Portail
Forum
Devolutions Force
Hub Business
Hub Personal
Devolutions Send
Devolutions Academy
RDM
Workspace
Launcher
Hélas, un autre 4 mai est passé, et la célébration de tout ce qui touche à Star Wars est terminée. Ou… l’est-elle vraiment ?
Chez Devolutions, nous aimons tellement Star Wars que nous avons voulu prolonger un peu la fête. Nous voulions aussi mettre en lumière un film qui a longtemps été critiqué et malmené, mais qui connaît aujourd’hui une certaine renaissance — certains fans le considèrent même comme l’un des meilleurs (et assurément le plus sombre et le plus triste) de toute la saga. Oui, nous parlons bien de Star Wars : Épisode III – La Revanche des Sith.
Et c’est là qu’une idée nous est venue, comme les deux soleils de Tatooine : et si nous explorions le film à la recherche d’exemples d’erreurs en cybersécurité que commettent souvent les petites et moyennes entreprises (PME) — puis que nous partagions des conseils pour les corriger ? Le concept a été approuvé par le Conseil Jedi de Devolutions (alias notre équipe de communication de geeks).
Alors installez-vous confortablement, servez-vous un Yoda Soda (oui, ça existe vraiment !), et rejoignez-nous pour tirer des leçons de cybersécurité grâce à Anakin Skywalker, au Chancelier Suprême Palpatine, à Obi-Wan et au reste de l’équipe de ROTS.
Ne pas gérer les accès aux comptes privilégiés
La Revanche des Sith regorge de petits détails, et même les fans les plus acharnés peuvent passer à côté d’éléments qui semblent anecdotiques, mais sont en réalité essentiels. Par exemple, prenons la scène épique où Obi-Wan affronte le Général Grievous sur Utapau. Obi-Wan utilise la Force pour récupérer le blaster tombé du Général et l’utilise pour le détruire. C’était palpitant et divertissant.
Mais imaginons un instant que le blaster du Général ait été protégé par un mécanisme d’authentification destiné à sécuriser les armes attribuées aux officiers — des armes qui ne devraient pas fonctionner pour quiconque les ramasse au sol. Dans ce cas, au lieu de faire « pew-pew » vers la victoire, Obi-Wan aurait peut-être crié en Basic Standard galactique, Twi’leki, Amani, Ancien Alderaanien et Shyriiwook.
Dans le même esprit, les PME doivent identifier, protéger et surveiller leurs comptes privilégiés. Contrairement aux comptes utilisateurs classiques, les comptes privilégiés disposent d’autorisations étendues et donnent accès à des données, des systèmes et des ressources critiques dans l’organisation. Exemples (non exhaustifs) : comptes administrateur de domaine, comptes administrateur locaux, comptes d’accès d’urgence, comptes système et comptes de service de domaine.
Seules certaines personnes autorisées — comme les administrateurs système (et peut-être les Chevaliers Jedi) — devraient avoir accès à ces comptes. Mais la réalité est bien différente. En fait, 55 % des organisations ne savent pas combien de comptes privilégiés elles possèdent ni où ils se trouvent. Pire encore, plus de 50 % des comptes privilégiés n’expirent jamais ou ne sont jamais désactivés — et 74 % des violations de données commencent par un abus d’identifiants privilégiés.
La bonne nouvelle ? Les PME peuvent transformer cette faiblesse en force avec une solution de gestion des accès privilégiés (PAM) robuste. Par exemple, Devolutions PAM est une puissante solution de cybersécurité abordable qui contrôle et surveille les accès privilégiés aux systèmes et données critiques. Elle aide les PME à protéger leurs « clés du royaume » et à tenir les acteurs malveillants (les pirates, pas les acteurs de cinéma) à l’écart. Découvrez-en plus sur Devolutions PAM dans cette FAQ.
Croire que les gestionnaires de mots de passe sont des solutions de sécurité à part entière
Dans La Revanche des Sith, au lieu d’embrasser la Force, Anakin Skywalker se tourne vers le Côté Obscur et devient Dark Vador. C’est un rappel marquant et glaçant que les choses — et les gens — ne sont pas toujours ce qu’ils semblent être, ou ce que nous voudrions qu’ils soient.
Il existe une confusion similaire sur le marché des gestionnaires de mots de passe. Ce n’est pas facile à démêler (mais rassurez-vous, ce n’est pas aussi complexe que les échanges de sabres laser entre Palpatine et Anakin pendant le duel sur Mustafar).
En général, utiliser un bon gestionnaire de mots de passe est plus sécuritaire que de ne pas en utiliser — car cela signifie que les utilisateurs finaux n’enregistrent (espérons-le) pas leurs mots de passe dans des feuilles de calcul, des post-its ou d’autres supports qui inquiètent les experts en cybersécurité.
Cependant, malgré leur nom, les gestionnaires de mots de passe ne sont pas des solutions de sécurité à part entière. Ce sont plutôt des outils de continuité des activités qui permettent aux utilisateurs de partager des coffres contenant des informations comme des identifiants, des numéros de carte de crédit, des données de connexion à distance, etc.
L’avantage ? Si un utilisateur quitte l’organisation, ses collègues n’ont pas besoin de fouiller dans les courriels ou les documents pour trouver les mots de passe — il suffit de se connecter au gestionnaire de mots de passe centralisé, et tout est là.
