"Si le DBIR était une bouteille de whisky écossais décent, il vous coûterait environ 100 dollars, au lieu d'être gratuit comme ce document. De même, les décisions que vous pourriez prendre après les avoir terminés seraient probablement très différentes. Néanmoins, nous espérons que ces deux documents vous procureront un certain plaisir et vous éclaireront."
Même si tout le monde n'aime pas les bouteilles de scotch, cette déclaration finale du rapport 2019 Verizon Data Breach Investigations Report (DBIR) est tout à fait pertinente. En tant que professionnels de l'informatique et de la cybersécurité, nous pouvons certainement nous identifier aux défis que représente la défense de nos organisations et à la valeur que ce rapport apporte chaque année pour nous aider à garder une longueur d'avance sur l'évolution des menaces.
S'il est un rapport sur la sécurité que vous devriez lire chaque année, c'est bien celui-ci. Mais ce n'est pas qu'une question de données. Outre les informations gratuites et factuelles qu'il fournit, ce rapport est tout simplement agréable à lire. Qu'il s'agisse d'anecdotes astucieuses ou d'histoires provenant d'un café branché, le Verizon DBIR ne cesse de nous divertir.
Il ne fait aucun doute que vous trouverez vos propres conclusions, mais en voici quelques-unes qui m'intéressent en tant que professionnel de la cybersécurité vivant dans le monde de PKI et des certificats numériques.
Les suspects habituels (attaques sociales et d'hameçonnage)
Les logiciels malveillants ne sont pas nécessairement utilisés pour le vol de données, mais plutôt pour pénétrer dans l'infrastructure d'une organisation. Selon le rapport, 94 % des logiciels malveillants sont diffusés par courrier électronique. Une fois installés, ils servent le plus souvent de point d'ancrage pour l'injection d'autres programmes malveillants ou de commandes de ransomware.
Les attaques sociales n'ont rien de nouveau, mais l'utilisation de l'ingénierie sociale comme tactique d'infiltration des organisations est en nette augmentation. Depuis 2013, l'utilisation de l'ingénierie sociale a augmenté de 18 % et, comme le souligne le rapport, les comptes des cadres supérieurs sont une cible vulnérable. Si une telle attaque réussit, elle peut être utilisée pour obtenir un accès privilégié à des contacts et des informations critiques pour l'entreprise, voire pour usurper l'identité d'une personne de haut niveau afin de compromettre l'organisation de haut en bas.
Du côté positif, les incidents de phishing sont en baisse par rapport à l'année précédente - bien qu'il faille noter que les utilisateurs sont plus susceptibles de cliquer sur un courriel de phishing à partir de leur appareil mobile que de leur ordinateur portable. Les équipes de sécurité devraient s'efforcer de sensibiliser davantage les utilisateurs aux messages suspects, et pas seulement aux signes évidents tels qu'une adresse électronique non valide. Proposez aux utilisateurs des moyens de signaler les attaques de phishing, impliquez-les dans votre stratégie de cybersécurité et fournissez des indicateurs utiles à l'organisation afin de vous assurer que tout le monde est conscient de la nécessité d'être vigilant.
Attaques de l'intérieur (Rogue Insiders)
Comme je l'ai expliqué dans un précédent article de blog, les utilisateurs malveillants ne sont pas nécessairement malveillants. Ce sont des personnes qui ont un travail à faire et qui, pour l'accomplir, prennent parfois des mesures de sécurité.
Le DBIR révèle que plus d'un tiers (34 %) des attaques sont perpétrées par des "acteurs internes impliqués", le secteur de la santé étant le plus touché par ce type de violation. Cela n'est pas surprenant, étant donné la cible lucrative que les organismes de soins de santé offrent aux pirates, ainsi que la sensibilisation relativement faible aux meilleures pratiques de cybersécurité parmi les professionnels de la santé qui manipulent quotidiennement des données sensibles sur les patients.
L'atténuation de ces attaques - qu'elles soient malveillantes ou dues à une erreur - doit être une priorité absolue. Les responsables des technologies de l'information et de la cybersécurité au sein de l'organisation doivent assurer une visibilité totale de leurs programmes de cybersécurité, en communiquant leurs efforts pour suivre les actions, détecter les activités malveillantes et remédier au problème avec les conséquences qui s'imposent. La simple connaissance de ces programmes contribuera à décourager les intentions malveillantes et à encourager les employés à signaler toute activité suspecte.
Infrastructure Open Doors (Sécurité des applications)
Si votre organisation crée et gère son propre site web, il est fort possible que vos serveurs d'applications web constituent une porte ouverte sur votre infrastructure. Comme le souligne le rapport, "dans 60 % des cas, le vecteur d'application web compromis était le front-end de serveurs de messagerie basés sur le cloud". Ainsi, même si vous n'offrez qu'un accès web au courrier électronique, votre organisation peut être exposée à un risque. Les liens d'hameçonnage et les fausses pages de connexion sont souvent à l'origine de ces attaques.
Là encore, tout commence par la sensibilisation. En veillant à ce que vos utilisateurs sachent ce qu'est un certificat SSL et à ce qu'ils fassent attention à l'URL, ainsi qu'au certificat sur votre portail web de messagerie, vous pouvez contribuer à atténuer ce risque. Les propriétaires d'applications doivent également s'assurer que les certificats numériques qu'ils présentent aux utilisateurs sont valides, conformes aux normes du secteur et que leur date d'expiration n'est pas dépassée d'un jour.
Les plateformes de gestion des certificats peuvent aider à automatiser le cycle de vie de ces certificats et garantir que vos applications restent opérationnelles et sécurisées à tout moment, avec un minimum d'effort de la part de votre équipe PKI .
Découvrez comment notre plateforme complète et évolutive de gestion des certificats basée sur le cloud (Keyfactor Command ) vous permet de sécuriser toutes les identités numériques - des appareils mobiles et IoT aux applications dorsales et aux serveurs web.