'entreprise.
L'environnement des cybermenaces
L'environnement des cybermenaces est diversifié:
- Les employés malveillants travaillant à domicile avec moins de supervision et moins de contrôles techniques peuvent être tentés de commettre une fraude ou une autre activité criminelle
- Les cybercriminels reconnaissent que les mesures de sécurité des données actuellement en place ne sont pas toujours adéquates ou suffisamment robustes pour les empêcher de réussir des cyberattaques
- Les activités des hacktivistes (hackers luttant pour des enjeux sociaux et politiques) s'ajoutent aux menaces de cybersécurité
- Les script kiddies (hackers «juniors» avec moins de compétences techniques) testent des packages de cyberattaque sur diverses organisations et améliorent leurs compétences.
La plupart de ces menaces se sont intensifiées en raison des opportunités qui se sont présentées lors de l'épidémie de COVID-19.
L'une des raisons de la montée en flèche des cyberattaques peut être due au fait que certaines petites et moyennes entreprises adoptent une approche «Apportez votre propre appareil» (BYOD) (contrairement à une approche «Possession par l'entreprise, mise à disposition personnelle» (Approche COPE, Corporate Owned Personnaly Enabled), ce qui signifie que les employés peuvent utiliser leurs appareils personnels (téléphones, tablettes ou ordinateurs portables) pour accéder aux informations de l'entreprise. Le travail à domicile ne garantit pas le même niveau de cybersécurité qu'un environnement de bureau. Lorsqu'ils utilisent un ordinateur personnel ou un ordinateur portable pour accéder aux fichiers et aux données de l'entreprise (même avec la sécurité d'une solution MDM), les utilisateurs sont plus exposés aux cyberattaques. Par exemple, les employés peuvent ne pas exécuter une analyse antivirus ou anti-malware régulièrement, voire pas du tout. Un environnement de travail à domicile ne dispose pas de mesures sophistiquées de prévention et de détection d'entreprise. De plus, les réseaux Wi-Fi domestiques sont beaucoup plus faciles à attaquer.
L'erreur humaine est un autre sujet de préoccupation. Avant la pandémie, l'erreur humaine était déjà une cause majeure de «cyber-insécurité»: Les employés pouvaient donner involontairement ou imprudemment accès aux mauvaises personnes. Avec le travail à domicile, cependant, le problème est encore plus grave. Lorsqu'ils travaillent à domicile, les employés peuvent être interrompus dans leur travail par des membres de leur famille ou des visiteurs. Ces distractions peuvent rendre les individus plus insouciants. Les systèmes informatiques doivent s'adapter à ces changements dans les pratiques de travail et à l'augmentation du nombre d'erreurs humaines. Cela peut être accompli de nombreuses manières, telles que l'incorporation de délais d'attente dans les systèmes d'information clés, l'amélioration des contrôles pour appliquer le «principe des quatre yeux», l'application de la séparation des tâches (SOD) ou des contrôles automatisés. Après tout, c'est ce qu'on appelle «l'empathie numérique».
La nature changeante des cyberattaques
Il semble que de nombreux hackers améliorent leur façon de faire et pour capitaliser sur la nouvelle transition des entreprises vers le travail à distance, ils ont développé de nouveaux logiciels malveillants pour attaquer et infiltrer les systèmes.
Avant la pandémie, environ 20% des cyberattaques utilisaient des logiciels malveillants ou des méthodes auparavant inconnues. Pendant la pandémie, cette proportion est passée à 35%. Certaines des nouvelles attaques utilisent une forme d'apprentissage automatique qui s'adapte à son environnement et reste non détectée. Par exemple, les attaques de phishing sont de plus en plus sophistiquées et utilisent différents canaux tels que les SMS et la voix (vishing). De plus, les informations sur les développements des vaccins sont utilisées pour les campagnes de phishing. Les attaques de ransomwares sont également de plus en plus sophistiquées. Par exemple, les pirates combinent des attaques de fuite de données avec des ransomwares pour persuader les victimes de payer la rançon.
