De nos jours, il apparaît que presque tout le monde connaît le terme « cybersécurité ». Vous pouvez difficilement mettre les informations sans entendre parler d’une nouvelle fuite de données. L’histoire de Colonial Pipeline vous dit-elle quelque chose ? Ajoutez l’élément COVID-19 à l’histoire et vous créez un environnement qui change si rapidement qu’il est bien difficile pour les organisations de faire face aux risques.
Le fait est que n’importe quelles églises, écoles ou organisations peuvent devenir la cible de cyberattaques, et que toute personne ayant accès à votre réseau ou à vos systèmes peut déclencher involontairement une attaque. Dans cet article, nous présentons les nombreux facteurs qui ont entraîné de nouveaux courants et, dans certains cas, une focalisation renouvelée pour certains types d’attaques appelés vecteurs. Nous allons également exposer la manière dont l’environnement actuel a sensibilisé les organisations à la façon de faire face à ces menaces.Attaques contre la chaîne logistique
La cyberindustrie voit maintenant des acteurs malveillants se focaliser sur les attaques de la chaîne logistique à des niveaux inconnus et jamais vus auparavant. Elles se produisent lorsque des acteurs malveillants infiltrent votre ou vos systèmes par l’intermédiaire d’un fournisseur externe de logiciels ou de services que vous utilisez habituellement, tels que des outils de sécurité, des outils de gestion ou même un logiciel antivirus. Lors du piratage de SolarWinds par exemple, les acteurs malveillants ont ciblé, entre autres, les correctifs logiciels utilisés de par le monde. Dès que les utilisateurs avaient appliqué les correctifs à leur logiciel, les acteurs malveillants avaient instantanément eu accès à leurs systèmes.En piratant une entreprise, cette attaque a permis aux pirates informatiques d’accéder instantanément à des milliers de clients de SolarWinds au niveau mondial. La portée de ce piratage semble s’étendre quotidiennement, et depuis son annonce, d’autres attaques semblables se sont fait jour, exposant et affectant des dizaines de milliers d’organisations.
Outre l’exposition aux fuites de données au sein de ces mêmes organisations, un autre impact important de ces attaques de la chaîne logistique provient de la perte de confiance qu’elles créent entre nous et les fournisseurs. Cela doit au minimum nous faire réfléchir, lorsque nous envisageons d’installer des logiciels tiers sur nos systèmes, et cela peut même ironiquement nous faire hésiter à faire confiance aux systèmes dont le but est de protéger nos données.
Envisagez de faire une évaluation des risques sur tous les fournisseurs que vous et votre organisation utilisez. Une fois que vous aurez compris les mesures qu’ils prennent pour sécuriser leurs systèmes et processus, il vous sera plus facile de décider si vous devez continuer à les utiliser. Envisagez également de limiter au strict nécessaire le trafic réseau sortant. Cela peut empêcher un acteur malveillant de s’envoyer vos données même s’il a réussi à ouvrir une brèche dans le système que vous utilisez. Ce ne sont là que quelques-unes des étapes qui peuvent vous aider à réduire les risques liés à votre chaîne logistique.
Travail à distance
De plus en plus d’organisations ont dû se tourner vers des modèles de travail à domicile, au fur et à mesure que la pandémie de COVID-19 s’est étendue. Que ceci soit une planification temporaire ou une option à long terme dépend de chaque organisation. Ce qui est clair, cependant, c’est que le travail à domicile est susceptible de rester au moins à des niveaux plus élevés qu’avant la COVID-19.Alors que les employés ont de plus en plus opéré la transition vers le travail à domicile, les organisations ont dû changer la façon dont elles leur permettent d’accéder à leurs données. Cela a conduit à une augmentation importante de la sensibilisation et à l’utilisation de l’authentification à deux facteurs (2FA).
