Les recommandations de Yubico en matière de cybersécurité pour 2022

0
1

L’année 2021 a été marquée par une augmentation du nombre de failles de sécurité très médiatisées, dont beaucoup se sont soldées par des attaques de ransomware dévastatrices. Les cybercriminels ont ainsi frappé des cibles traditionnellement plus faciles à atteindre – comme les hôpitaux, les écoles et les collectivités locales – tout en continuant à s’intéresser à la supply chain. Bien que la cause profonde de ces cyberattaques varie, toutes ont tiré parti d’une authentification à facteur unique, d’une authentification multifacteurs faible (OTP, par exemple) ou de secrets exposés (clés de signature SAML, par exemple).

Tribune – En 2022, Chad Thunberg, RSSI de Yubico, prévoit sur une poursuite de l’extorsion des victimes via des ransomwares, en raison du succès rencontré par ces campagnes en 2021. En outre, une attention particulière devrait être accordée aux réglementations, afin d’accélérer la concrétisation des pratiques et des principes de sécurité de l’information dans les secteurs vulnérables. 

  1. Placer l’architecture « Zero Trust » comme une priorité

L’incident de SolarWinds et la récente vulnérabilité de Log4j ont mis en évidence que les systèmes internes critiques de certaines entreprises offrent un accès permissif à internet et à des systèmes non fiables, alors que l’application du principe du moindre privilège et la segmentation sont préconisés depuis des décennies. 

Les modèles de sécurité de type « Zero Trust » font progresser le débat, mais en modifiant fondamentalement l’approche de la sécurité de l’information. Au lieu de supposer que l’environnement interne est digne de confiance, ce modèle part en effet du principe qu’il est hostile. La confiance est alors instaurée au moyen d’une inspection et d’une authentification forte, mais elle reste éphémère dans la mesure où elle doit être rétablie à intervalles réguliers. En théorie, cette approche devrait limiter les violations réussies en réduisant la fenêtre d’opportunité et en renforçant l’isolement.

  1. Adopter une authentification multifacteur (MFA) résistant au phishing

Le phishing, le credential stuffing et d’autres menaces relatives à l’authentification par mot de passe, continueront à faire peser un risque important sur les entreprises. Les cybercriminels ont démontré qu’ils étaient capables d’accéder aux réseaux internes au sein desquels l’authentification à facteur unique et la MFA faible sont encore prédominantes. Grâce aux identifiants volés, les hackers ont la possibilité de se maintenir dans l’environnement sans avoir à exploiter les vulnérabilités ou à effectuer d’autres actions qui augmenteraient la probabilité de détection. 

  1. Surmonter la peur du cloud

Des entreprises et des secteurs continuent de percevoir le cloud comme une menace, en raison essentiellement d’un sentiment de maintien du contrôle en termes de sécurité. Or, le cloud offre un ensemble solide de fonctions et de protocoles de sécurité. Lorsque ceux-ci sont utilisés de manière adéquate, la plupart des menaces auxquelles les organisations sont confrontées aujourd’hui, comme les ransomwares et la compromission des courriers électroniques professionnels, sont largement atténuées. La combinaison de l’identité fédérée, de l’authentification multifacteurs forte et du stockage de fichiers dans le cloud, représente donc un atout majeur pour les entreprises de toutes tailles. L’authentification et le chiffrement mutuels par TLS peuvent généralement être activés en cochant une simple case, les complexités des ICP (infrastructure à clés publiques) étant gérées et automatisées en arrière-plan. Une surveillance et un contrôle supplémentaires sont également possibles pour les entreprises qui sont intéressées par la gestion de leurs propres secrets et qui sont suffisamment matures pour le faire.

Il n’est pas nécessaire d’adopter le cloud pour bénéficier des avantages de l’identité fédérée et de l’authentification multifacteurs forte. La plupart des offres modernes de fournisseurs d’identité prennent en charge les protocoles FIDO, SAML et OpenID Connect pour faciliter l’intégration des applications sur site et hors site.

  1. Se préparer aux ransomwares

Les organisations dotées de modèles de périmètre traditionnels et d’une infrastructure classique reposant sur des technologies telles que l’Active Directory doivent établir un plan d’intervention solide pour faire face aux attaques par ransomware. Le plan doit aborder des sujets qui vont au-delà de la détection et de la récupération, comme la couverture d’assurance, la consultation externe et les mesures à prendre pour payer la rançon si la récupération échoue. Les polices d’assurance peuvent couvrir le coût de l’embauche d’un tiers, mais uniquement lorsqu’un fournisseur agréé est utilisé. La couverture peut également être soumise à des limites. Récemment, il a été constaté des modifications de la couverture selon que l’attaquant est un État-nation ou non. En outre, une fois le plan mis en place, il faut le tester, notamment les sauvegardes éventuelles.

  1. Sécuriser la supply chain

En 2021, l’incident de SolarWinds et la vulnérabilité de log4j nous ont non seulement fait prendre conscience de la fragilité des supply chains, mais ont également mis en évidence le fait que les systèmes critiques et hautement sensibles ont toujours la possibilité de se connecter arbitrairement à des systèmes non fiables sur Internet. Toutes les organisations doivent donc prendre conscience qu’il est de leur responsabilité mutuelle de garantir la sécurité de la conception, du développement et de l’exploitation des technologies. Le processus d’assurance des fournisseurs, parsemé de questionnaires non standardisés, ne peut à lui seul sécuriser la supply chain. 

Les entreprises intervenant dans une supply chain devront instaurer une confiance mutuelle, établie par la mise en œuvre de bonnes pratiques en matière de cybersécurité tout au long de leur processus de développement, et se montrer capables d’en faire la démonstration. Dans l’idéal, l’ensemble du processus de développement, de la validation du code à sa publication, devrait être sécurisé par une authentification forte, des contrôles d’intégrité solides et des modèles d’autorisation à moindre privilège. Les entreprises qui mettent en œuvre cette technologie doivent suivre les pratiques reconnues par l’industrie (par exemple, le « Zero Trust ») pour assurer la sécurisation de la technologie par la segmentation, l’application de correctifs et des modèles de contrôle d’accès résilients.

  1. Prioriser la protection de la vie privée des utilisateurs

Selon de récentes prévisions de Gartner, d’ici fin 2023, les législations modernes sur la protection de la vie privée couvriront les informations personnelles de 75 % de la population mondiale. À mesure que des législations similaires au RGPD continueront d’être mises en œuvre dans le monde pour protéger la sécurité et à la vie privée de millions de citoyens, le nouveau problème auquel les organisations seront confrontées sera la gestion de multiples législations sur la protection des données dans diverses juridictions. Les entreprises doivent protéger les informations réglementées tout au long de leur cycle de vie et pas seulement au point d’entrée. Bien que le RGPD n’impose pas d’exigences en matière d’authentification, nous nous attendons à voir apparaître de plus en plus d’exigences prescriptives à mesure que d’autres juridictions élaboreront leurs propres ensembles d’exigences. 

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.