Cette recrudescence des cyberattaques sophistiquées appelle de nouveaux mécanismes de détection «de pointe» pour répondre à la menace, tels que «l'analyse du comportement des utilisateurs et des entités» ou UEBA. Cette technique analyse le comportement normal des utilisateurs et applique ces connaissances pour détecter les cas où des écarts anormaux par rapport aux modèles standard se produisent.
Les entreprises sont-elles préparées aux nouveaux risques de cybersécurité?
Le travail à distance a créé des défis pour de nombreuses petites et moyennes entreprises: Elles n'ont pas été suffisamment préparées à la recrudescence des cyberattaques sophistiquées, et beaucoup de progrès sont nécessaires pour les sensibiliser à la cybersécurité. Avant la pandémie, certaines entreprises étaient opposées à autoriser le travail à distance et notamment lorsqu'il s'agissait d'accéder à des données confidentielles (par exemple les données personnelles des clients bancaires). En peu de temps, les entreprises ont dû augmenter leur capacité et leurs possibilités de travail à distance. Malheureusement, la cybersécurité n'a pas toujours été une priorité clé dans le déploiement rapide des capacités de travail à distance.
Par exemple, certaines entreprises ne vérifient pas que les appareils personnels sont équipés de protections de sécurité standard avant que leurs employés n'accèdent aux données de l'entreprise, en se fiant aux technologies de réseau privé virtuel (VPN) pour effectuer un travail pour lequel elles ne sont pas conçues initialement. Il existe des moyens pour les entreprises de mettre en œuvre des mesures de sécurité sans être intrusives. Par exemple, la vérification d'hôte est une technologie qui valide les spécifications individuelles sur les appareils personnels avant d'autoriser l'accès aux applications d'entreprise. Quand des vulnérabilités sur les VPN sont découvertes et que des correctifs sont produits pour y faire face, il est important d'appliquer ces correctifs en temps en en heure, dans la mesure du possible.
Exemples de la manière dont les entreprises et les employés peuvent accroître leur niveau de cybersécurité
Les employés travaillant à domicile et utilisant leur ordinateur personnel (et même ceux qui utilisent un appareil appartenant à l'entreprise) devraient mettre en œuvre des pratiques essentielles de cyber-hygiène. Ces pratiques comprennent:
- Une protection antivirus. Les employés doivent disposer d'une licence d'utilisation de logiciels antivirus et anti-programmes malveillants sur leurs ordinateurs personnels. Bien que cela n'assure pas une protection à toute épreuve, cela élimine de nombreuses attaques de bas niveau.
- Sensibilisation à la cybersécurité. Le personnel doit être informé des meilleures pratiques et procédures qui régissent l'envoi des courriers électroniques ou d'autres contenus à des adresses électroniques privées et/ou au stockage dans le Cloud.
- Sensibilisation au phishing. Les employés doivent être vigilants lorsqu'ils reçoivent des courriers électroniques et doivent vérifier l'authenticité de l'adresse de l'expéditeur.
- Sécurité du réseau domestique. Les employés doivent s'assurer que leur réseau Wi-Fi domestique est protégé par un mot de passe fort.
- Utilisez un VPN. Les réseaux privés virtuels ajoutent une couche supplémentaire de protection à l'utilisation d'Internet depuis la maison. On ne peut pas compter sur eux seuls pour prévenir les cyberattaques, mais ils peuvent constituer une barrière utile contre les cyberattaques.
Il existe des stratégies de cybersécurité de base que les entreprises peuvent adopter.
- Identifier les points faibles. Tous les systèmes informatiques ont des faiblesses. Les entreprises doivent exécuter des tests pour les identifier et corriger les vulnérabilités les plus critiques dès que possible. Cela peut prendre la forme d'une analyse de vulnérabilité ou de divers types d'exercices de test de pénétration. En outre, un durcissement (« hardening ») des composants de l'infrastructure technique doit être effectué.
- Examens fréquents. Les entreprises devraient régulièrement évaluer l'exposition aux risques de cybersécurité et déterminer si les contrôles existants sont suffisamment solides. Toute nouvelle forme de cyberattaque apparue récemment devrait être prise en compte lors de ces examens.
- Renouveler les plans de continuité des activités et de crise. Les responsables des secteurs d'activité doivent tenir à jour leurs plans de continuité des activités et envisager des scénarios de cyberattaque.
