Garder une longueur d'avance sur les cybermenaces est un défi permanent pour la plupart des organisations, et c'est la raison pour laquelle les agences gouvernementales mettent continuellement à jour leurs lignes directrices et leurs exigences.
La direction australienne des transmissions (ASD) a récemment mis à jour le site web de la Huit essentiels-qui représentent "les huit stratégies d'atténuation les plus efficaces" permettant aux organisations de se défendre contre les cyberattaques les plus fréquentes et les plus lourdes de conséquences, ainsi que de nouvelles lignes directrices importantes sur le multi-facteur (MFA) afin de contribuer à la lutte permanente contre les acteurs de la menace.
Bien que de nombreuses organisations gouvernementales soient tenues de s'aligner sur les huit principes essentiels, les mises à jour ne doivent pas être considérées comme un exercice de mise en conformité de l'administration uniquement pour cocher des cases. Au contraire, ces mises à jour représentent une opportunité pour toutes les organisations à renforcer leur cadre de cybersécurité en adoptant ces lignes directrices.
L'un des principaux changements apportés aux Huit éléments essentiels est la nouvelle obligation pour les organisations d'introduire l'utilisation d'un système d'accès à l'information et de gestion (MFA) résistant au hameçonnage, tel que les dispositifs FIDO2. Il s'agit d'un changement essentiel qui représente une amélioration significative des mécanismes de défense des organisations contre la menace la plus répandue en matière de cybersécurité : les attaques par hameçonnage, qui sont la cause la plus fréquente d'une violation et la deuxième plus préjudiciable aux résultats financiers d'une organisation. IBM Security Cost of a Data Breach Report 2024 (Rapport sur le coût d'une atteinte à la protection des données) a révélé que les violations résultant du phishing coûtaient en moyenne 4,88 millions de dollars.
Compte tenu de la fréquence et de l'impact des attaques par hameçonnage, RSA soutient fermement l'Australian Cyber Security Centre (ACSC) et l'ASD qui en font une exigence pour toute mise en œuvre de l'AMF afin d'atteindre un niveau de maturité 2 et dans le but de réduire les risques pour les organisations.
FIDO2 est une technologie conçue pour révolutionner l'authentification en ligne. Il s'agit d'un système en deux parties qui rend la connexion aux sites web à la fois plus sûre et plus pratique. Avec FIDO2, vous pouvez utiliser des données biométriques (comme vos empreintes digitales), une clé de sécurité ou votre téléphone pour vous connecter, au lieu de vous fier aux mots de passe traditionnels. Cette méthode est beaucoup plus sûre, car il est beaucoup plus difficile pour les attaquants de pirater ou d'hameçonner les informations d'identification des utilisateurs utilisant FIDO2.
FIDO2 consiste en un protocole spécial qui permet aux appareils matériels de communiquer en toute sécurité avec les services en ligne, et en une API web qui intègre cette technologie directement dans les navigateurs web tels que Chrome ou Safari, ce qui rend l'ensemble du processus convivial. C'est une façon plus intelligente de protéger les identités et les données en ligne.
FIDO2 permet également aux organisations de supprimer progressivement les mots de passe dans leur infrastructure. La suppression des mots de passe est depuis longtemps un cri de ralliement pour la plupart des organisations. Cependant, malgré les avantages évidents de FIDO2 en termes de sécurité et de facilité d'utilisation, son adoption en Australie a malheureusement été très faible. Cela s'explique en grande partie par le fait que les infrastructures et les systèmes existants ne peuvent pas tirer parti des protocoles FIDO2, ce qui crée un obstacle technique et financier important à une adoption plus généralisée. Ces anciens systèmes sont encore largement tributaires des anciennes méthodes MFA, telles que le mot de passe à usage unique (OTP).
Pour tirer le meilleur parti de leurs investissements antérieurs, respecter les nouvelles lignes directrices sur les huit éléments essentiels et améliorer leur position globale en matière de cybersécurité, les organisations devraient examiner les technologies capables de fournir simultanément FIDO2 et OTP dans la même solution, de la manière la plus discrète possible.
