"Que puis-je faire ? Ces derniers jours, nous nous sommes tous posé une version de cette question et avons cherché des moyens de nous rendre un peu plus sûrs, ainsi que nos familles, nos entreprises et nos alliés.
Nos partenaires et nos clients nous ont également posé cette question : en tant qu'organisation qui aide à protéger certaines des organisations les plus sensibles au monde en matière de sécurité depuis des décennies, nous comprenons l'urgence de ce moment et l'utilisons pour avoir des conversations, faire des investissements et prendre des mesures.
Parce que chacun d'entre nous peut contribuer à rendre l'internet plus sûr aujourd'hui et à long terme. Nous devrions tous nous sentir habilités à protéger notre infrastructure et nos identités numériques. Plus encore, nous devrions tous nous sentir responsables de cette protection.
L'agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) partage les informations suivantes ressources que les individus, les organisations et les dirigeants d'entreprise peuvent tous prendre pour se protéger. Nous avons également formulé les cinq recommandations suivantes pour renforcer la cyber-résilience aujourd'hui et à l'avenir :
- Préparer aujourd'hui les effets durables de demain
- Se concentrer sur les fondamentaux : mettre en œuvre l'authentification multifactorielle
- Vers une confiance zéro avec le principe du moindre privilège, de l'authentification contextuelle et de la sécurité basée sur les exceptions
- Donner la priorité au déficit de compétences en matière de cybersécurité
- Méfiez-vous des escroqueries "Help Ukraine" (Aidez l'Ukraine)
Vous trouverez ci-dessous des informations complémentaires sur chacun de ces points.
Chacune de ces cinq étapes représente les principes fondamentaux de la cybersécurité qui sont antérieurs à la crise actuelle et qui perdureront au-delà.
Il est important que les dirigeants se souviennent que s'il n'y a pas de "cybermenaces spécifiques ou crédibles pour les États-Unis" à l'heure actuelle, il n'en reste pas moins que, selon la Commission européenne, il n'y a pas de "cybermenaces crédibles". CISA, et aucune "menace spécifique actuelle pour les organisations britanniques". Centre national de cybersécurité, La crise géopolitique d'aujourd'hui pourrait déboucher sur les défis de demain en matière de cybersécurité.
"Il y a un risque que les outils informatiques utilisés par la Russie en Ukraine ne restent pas en Ukraine", a déclaré Adam Schiff, président de la commission du renseignement de la Chambre des représentants des États-Unis, en évoquant le nouveau projet de loi sur la protection de l'environnement de la Commission européenne. Le logiciel malveillant "wiper" FoxBlade qui efface les données informatiques.
D'une manière générale, lorsque des logiciels malveillants destinés à "une certaine cible sont diffusés dans la nature", ils peuvent "prendre une vie propre". Nous pourrions donc être victimes d'un logiciel malveillant russe qui a dépassé sa cible", a déclaré M. Shiff.
Le sénateur Mark Warren, qui dirige la commission sénatoriale du renseignement, a fait remarquer que les sanctions pourraient entraîner "des cyberattaques directes contre les pays de l'OTAN" ou "des attaques massives par ransomware".
L'un des changements les plus importants pour les individus et Les organisations peuvent mettre en œuvre des l'authentification multifactorielle (MFA) sur tous les comptes.
La CISA explique que l'ajout d'une deuxième couche d'authentification - y compris "un message texte ou un courriel de confirmation, un code provenant d'une application d'authentification, une empreinte digitale ou Face ID, ou mieux encore, une clé FIDO" - rend 99% moins probable le piratage d'une personne.
Les organisations ont également besoin de l'authentification multifactorielle : La CISA conseille aux entreprises de confirmer que "tous les accès à distance au réseau de l'organisation et les accès privilégiés ou administratifs nécessitent une authentification multifactorielle".
Cette étape devient de plus en plus critique avec chaque appareil IOT et IIOT mis en ligne, car ces appareils intelligents représentent des cibles probables pour les ransomwares. L'année dernière, le syndicat russe des ransomware Côté obscur s'est introduit dans le réseau de Colonial Pipeline en utilisant un compte VPN qui n'était plus utilisé et qui n'était pas protégé par MFA.
