Octobre est le mois de la sensibilisation à la cybersécurité. Mis sur pieds en 2004 à l’initiative du gouvernement américain, l’événement d’envergure internationale vise à démocratiser la cybersécurité. C’est l’occasion pour le plus grand nombre de découvrir quelques meilleures pratiques et prendre conscience des cybermenaces les plus courantes.
Vingt ans plus tard, la sensibilisation et la formation à la cybersécurité demeurent des priorités. Comme nous l’avons fait remarquer dans notre récent article, 20 statistiques choquantes sur la cybersécurité : édition 2023, la situation est plutôt alarmante. Le nombre d’attaques par maliciels, par exemple, a atteint les 5,5 milliards par année, 71 % des entreprises disent avoir été victimes d’une attaque par rançongiciel depuis le début de l’année et l’on prédit que le coût associé à la cybercriminalité mondiale atteindra les 8 billions vers la fin de 2023.
Une révision pour certains, une révélation pour d’autres
Dans l’esprit du mois de la cybersécurité, Devolutions a demandé à ses équipes de sécurité de dresser une liste des sept astuces essentielles à la protection des petites et moyennes entreprises (PME).
Si vous faites partie des professionnels des TI capables d’écrire un livre (voir plusieurs volumes) d’astuces et de meilleures pratiques en cybersécurité, alors considérez cet article comme un cours de révision. Après tout, même les experts gagnent à revisiter des sujets familiers de temps en temps.
Qui plus est, nous vous invitons à faire circuler cet article dans vos réseaux d’amis et de collègues. Les trucs et conseils qu’il contient pourraient leur éviter bien des maux.
Astuce #1 : Être proactif et se considérer comme une cible potentielle
Au lieu de se croire « trop petites pour apparaître sur le radar des pirates », les PME devraient agir comme si elles étaient des cibles toutes désignées et renforcer activement leur profil de sécurité. Agir de la sorte est beaucoup plus simple, rapide, et surtout franchement moins coûteux que de réparer les pots cassés après une cyberattaque.
Gardons à l’esprit que les pirates s’en prennent de plus en plus aux PME, lesquelles disposent bien souvent d’une sécurité plus faible. L’année dernière, 60 % des PME disent avoir subi au moins une cyberattaque (18 % d’entre elles en ont essuyé plus de six!), et les coûts engendrés par chaque attaque varient entre 120 000 et 1,24 million de dollars américains. Plus alarmant encore : 60 % des PME ferment définitivement leurs portes dans les six mois qui suivent une attaque.
Astuce #2 : Implémenter nos cinq politiques de contrôle et de réduction de risque
Afin de réduire les risques d’attaque et d’augmenter la visibilité et le contrôle au sein de leur entreprise, les PME devraient, selon nous, adopter les cinq politiques que voici :
- Le principe de moindre privilège : principe selon lequel les utilisateurs finaux ne disposent que des accès strictement nécessaires à l’accomplissement de leurs tâches quotidiennes. Ceux qui ont temporairement besoin de privilèges plus élevés doivent demander une autorisation à un administrateur système.
- L’architecture à confiance nulle : type d’architecture qui part du principe que personne ne devrait avoir automatiquement accès à quoi que ce soit. Les utilisateurs finaux, les machines et les applications doivent être authentifiés à l’aide de technologies comme l’AMF, l’IAM, le chiffrement, etc.
- La séparation des tâches : stratégie selon laquelle un individu ne doit jamais être responsable d’effectuer des tâches qui entrent en conflit les unes avec les autres.
- La défense en profondeur : tactique consistant à mettre en place plusieurs couches de protection afin de ralentir les pirates qui tentent de pénétrer subrepticement le périmètre de sécurité d’un réseau pour accéder à des actifs critiques ou des données sensibles.
- Le principe des quatre yeux : principe selon lequel la moindre action comportant un risque matériel effectuée par un utilisateur final doit être approuvée par un autre employé indépendant et compétent.
Astuce #3 : Utiliser le PAM pour simplifier l’authentification et l’octroi de permissions
Les PME devraient déployer une solution complète de gestion des accès privilégiés (PAM) pour faciliter l’authentification et l’octroi de permission. En somme, PAM comporte deux facettes :
- La gestion des identités, qui sert à déterminer qui sont les utilisateurs finaux.
- La gestion des accès, qui sert à contrôler ce que les utilisateurs finaux sont autorisés à faire.
La formulation « déployer une solution complète » plus haut n’est pas anodine. En effet, bien que 98 % des PME disent gérer les comptes privilégiés, seulement 12 % d’entre elles disposent d’une solution PAM complètement déployée, ce qui signifie que 88 % sont beaucoup plus vulnérables qu’elles ne l’imaginent.
Astuce #4 : Mettre en place un plan pratique et solide, mais surtout le respecter!
Les PME doivent mettre en place un plan de sécurité exhaustif et s’y tenir. Au minimum, il devrait comporter les trois grands objectifs suivants :
- Déterminer et documenter les objectifs. La plupart des PME concentrent leurs efforts sur la compétence et la conformité des utilisateurs finaux. Il est certes important de porter attention à ces deux éléments, mais encore faut-il s’assurer que les objectifs de l’entreprise sont bien compris par tous.
- Déterminer les rôles et responsabilités de chacun. S’assurer que chaque partie prenante interne comprend bien les besoins en cybersécurité de l’entreprise et les comparer à une charte RACI (responsable, agent comptable, consulté, informé).