RSA propose aux organisations des options rentables et hautement sécurisées qui dépassent ces exigences. Les RSA Authenticatou est elle-même certifiée FIDO sur Android et iOS. Deuxièmement, l'application Authentificateur matériel RSA DS100 est à la fois un dispositif matériel certifié FIDO et fournit l'OTP sur un panneau d'affichage. Enfin, le RSA iShield Key 2 series, Le système Swissbit permet d'obtenir un appareil certifié FIDO qui prend en charge FIDO2 et TOTP et est certifié FIPS 140-3.
Les lignes directrices Essential Eight ont exclu la biométrie (par exemple une empreinte digitale sur votre téléphone) comme méthode d'authentification valide, quel que soit le niveau de maturité. Il convient d'examiner toute exigence d'utilisation de ce type de technologie pour l'accès privilégié et de ne jamais utiliser la biométrie comme seul moyen d'accorder l'accès.
En outre, la reconnaissance vocale est une autre approche de l'octroi d'accès où l'utilisateur est mis au défi d'utiliser sa propre voix pour accéder à quelque chose. Les techniques d'IA générative actuelles permettent aux acteurs de la menace de cloner n'importe quelle voix à partir d'un petit ensemble d'échantillons, et les résultats sont très convaincants : le Indice de sécurité mobile Verizon 2023 Le livre blanc indique que "sept mots peuvent être suffisants pour créer une imitation crédible de la voix d'une personne".
À la lumière de cette évolution, il est peut-être juste de dire que la reconnaissance vocale est, en fait, une technologie morte pour l'authentification. Les mises à jour biométriques de l'Essential Eight soulignent pourquoi les organisations doivent se méfier des évolutions rapides dans le monde de la technologie de l'IA générative et de sa relation avec l'identité et la sécurité. Restez vigilants !
L'adoption de ces changements nécessite une planification et une exécution stratégiques. La première étape consiste à assurer l'alignement sur les allocations budgétaires et de ressources. L'intégration d'une AMF plus sophistiquée peut nécessiter des ressources initiales importantes, mais représente un investissement à long terme dans la sécurité numérique globale de l'organisation. Quand quelque chose est gratuit, on en a toujours pour son argent.
L'engagement des employés est également essentiel. L'efficacité des nouvelles mesures de sécurité dépend largement de la compréhension et de l'adhésion des utilisateurs. L'organisation de formations et la promotion continue d'une culture de sensibilisation à la cybersécurité faciliteront une transition en douceur vers de nouvelles méthodes d'authentification.
Nous avons vu des organisations obtenir une acceptation plus rapide de la part de leurs employés en les impliquant dans la transition et en leur donnant accès à de nouvelles ressources plutôt qu'en leur imposant le changement. La mise en place d'un libre-service permettant aux utilisateurs de choisir parmi une variété de méthodes d'AMF équivalentes peut y contribuer.
En outre, et c'est tout aussi important, il est vital de trouver un équilibre entre la cybersécurité et l'efficacité opérationnelle. La mise en œuvre des mesures d'AMF ne doit pas entraver l'expérience de l'utilisateur ou les activités de l'entreprise. Trouver le bon équilibre entre des protocoles de sécurité rigoureux et l'expérience des utilisateurs peut s'avérer délicat, mais c'est la clé d'une adoption réussie. En outre, il faut tenir compte des systèmes existants et choisir un fournisseur capable de protéger les ressources vieillissantes tout en étant capable de protéger les systèmes de pointe.
La mise à jour des lignes directrices "Essential Eight" souligne l'importance de la gestion des risques. La mise en œuvre d'une solution d'AMF robuste réduit la probabilité d'un accès non autorisé et donc d'éventuelles violations de données. Par extension, ces mesures réduisent considérablement le risque global pour l'infrastructure numérique.
C'est pourquoi nous invitons toutes les organisations à considérer les huit lignes directrices révisées de l'AMF comme bien plus qu'une exigence de conformité pour les seules organisations gouvernementales et affiliées, et à les considérer pour ce qu'elles sont : une voie stratégique pour fortifier la position de l'Union européenne dans le domaine de l'AMF. tous contre les cybermenaces.