Les mesures plus avancées qui peuvent être prises comprennent les suivantes:
- Appliquer de nouvelles technologies et de nouveaux outils. Les entreprises peuvent utiliser des outils avancés tels que la vérification d'hôte (un outil permettant de vérifier l'état de sécurité d'un terminal avant d'autoriser l'accès aux systèmes d'information de l'entreprise) pour renforcer la sécurité du travail à distance.
- Techniques de renseignement. Les entreprises devraient encourager une utilisation proactive des renseignements sur les cybermenaces (« Cyber Threat Intelligence ») pour identifier les indicateurs d'attaques (IOC) pertinents et lutter contre les attaques connues.
- Gestion des risques. Les entreprises peuvent appliquer des solutions de gouvernance, de risque et de conformité (GRC) pour optimiser la gestion des risques. Les solutions GRC fournissent une vue détaillée de l'exposition aux risques de l'entreprise et permettent de lier entre elles les différentes disciplines des risques (par exemple, cybersécurité, risques opérationnels, continuité des activités).
- Se préparer aux attaques. En cette période à haut risque, les entreprises sont invitées à effectuer fréquemment des exercices de simulation de cybercrise pour préparer leur réponse à une cyberattaque.
- Zero Trust. Les RSSI et les DSI devraient envisager de mettre en œuvre une approche de confiance zéro en matière de cybersécurité. Il s'agit d'un modèle de sécurité où seuls les utilisateurs et appareils authentifiés et autorisés sont autorisés à accéder aux applications et aux données. Il remet en cause le concept «d'accès accordé par défaut».
Conclusion
La cybersécurité est à l'ordre du jour de la plupart des réunions du comité exécutif, mais devrait peut-être faire l'objet d'une attention particulière compte tenu des menaces croissantes pendant la pandémie. Au milieu de la deuxième vague du coronavirus et des préoccupations concernant une troisième vague potentielle, les entreprises devraient être proactives pour faire face aux menaces et planifier des moyens de prévenir les cyberattaques réussies plutôt que de réagir lorsqu'elles se produisent. Cependant, bien que les mesures de prévention soient importantes, il est également nécessaire de disposer de capacités de détection, de réaction et de récupération en cas de cyberattaque.
Cette pandémie nous a appris que la préparation est essentielle pour réussir à limiter les risques liés aux cyberattaques. La capacité à réagir rapidement à des événements imprévus permet de réduire l'impact d'une cyberattaque. Les entreprises qui bénéficiaient déjà de capacités de travail à distance sécurisées seront mieux préparées à faire face à l'augmentation continue des cybermenaces. Les entreprises qui ont été prises au dépourvu devront évaluer rapidement leur exposition aux cybermenaces et prioriser les initiatives pour combler leurs lacunes en matière de cybersécurité par des pratiques recommandées. En outre, les appareils appartenant à l'entreprise devraient être la norme pour les entreprises permettant l'accès à distance à des données confidentielles et sensibles. Lorsqu'il est acceptable d'accéder aux données d'entreprise à partir d'un appareil personnel, les cyber-risques doivent également être évalués et des mesures doivent être prises pour limiter l'exposition aux cybermenaces.
La réalité est que les entreprises doivent changer leur vision du «si» elles sont attaquées au «quand» et reconnaître que les retombées des violations de la confidentialité des données ou des ransomwares peuvent être dévastatrices sur le plan financier. Il faut également se rappeler que le gain financier n'est pas le seul motif des cyberattaques. L'«hacktivisme» et son objectif de nuire à la réputation des entreprises constituent une menace supplémentaire.
Il existe des moyens de réduire la probabilité et l'impact d'une cyberattaque, mais cela nécessite une action et une planification ciblées. Les entreprises doivent rendre leurs pratiques de travail à distance résilientes aux cyberattaques et améliorer leur développement et leur application de mesures de sécurité.
Pour en savoir plus sur les stratégies de cybersécurité pour votre entreprise, les évaluations des risques de cybersécurité, l'amélioration de la gestion des accès et le renforcement de la sécurité des infrastructures, consultez les services offerts par L'équipe Cyber Risk de Deloitte.