- Communiquer en aval et surveiller en amont. Toutes les parties prenantes doivent avoir accès aux politiques de cybersécurité et être averties des dernières mises à jour dès qu’elles sont disponibles. Pour ce faire, l’établissement de canaux de communication bidirectionnels est de la plus haute importance, tout comme le sont les mises au point et les améliorations.
Astuce #5 : Former les utilisateurs finaux et surveiller leurs agissements
Les PME devraient offrir de la formation en cybersécurité qui traite des risques, menaces et enjeux fondamentaux. Voici quelques-uns des sujets principaux à aborder : le contrôle des accès, l’usurpation d’identité, l’ingénierie sociale (ex. : l’hameçonnage), le signalement d’incident, la gestion de mot de passe, la sécurité physique et les risques associés au travail à distance.
En outre, il est de la plus haute importance pour les PME d’identifier et d’éliminer « l’informatique fantôme ». Ce terme désigne l’utilisation de matériel, de logiciel ou de services infonuagiques sans que les équipes des TI soient au courant ou donnent leur aval. D’ailleurs, Gartner prédit que d’ici 2027, 75 % des employés obtiendront, modifieront ou créeront de la technologie en dehors du contrôle des équipes des TI, soit une hausse de 34 % par rapport 2022.
Astuce #6 : Pallier les lacunes de sécurité avec un fournisseur de services gérés
Souvent, les PME ne disposent ni d’une équipe de cybersécurité ni d’experts en sécurité infonuagique, soit parce qu’elles n’arrivent pas à recruter les talents nécessaires ou parce qu’elles n’ont pas le budget pour le faire. Dans ce cas de figure, elles ont tout à gagner à faire affaire avec un fournisseur de services gérés (MSP).
Voici quelques facteurs importants à prendre en compte au moment de choisir un fournisseur :
- La capacité du MSP à répondre à vos besoins particuliers;
- La vitesse avec laquelle le fournisseur répond à vos problèmes, sa rapidité à les résoudre, et ce qu’il peut offrir en termes de soutien en personne. Toutes ces responsabilités et normes devraient figurer dans un accord sur les niveaux de service (ANS);
- Les acteurs malveillants, tout comme les logiciels et systèmes défaillants, ne prennent jamais de vacances. Un fournisseur de services gérés digne de ce nom en fait de même. De fait, votre infrastructure devrait être protégée en tout temps et disposer d’un large éventail d’outils et de politiques pour assurer la continuité des affaires ainsi que la remise sur pied de votre entreprise en cas de sinistre;
- Un MSP a le devoir de vous offrir des conseils d’expert, certes, mais les décisions relatives aux vendeurs, outils et technologies vous reviennent entièrement;
- Un MSP devrait être en mesure de communiquer clairement et efficacement avec des vétérans des TI comme avec des non-initiés.
Astuce #7 : Remplacer son VPN par une passerelle juste-à-temps
Malgré leur popularité et les nombreux avantages qu’ils confèrent, les réseaux privés virtuels (VPN) sont la cause de nombreux problèmes, notamment :
- Leur déploiement est ardu et chronophage, un problème de taille pour les PME qui ne peuvent pas compter sur une grande équipe des TI;
- Les clients VPN tunnellisent le trafic via le réseau privé, ce qui peut grandement en dégrader les performances;
- Lorsque vient le temps d’accorder un accès temporaire, les administrateurs système doivent passer beaucoup de temps à mettre à jour et revisiter les règles de VPN et de pare-feu.
La solution est de remplacer les VPN avec des passerelles juste-à-temps qui :
- Se déploient rapidement et facilement;
- Améliorent les performances réseau en limitant la tunnellisation aux connexions RDP. Ainsi, le reste du trafic réseau n’est pas affecté négativement;
- Remplacent les règles statiques des VPN et pare-feu avec des règles d’accès dynamiques, ce qui évite aux administrateurs système de mettre à jour les règles des VPN et pare-feu pour accorder des accès temporaires.
Pour plus de détails concernant les limitations des VPN et les bénéfices des passerelles juste-à-temps, veuillez consulter cette page.
Un mot de la part du CISO de Devolutions, Martin Lemay
Nous sommes à l’ère du Far West numérique, où les menaces abondent. Les organisations doivent absolument développer une capacité de défense pour protéger leurs intérêts et toutes leurs parties prenantes contre des opportunités souvent prévisibles de cyberattaques. Que cette capacité soit développée en interne ou externalisée, l’expertise en cybersécurité est cruciale pour maintenir l’équilibre.
En conclusion
Bien que le mois d’octobre soit le seul qui soit consacré à la sensibilisation à la cybersécurité, il n’est pas moins important de comprendre les risques et les menaces (et les meilleurs moyens de les identifier, de les contrôler et d’en réduire l’incidence) toute l’année durant.
Évidemment, les sept astuces détaillées plus haut ne constituent pas un plan complet de cybersécurité, mais elles peuvent tout de même servir de base pour comprendre certains enjeux et poser de bonnes actions. Comme chacun le sait, plus le vol d’identité et de données est lucratif, plus les pirates seront audacieux. Et puisque les conséquences d’une attaque sont si catastrophiques, il n’est pas alarmiste d’affirmer qu’un profil de cybersécurité solide, fiable et conforme n’est plus une option, mais bien une nécessité!