Bien que l’adoption de la 2FA soit une bonne chose, il est également important de prendre en compte d’autres facteurs qui entrent en jeu lorsque vous travaillez à domicile. Considérons, par exemple, la confidentialité des données. Nos logements ne sont pas aussi sûrs que nos lieux de travail, car un employeur ne peut pas contrôler qui va et vient au domicile d’un employé. Par conséquent, il est essentiel de former les employés aux problèmes de sécurité à domicile, tels qu’à celui de la confidentialité de l’écran et à la question de savoir s’ils doivent imprimer les documents de l’entreprise à la maison. Avec les modèles de travail à domicile, le risque de vol de documents ou d’appareils de l’entreprise augmente considérablement. Avez-vous, vous ou votre organisation, envisagé cela et avez-vous pris des mesures pour atténuer les risques ?
Formez-vous, vous et votre personnel, sur ce que vous devez faire et ne pas faire lorsque vous travaillez à domicile. Par exemple, veillez à disposer si possible d’un espace de travail privé, un endroit où un visiteur ne pourra pas voir les données de l’entreprise sur l’écran de l’ordinateur. Appliquez la règle de non-impression et de non-stockage de documents de l’entreprise à la maison. Encryptez les disques durs de vos ordinateurs pour protéger les données en cas de vol de l’appareil. Ces étapes, ainsi que bien d’autres, peuvent réduire considérablement le risque sur les données de votre organisation.
L’hameçonnage par SMS, qu’est ce que c’est ?
Vous avez probablement entendu parler des courriels d’hameçonnage : lorsque quelqu’un vous envoie un courriel en se faisant passer pour quelqu’un d’autre, et qu’il essaye de vous amener à effectuer une action ou à fournir des informations confidentielles. Mais connaissez-vous l’hameçonnage par SMS ? L’hameçonnage par SMS est une nouvelle variante de l’hameçonnage par courriel qui est de plus en plus utilisé par les acteurs malveillants.Alors, qu’est-ce que l’hameçonnage par SMS ? Au lieu d’utiliser des courriels pour hameçonner des données, l’hameçonnage par SMS utilise des messages texte SMS envoyés aux téléphones portables. Ils sont plus difficiles à identifier que les courriels d’hameçonnage, car les SMS sont plus courts et contiennent donc moins d’informations pour vous aider à reconnaître un faux.
Dans l’hameçonnage par SMS, l’acteur malveillant envoie un message texte, prétendant être quelqu’un que la victime potentielle pensera être légitime, tel qu’une banque, une entreprise de services publics ou peut-être une société de carte de crédit. Il vous suggérera de cliquer sur un lien dans le message texte pour vérifier vos informations d’identification ou pour afficher des informations importantes. Une fois que vous aurez cliqué sur le lien, il téléchargera des logiciels malveillants sur votre appareil ou ouvrira un site Web qui semblera si réel que vous continuerez la procédure et que vous fournirez les informations qu’il requerra.
Avez-vous déjà été hameçonné par SMS ? Et vos employés ? Sauront-ils reconnaître l’attaque et la gérer ?
Ce ne sont là que quelques-uns des courants actuels en matière de cybersécurité. Qu’il affecte votre réseau, vos systèmes ou un fournisseur de services que vous utilisez, l’impact sur votre vie quotidienne est bien réel. Comme pour la plupart des choses, la formation est fondamentale. Veillez à bien vous former, vous, ainsi que vos employés ou bénévoles, sur la façon de protéger votre organisation et votre vie privée. Et n’omettez pas de partager vos inquiétudes à ce sujet. Lorsque vous recevez des messages d’hameçonnage par courriel ou par SMS, informez les autres membres de votre cercle de connaissances de ce que vous avez reçu afin qu’ils puissent surveiller tout ce qui peut être ressemblant. Si votre organisation dispose d’un service de technologie de l’information (TI), assurez-vous de le lui faire savoir afin qu’il puisse prendre des mesures pour empêcher d’autres personnes de le recevoir. En fin de compte, nous devons tous prendre nos responsabilités à l’intérieur de notre sphère d’influence.