Le mois de janvier mémorandum sur la sécurité nationale s'est appuyée sur la campagne de l'été dernier Décret 14208 et a demandé aux agences fédérales de commencer à développer une architecture de confiance zéro.
La "confiance zéro" est un terme à la mode dans le domaine de la cybersécurité. L'important, c'est la maxime : ne jamais faire confiance, toujours vérifier. Cela signifie que les équipes de sécurité doivent trouver et éliminer toute confiance ou privilège implicite chez tous les utilisateurs, comptes, applications et appareils. Rien ni personne ne doit bénéficier d'un laissez-passer : votre système de sécurité doit authentifier toutes les demandes d'accès qui lui parviennent.
Mais le parfait n'est pas l'ennemi du bien : la confiance zéro est une aspiration à long terme, et non une finalité immédiate. Toute mesure que les organisations peuvent prendre pour trouver et minimiser la confiance est précieuse.
L'instauration du moindre privilège, c'est-à-dire la fourniture d'un ensemble minimal de droits dont un utilisateur a besoin pour faire son travail, est un excellent moyen pour les organisations de réduire leur surface d'attaque et de franchir une étape importante vers la confiance zéro.
Une fois cette première étape franchie, poursuivez votre voyage vers la confiance zéro : contexte ou l'authentification basée sur le risque peut aider votre système de sécurité à prendre des décisions plus intelligentes, plus rapides et mieux informées. Si un utilisateur donné se connecte tous les jours à 9 heures du matin (heure du Pacifique) à partir du même appareil Apple et demande le même ensemble d'applications, mon système de sécurité devrait être en mesure de traiter les demandes d'accès dans le cadre de ces paramètres avec un degré de confiance élevé.
Une autre mesure de grande valeur que les organisations peuvent prendre consiste à définir de solides politiques de gouvernance des identités et à mettre en place une sécurité basée sur les exceptions. Si l'utilisateur X dispose de 150 droits, et si 120 de ces droits sont partagés avec tous les autres utilisateurs de l'organisation, mon équipe de sécurité devrait se concentrer sur les 30 informations d'identification qui sont propres à cet utilisateur.
Les problèmes actuels de cybersécurité se préparent depuis des années. En fait, il ne s'agit pas seulement de problèmes technologiques, mais aussi de problèmes humains. Nous assistons à une pénurie de compétences en matière de cybersécurité depuis plusieurs années. cinq ans, En mai dernier, il y avait plus de 460,000 postes à pourvoir dans le domaine de la cybersécurité rien qu'aux États-Unis.
En tant que secteur, nous ne nous sommes pas rendu service : nous avons été beaucoup trop exclusifs en matière de recrutement et de formation, alors que nous aurions dû être inclusifs. Nous avons noyé ce que nous faisons sous des couches de jargon et d'acronymes qui découragent les candidats et obscurcissent l'importance de ce que nous faisons.
Nous devons rendre la cybersécurité accessible et importante pour tous. Cela signifie qu'il faut donner aux enfants des compétences de base en cybersécurité dès la maternelle, puis faire de la cybersécurité un choix de carrière viable (et important) au fur et à mesure qu'ils avancent dans leur scolarité.
Les cybercriminels exploitent toutes les crises. Nous l'avons vu au début de la pandémie et nous le voyons aujourd'hui, avec les Les escrocs qui utilisent l'invasion comme prétexte pour demander des "dons" en crypto-monnaies afin d'aider l'Ukraine.
De telles feintes d'ingénierie sociale sont toujours le résultat de perturbations majeures. Je m'attends à ce que l'invasion donne lieu à des tactiques similaires, au phishing et au spear-phishing. Les responsables de la cybersécurité devraient demander à leurs équipes d'être vigilantes et rappeler à leurs utilisateurs de ne pas cliquer sur des liens qui semblent trop beaux pour être vrais.
NPR et Charity Navigator ont répertorié plusieurs organisations caritatives légitimes qui aident l'Ukraine.
Participez à notre webinaire gratuit le mercredi 16 mars à 14 heures (heure d'Europe centrale) pour en savoir plus.