Ce qui pose problème, c’est qu’il n’y a rien d’intrinsèquement sécuritaire dans un gestionnaire de mots de passe. Un utilisateur partant n’a qu’à copier/coller des informations sensibles dans un autre fichier. Oui, en théorie, cette vulnérabilité serait éliminée si l’organisation changeait tous ses mots de passe à chaque départ — mais ce n’est pas réaliste. Et faire réinitialiser automatiquement les mots de passe après chaque utilisation ne règle pas le cas des applications ou sites tiers.
Heureusement, les PME peuvent surmonter ce problème en complétant leur gestionnaire de mots de passe avec une solution offrant aussi la gestion des sessions privilégiées (PSM) ou la gestion des accès privilégiés (PAM). Cette combinaison propose des fonctions de sécurité complètes telles que :
- Injection sécurisée des identifiants
- Découverte de comptes
- Rotation automatique des mots de passe
- Alertes et notifications
- Processus d’approbation des demandes d’accès
Pour en savoir plus sur les différences entre les gestionnaires de mots de passe et les solutions PSM/PAM, lisez cet excellent article de Gabriel, notre responsable des opérations commerciales.
Ne pas utiliser l’authentification multifacteur (MFA)
En matière de tenue vestimentaire, de répliques percutantes et de musique heavy metal incroyablement cool, l’Empire galactique mérite un 10/10. Mais en matière de pratiques de cybersécurité de base, il mérite un torrent d’éclairs de Force — car ses pratiques sont incroyablement, et parfois comiquement, mauvaises. En gros, les réseaux de l’Empire sont ouverts à quiconque veut se brancher. Franchement, le mot de passe du Seigneur Sith est probablement « 123456 » (et on ne plaisante pas tant que ça).
De la même manière, malgré les manchettes constantes sur les cyberattaques, de nombreuses PME n’utilisent toujours pas l’un des moyens les plus simples et intelligents de réduire les risques : la MFA.
La MFA ajoute une couche de sécurité supplémentaire en obligeant les utilisateurs à vérifier leur identité à l’aide de leurs identifiants de connexion, plus un autre facteur qui peut être :
- Quelque chose qu’ils savent (ex. : mot de passe, NIP, réponse à une question secrète)
- Quelque chose qu’ils possèdent (ex. : téléphone intelligent ou jeton physique)
- Quelque chose qu’ils sont (ex. : empreinte digitale, reconnaissance vocale ou scan rétinien)
La MFA n’est pas infaillible (mais elle reste plus robuste que l’armure des clones — c’est fait en quoi, du polystyrène ?). Reste que c’est une très bonne pratique. Dans les solutions Devolutions, la MFA est configurée au niveau de la source de données, sauf dans Devolutions Server où elle est définie au niveau de l’utilisateur. Visitez cette section de la base de connaissances pour en savoir plus et obtenir les étapes de configuration.
Croire qu’ils sont trop petits pour être attaqués
Dans La Revanche des Sith, Yoda sait que sa petite taille (seulement 66 cm) ne l’empêchera pas d’être une cible. Il n’a qu’à demander au Chancelier Palpatine, qui l’a vaincu dans la Salle du Sénat galactique.
Malheureusement, certaines PME ne sont pas aussi sages que Yoda. Elles pensent qu’elles ne risquent pas une violation de données, car les pirates sont trop occupés à cibler les grandes entreprises. C’est de l’illusion. La réalité, c’est que les pirates ciblent de plus en plus les PME précisément parce qu’ils s’attendent à y trouver des défenses faibles — voire inexistantes. Considérez ceci :
- 43 % de toutes les cyberattaques mondiales ciblent désormais les PME
- Le coût moyen d’une violation de données pour les PME a atteint 2,98 millions USD par incident
- 69 % des PME ont subi au moins une cyberattaque au cours de la dernière année
En résumé ? Les PME doivent faire du renforcement de leur posture de cybersécurité une priorité absolue — ou risquer de se retrouver du mauvais côté d’une bataille très coûteuse.
Vouloir tout faire par elles-mêmes
Dans La Revanche des Sith, Obi-Wan cherche des conseils auprès de Yoda après avoir appris qu’Anakin Skywalker a basculé du côté obscur. C’est une illustration claire que même les individus les plus compétents ont parfois besoin d’aide.
De même, de nombreuses PME ont besoin de soutien pour renforcer leurs défenses en cybersécurité. Voici deux façons de réduire les risques :
-
Choisir des fournisseurs dédiés aux PME. Ces fournisseurs offrent des solutions et outils de cybersécurité puissants, abordables et faciles à gérer. Depuis plus de 15 ans, Devolutions est fier de servir, soutenir et renforcer les PME partout dans le monde.
-
Travailler avec un fournisseur de services gérés (MSP) qui, comme Devolutions, s’engage à aider les PME de manière concrète et rentable. Lisez cet article pour obtenir des conseils sur le choix du bon partenaire MSP.
Rappelez-vous : reconnaître que vous n’avez pas les spécialistes internes ni la technologie pour vous défendre contre des pirates version Sith n’est pas une faiblesse — c’est de la sagesse.
Qu’en pensez-vous ?
Que pensez-vous de notre analyse des cinq principales erreurs en cybersécurité que commettent les PME — et comment les corriger ? Y a-t-il une erreur (ou plusieurs) que vous jugez particulièrement grave ? Y en a-t-il d’autres que vous ajouteriez à la liste ? Continuez de ressentir la Force et partagez vos réflexions ci-dessous.