Glossaire
Vecteur : « Un vecteur désigne en informatique le moyen utilisé par du code malveillant, tel qu’un virus ou un vers, pour se propager d’ordinateur à ordinateur afin de les infecter » (Fondation Wikimedia, 2021).Acteur malveillant : (Bad Actor en anglais) « une personne ou une organisation responsable d’actions nuisibles, illégales ou moralement répréhensibles », (dictionnaire anglais Cambridge).
Cyberattaques : (Cyberattacks en anglais) « Tentative d’accéder illégalement à un ordinateur ou à un système informatique dans le but de causer des dommages ou des dommages » (Merriam-Webster)
Cybersécurité : l’activité ou le processus, l’aptitude ou la capacité, ou l’état par lesquels les systèmes d’information et de communication et les informations qu’ils contiennent sont protégés ou sont défendus contre les dommages ou contre l’utilisation, la modification ou l’exploitation non autorisées.
Encrypter : c’est un terme générique qui englobe les termes chiffrer et coder.
Technologie de l’information : « Tout équipement ou système interconnecté ou sous-système d’équipement qui traite, transmet, reçoit ou échange des données ou des informations » (Initiative nationale pour les études et les carrières dans le domaine de la cybersécurité, NICCS en anglais).
Hameçonnage par courriel : (Phishing en anglais) « Une forme numérique d’ingénierie sociale pour tromper les gens en leur faisant fournir des informations sensibles » (Initiative nationale pour les études et les carrières dans le domaine de la cybersécurité, NICCS en anglais).
Hameçonnage par SMS : (Smishing en anglais) « La pratique consistant à utiliser des messages texte frauduleux pour soutirer des données financières aux utilisateurs à des fins d’usurpation d’identité » (HarperCollins Publishers Ltd. [s.d.]).
Correctifs logiciels : (Software Patches en anglais) « Un certain nombre d’instructions ajoutées à un programme, qui a déjà été traduit en langage machine, afin de corriger une erreur » (HarperCollins Publishers Ltd. [s.d.]).
Authentification à deux facteurs (2FA) : « Un système de sécurité qui requiert deux formes d’identification distinctes pour accéder à quelque chose » (Kenton, 2020).
Références
- Acteur malveillant (Bad actor) : définition du dictionnaire anglais Cambridge (s.d.). Extrait le 30 septembre 2021
- Cybersecurity glossary (Glossaire sur la cybersécurité). Initiative nationale pour les carrières et les études dans le domaine de la cybersécurité (s.d.). Extrait le 30 septembre 2021
- Correctif (Patch). Définition et signification de patch : dictionnaire anglais Collins. HarperCollins Publishers Ltd. (s.d.). Extrait le 30 septembre 2021
- Hameçonnage par SMS (Smishing). Définition et signification de smishing : dictionnaire anglais Collins. HarperCollins Publishers Ltd. (s.d.). Extrait le 30 septembre 2021
- Authentification à 2 facteurs (Two-Factor authentication [2FA]). Kenton, W. (19 mai 2021). Investopedia. Extrait le 30 septembre 2021
- Cyberattaque (Cyberattack). Définition de cyberattack : dictionnaire anglais Merriam-Webster (s.d.). Extrait le 30 septembre 2021
- One password allowed hackers to disrupt COLONIAL Pipeline, CEO tells senators (Un mot de passe a permis aux pirates d’interrompre l’approvisionnement par Colonial Pipeline du carburant, a déclaré le PDG aux sénateurs). Stephanie Kelly et J. Resnick-Ault (9 juin 2021). Agence Reuters. Extrait le 30 septembre 2021
- SolarWinds hack was “largest and most Sophisticated Attack” ever: Microsoft president (Le piratage de SolarWinds a été « l’attaque la plus importante et la plus sophistiquée » jamais réalisée : le président de Microsoft). Thomson Reuters (15 février 2021). Extrait le 30 septembre 2021
- Vecteur (logiciel malveillant) (Attack vector). Fondation Wikimedia (5 septembre 2021). Wikipedia. Extrait le 30 septembre 2021
Crédits d'image: IncrediVFX.adobe.com
