Voici la 3e partie de notre série d’articles de blogue basés sur nos échanges Twitter dans le cadre de la 14e édition du Mois de sensibilisation à la cybersécurité (NCSAM). Encore une fois, la National Cyber Security Alliance (@NatlCyberSecAlliance) est l’hôte d’une série de discussions Twitter, tenus tous les jeudis d’octobre via le mot-clic #ChatSTC (modération assurée par @STOPTHNKCONNECT) et encore une fois, les chercheurs d’ESET ont participé à l’événement.
Dans les deux premières parties de cette série, nous avons abordé le rôle des utilisateurs moyens d’Internet pour rendre l’Internet plus sûr, et le vol d’identité. Cette fois, nous abordons le rôle que tout le monde doit jouer en matière de maintenir les meilleures pratiques en cybersécurité au travail.
La cybersécurité au travail est l’affaire de tout le monde
Jeudi, le 12 octobre 2017, 15h00-16h00 EDT/12h00-13h00 PDT
NDLT: Vous pouvez consultez la version originale non traduite, incluant les abréviations et expressions de Twitter, ici.
________________________
Q1 : Pourquoi est-ce essentiel que les entreprises « cyberconscientisés »? Pouvez-vous nous donner certaines des raisons pour lesquelles la #cybersécurité est si important pour une entreprise?
Bruce Burrell : Tout comme dans la vraie vie, la question n’est pas « si », mais « quand ». Donc, plus particulièrement, les attaquants VONT tenter de traverser vos défenses, VONT tenter de vous leurrer, en utilisant ce qu’ils croient être vos points faibles, vous N’ÊTES PAS trop petits pour être une cible. Vous devez donc vous assurer d’améliorer vos défenses autant que possible, afin de ne pas être une cible facile. On ne souhaite évidemment pas qu’un attaquant s’en prenne à autrui avec succès – pas même vos compétiteurs – mais vaut mieux pas qu’elle ne s’en prenne à vous! Bien sûr, si l’attaque cible VOTRE entreprise, et pas simplement « n’importe quelle entreprise fragiles » et que l’attaquant dispose de ressources assez importantes, il est très plausible qu’il y parvienne. Mais assurez-vous au moins de rendre ceci aussi difficile que possible.
Évidemment, une attaque réussie peut perturber une entreprise (parfois sévèrement, par exemple avec rançongiciel dans l’absence de sauvegardes adéquates hors-ligne). Elle peut entraîner des coûts, notamment l’obligation d’offrir la surveillance du crédit aux clients dont les informations personnelles ont été subtilisées dans l’attaque. Des coûts légaux et des pénalités financières peuvent aussi s’en suivre. Elle peut causer des pertes de clientèle à court et long terme, en plus bien sûr de miner votre réputation.
Qui me vole ma bourse vole des ordures; c'est quelque chose, ce n'est rien;
Ce fut à moi, c'est à lui maintenant et ç'aura été a des milliers d'autres;
Mais celui qui m’arrache ma bonne renommée;
Celui-là me dérobe sans s’enrichir;
Tout en me rendant vraiment pauvre.
-Othello Act 3, scene 3, 155–161
[Bruce souligne aussi que ces mots ont en fait été prononcés par Iago, le vilain de la pièce, donc on revient encore une fois à la question de la confiance. Je ne peux m’empêcher de vous suggérer de surveiller votre mouchoir autant que votre bourse et votre réputation (DH)]
Aryeh Goretsky : Les entreprises ont plus d’argent, les informations d’identification fiscales des employés et toute sorte d’infos que les criminels adorent voler + utiliser pour commettre des fraudes fiscales.
Lysa Myers : Beaucoup de gens banalisent les pertes de téléphones, mais elles peuvent provoquer d’énormes problèmes.
Q2 : Quelles sont les plus majeures cybermenaces auxquelles font face les entreprises, et pourquoi est-ce important pour celles-ci de les adresser?
Aryeh Goretsky : Les rançongiciels sont une menace très visible, souvent par des courriers électroniques sous la forme de fausses factures ou feuilles de routes. Les serveurs mal sécurisés aussi.
Lysa Myers : Ça dépend de l’industrie. Vol de propriété intellectuelle? Vol des données personnelles des clients? Les rançongiciels affectent lourdement la majorité des industries. Les brèches et les interruptions peuvent causer la perte de confiance de la clientèle et des amendes. Plusieurs entreprises quittent le marché après de tels incidents.
Q3 : Pouvez-vous nous donner quelques exemples de données qu’il est crucial de protéger pour une organisation?
Bruce Burrell : Mais, TOUTES les données bien sûr. Mais si vous protégez les données d’autrui, c’est un sujet de préoccupation particulier. Ainsi que votre propriété intellectuelle, informations confidentielles, et même vos simples « infos internes ». En fait, c’est à chaque organisation qu’il convient de décider. De quoi avez-vous besoin? Ces données sont-elles sauvegardées et ses sauvegardes sont-elles testées? En ce cas, la perte d’accès temporaire pourrait être couteuse, peut-être, à cause du temps requis pour remettre les données restaurées en état. Mais si les données sont volées, c’est un tout autre problème.
Aryeh Goretsky : Listes de clients, données de vente, informations fiscales.
Lysa Myers : En bref : les données de valeur pour vous ou votre clientèle. Ne vous en tenez pas aux évidences; ça ne concerne pas que les données de cartes de paiement!
