Aller au-delà des noms d’utilisateur et des mots de passe

Ces derniers mois, vous avez peut-être remarqué une augmentation des invites d’authentification à deux et plusieurs facteurs, qui sont utilisées pour vérifier les comptes des particuliers et des entreprises. Ces outils gagnent en popularité pour aider les consommateurs et les entreprises à se protéger contre l’usurpation d’identité, les violations de données, l’écrémage de mots de passe et les attaques de phishing/ransomware.

Statistiques récentes de la Centre de ressources sur le vol d’identité (ITRC) montrent qu’environ 92 % des violations de données sont liées à des cyberattaques, et les violations de données au premier trimestre 2022 étaient 14 % plus élevées qu’à la même période en 2021.

Les statistiques de l’ITRC montrent également qu’au cours du seul premier trimestre 2022, près de la moitié (154 sur 367) des avis de violation de données n’incluaient pas la nature de la violation et étaient désignés « inconnus ». Ce montant « inconnu » était supérieur de 40 % aux causes de violation de données « inconnues » pour l’ensemble de 2021.

Alors, comment les RSSI peuvent-ils préparer leurs entreprises à contrecarrer ces attaques de cybersécurité ? Ils doivent rester au fait des technologies émergentes pour lutter contre l’évolution des menaces, la vulnérabilité des systèmes et les mauvais acteurs, en s’adaptant aux circonstances en constante évolution.

Les cyberpirates en 2022

Déjà, cette année s’est avérée pleine d’exploits de sécurité d’entreprise. Un groupe bien connu appelé Lapsus$, opérant en Amérique du Sud, a commis plusieurs cyberpirates. Il a été confirmé que le groupe était l’auteur des attaques contre NVIDIA, Samsung, T-Mobile et Vodafone.

Dans l’affaire T-Mobile, les membres Lapsus$ piraté le réseau de T-Mobile en mars 2022 en compromettant les comptes des employés, soit par hameçonnage, soit par une autre forme d’ingénierie sociale. Une fois dans la base de données T-Mobile des comptes clients, les cybercriminels ont cherché à trouver des comptes T-Mobile connectés au Département américain de la Défense et au FBI.

Lapsus$ a également revendiqué la responsabilité d’une cyberattaque contre Microsoft. Le géant du logiciel a confirmé que ses référentiels internes de code source Azure DevOps et ses données volées avaient été piratés via le compte d’un employé, mais a ajouté que seul un accès limité était accordé.

Une autre infraction récente a profité de l’équipe de vente d’une entreprise via l’ingénierie sociale. Un cybercriminel qui prétendait être un membre du service informatique de l’entreprise a contacté les vendeurs de l’organisation avec des demandes d’informations d’identification de connexion CRM. Ironiquement, cette demande a été faite sous prétexte d’installer des couches de sécurité supplémentaires pour que les utilisateurs et leurs systèmes critiques deviennent plus sécurisés.

Malheureusement, au moins un vendeur est tombé dans le piège et les criminels ont pu accéder à leurs informations d’identification, accéder au système CRM de l’entreprise et télécharger des parties ciblées de la base de données clients.

Ces types d’attaques sont de plus en plus courants et sont plus difficiles à résoudre compte tenu des méthodes de contrôle d’accès traditionnelles.

Mise en œuvre de l’authentification multifacteur

Pour les CISO, il est devenu impératif de mettre en œuvre une authentification à deux facteurs (2FA) – au minimum – pour accéder à tous les ordinateurs, serveurs, services d’infrastructure et applications métier. L’ajout de 2FA aide à tenir les pirates et les cybercriminels à distance, les empêchant d’accéder aux systèmes. Bien que même ces solutions puissent être contournées par des techniques astucieuses.

Certaines entreprises utilisent clés de sécurité physiques pour une couche supplémentaire de protection des données. Par exemple, les clés de sécurité physiques peuvent aider à stopper les attaques de phishing lorsque l’authentification multifacteur est disponible. Ils sont disponibles en plusieurs formats, sont faciles à utiliser et constituent généralement un moyen peu coûteux de protéger la sécurité des données.

D’autres mesures de sécurité qui tirent parti des appareils existants des employés ont été introduites pour lutter contre l’exemple ci-dessus du vendeur sans méfiance qui donne les identifiants de connexion au système. Par exemple, une entreprise a développé un code QR spécifique à l’utilisateur et à la transaction – un Porte-nom* code– qui correspond à tous les employés de l’entreprise, y compris les administrateurs informatiques. Si une personne de l’entreprise reçoit une demande de partage des informations de connexion ou d’autres données critiques, ce code dynamique vérifie la demande – l’identité, l’intention et l’autorisation de terminer la transaction sont toutes vérifiées et approuvées. Sans cela, la demande n’est pas valide.

Résolution du problème de mot de passe

Comment résolvons-nous le problème du mot de passe utilisateur ? Les solutions technologiques sont-elles la réponse ? Par exemple, les professionnels de l’informatique peuvent-ils renforcer la sécurité des données en liant le nom d’utilisateur/mot de passe d’une personne à la proximité physique de son appareil ? Et des niveaux plus profonds autour de la formation, de la gestion et du comportement des utilisateurs sont-ils nécessaires ?

Les opportunités abondent pour l’innovation. Quelques start-up s’associent biométrie comportementale pour la gestion des identités informatiques* buts. La plate-forme évalue plusieurs facteurs concernant les individus, par exemple, la façon dont un utilisateur marche, parle à haute voix, tape sur son clavier ou déplace une souris. Individuellement, ces facteurs peuvent ne pas être suffisants pour confirmer l’identité d’un utilisateur. Mais lorsque plusieurs d’entre eux sont combinés, ces caractéristiques peuvent créer une biométrie unique qui identifie un utilisateur avec une précision de près de 100 %.

Dans un monde de travail de plus en plus distant/hybride et instable, les RSSI doivent protéger l’accès aux données de multiples façons et s’efforcer de :

• Apprenez, comprenez et soyez attentif aux types d’outils et de tactiques en constante évolution que les cybercriminels utilisent activement.
• Ayez un plan de cyberattaque ou un manuel de réponse aux incidents prêt à l’emploi.
• Préparez des stratégies et des directives de confinement et d’atténuation pour les événements pendant (ou après) une attaque.
• Familiarisez-vous avec les nouvelles technologies basées sur l’IA qui peuvent aider à minimiser les risques de cybersécurité.
• Partagez la connaissance des données et les alertes de sécurité avec d’autres entreprises et communautés gouvernementales/cybersécurité pour aider les autres à prendre conscience des menaces potentielles et à déterminer comment atténuer au mieux ces événements potentiellement dommageables.

Avec l’augmentation des forces extérieures malveillantes et la guerre en Ukraine créant une pression supplémentaire sur la sécurité informatique, il est primordial que les RSSI veillent à ce que cette forme d’accès la plus élémentaire soit protégée avec vigilance contre les risques de sécurité nouveaux et en constante évolution.

*Divulgation : Glasswing est un investisseur dans ces startups de cybersécurité.

Cyberattaques, Sécurité des données et de l’information, Gestion des risques