Les courriers électroniques et les accès aux comptes de médias sociaux ont en fait une plus grande valeur que les # de cartes de crédit sur le marché noir, parce qu’ils peuvent usurper la confiance des gens.
Q4 : Quelles mesures de sécurité une entreprise peut mettre en place pour protéger ces données confidentielles, ses employés et clients?
Bruce Burrell : Maintenir tout à jour et corrigé. Utilisez une suite antivirus de plus grande qualité. Appliquez la défense en profondeur. Implantez 2FA. Faites des sauvegardes fréquentes, testez-les et conservez au moins certaines de ces sauvegardes hors-ligne. Chiffrez vos données, tant au repos qu’en mouvement. Segmentez vos réseaux. Appliquez la Séparation des privilèges.
Plus globalement, implantez les mesures du CIS Top 20 Controls, et assurément le Top 5 du CIS. Notez l’ordre de priorité – vous tirerez le meilleur rendement avec la première, plus la deuxième, etc. Commencez donc par le Top 5, puis continuez selon le temps, le budget et l’expertise à votre disposition.
Aryeh Goretsky : Un système de patch, afin de garder votre système d’opération et vos logiciels à jour. Le chiffrement, pour empêcher la lecture des données volées.
David Harley : Les patches, les sauvegardes, la formation des employés, les conseils adéquats fournis aux clients.
Lysa Myers : Le salage et le hachage des identifiants : les criminels ne peuvent pas voler ce que vous n’avez pas. Autorisez et encouragez la 2FA pour l’ouverture des accès. Segmentez vos réseaux, pour que vos clients et contracteurs aient accès à vos ressources sans compromettre le caractère confidentiel des informations sensibles. Plus vous ajoutez de couches de protection, plus vous êtes résilient face aux accidents et erreurs inévitables.
Q5 : Donnez-nous quelques outils et méthodes que vous recommandez pour surveiller les cyberattaques et quelques signes indicateurs permettant d’identifier une menace?
Bruce Burrell : Bien évidemment, la première chose est un logiciel antivirus de qualité supérieure, à jour, configuré adéquatement et, dans un environnement corporatif, du personnel de TI qui s’y connait en matière de sécurité. Des outils tels que l’ESET Remote Administrator peuvent vous aider à garder vos appareils conformes, détecter les anomalies, etc.
En plus de ce que votre suite de sécurité peut vous apprendre, de nombreuses couches additionnelles peuvent augmenter votre protection, comme l’analyse de trafic réseau, quoi qu’elles puissent entraîner des couts supplémentaires au plan monétaire et humain.
Aryeh Goretsky : Des systèmes et outils de surveillance réseau existent, afin d’observer des changements importants comme des réseaux inhabituels ou des connexions en dehors des heures normales de travail.
Lysa Myers : La surveillance implique de connaître votre réseau assez bien pour reconnaitre les anomalies. Pour y parvenir, effectuez régulièrement des évaluations de risques continues.
Q6 : Que doit faire une organisation si elle est victime d’une cyberattaque ou d’une brèche?
Bruce Burrell : Au-delà de la dénonciation aux forces de l’ordre? Au-delà de ce que la loi exige que les entreprises dévoilent? Bien, il y a plusieurs choses. Dans certains cas, il n’est peut-être pas prudent de tout réparer immédiatement, par exemple dans le cas d’une attaque par un gouvernement ou un groupe terroriste : le FBI ou une autre organisation pourrait avoir besoin d’observer vos appareils avant que ceux-ci ne soient restaurés, etc., pour permettre l’analyse scientifique adéquate. Mais une fois, s’il y a lieu, que cette étape est complétée, tentez de restaurez le tout au statu quo. Puis, trouvez ce qui est allé de travers – peut-être avec l’aide d’enquêteurs externes – et réglez tous les problèmes détectés. Assez-vous de revoir vos défenses régulièrement, ce qui va exiger que vous, ou une personne que vous embaucherez, se tiendra au fait des développements en sécurité. Formez votre équipe – tous les membres de votre équipe qui touchent à un ordinateur – et faites-le régulièrement. Et si vous n’en avez pas déjà (au moins) un, développez un protocole d’urgence pour toutes attaques ou brèches réussies. Rappelez-vous : ce n’est pas une question de si…
Et soyez transparents avec vos clients; sinon, ils auront de bonnes raison de ne pas vous faire confiance.
Aryeh Goretsky : Contactez la police et IC3.GOV pour porter plainte.
David Harley : Comme mentionné la dernière fois, communiquez avec les forces de l’ordre ne garantit pas que la personne dénonçant le crime obtiendra réparation, surtout si les dommages financiers sont minimes, mais cela contribue à sensibiliser les forces de l’ordre à l’ampleur et l’impact du problème.
Lysa Myers : Familiarisez-vous en profondeur avec les violations aux exigences et règlements dans votre état. Suivez les politiques déjà en vigueur pour répondre aux incidents.
________________________
Nous vous encourageons à suivre les discussions sur Twitter et aux autres événements et profitez des commentaires et conseils offerts par les autres joueurs de l’industrie de la sécurité. Nous vous encourageons aussi découvrir cette page créée par ESET, qui regroupe plusieurs ressources gratuites en cybersécurité, afin de vous aider à être plus conscientisés #CyberAware.
WeLiveSecurity publiera la 4e partie de cette discussion Twitter dans les prochains jours; alors restez à l’affût.