Demandez à l'expert : comment prévenir les atteintes à la cybersécurité

Dans le cadre de la série « Demandez à l'expert », nous interviewons les leaders de GardaWorld sur des sujets clés liés à l'industrie de la sécurité. Dans cette édition, nous explorons comment la plus grande menace en matière de cybersécurité est la négligence humaine avec Jean-François Leduc, vice-président et chef des technologies de l'information de GardaWorld.

En un coup d'œil : Principaux points à retenir de ce blogue

• Quelles sont les menaces actuelles en matière de cybersécurité ?
• Pourquoi la plus grande menace en matière de cybersécurité est l'erreur humaine et comment la comprendre ?
• Comment les entreprises peuvent-elles se protéger contre les cyberattaques ?
• L'éducation et la sensibilisation à la cybersécurité sont les meilleurs moyens de prévenir les violations.

La cybersécurité est une question vitale pour toute entreprise. Le coût moyen des violations de données aux États-Unis est de 5,45 millions de dollars, et 25 % des attaques visent le seul secteur financier. C'est pourquoi nous devons nous poser la question suivante « M. Leduc nous fait part de son point de vue et de ses conseils sur les tendances actuelles, les défis et les meilleures pratiques.

À quoi ressemble une attaque de cybersécurité aujourd'hui ? Jean-François Leduc : « Les cyberattaques sont aujourd'hui plus sophistiquées et plus diversifiées que jamais. Les pirates ont compris que les entreprises sont mieux protégées. Elles disposent de toutes les technologies nécessaires pour protéger leurs données, mais la véritable menace réside dans l'erreur humaine. Plus de 80 % des violations sont dues à un comportement négligent. »

Le piratage informatique est devenu une forme de criminalité organisée, et ces organisations profitent de l'inattention humaine pour en faire le principal vecteur de leurs attaques. C'est ce qu'on appelle l'ingénierie sociale, qui consiste à manipuler les gens pour qu'ils accomplissent des actions ou divulguent des informations confidentielles.

Par exemple, les menaces les plus courantes sont les courriels ou les SMS de phishing qui semblent provenir d'une source fiable, comme votre banque, votre employeur, le gouvernement ou votre collègue. Ces messages vous demandent de cliquer sur un lien ou de fournir des informations personnelles. Ce faisant, vous risquez de compromettre votre compte, d'infecter votre appareil ou d'exposer vos données.

Avec l'IA, les attaques sont devenues plus sophistiquées. Il est facile de trouver toutes les informations sur une entreprise, ses dirigeants, ses services pour vendre une histoire crédible à une cible peu méfiante. Par exemple, des pirates peuvent vous appeler, se faire passer pour votre banque et vous demander un code d'authentification à deux facteurs qui a été envoyé sur votre téléphone pour confirmer votre identité - alors qu'en réalité, ce sont eux qui ont déclenché le code en essayant d'accéder à votre portail bancaire en ligne.

Quels sont les types de cyberattaques ?

• Phishing et ingénierie sociale : Tentatives visant à inciter des employés ou des clients à partager des informations sensibles telles que des identifiants de connexion ou des documents.
• Menaces internes : Employés ou sous-traitants qui abusent de leur accès aux systèmes à des fins malveillantes ou pour leur profit personnel.
• Attaques par ransomware : L'installation de logiciels malveillants qui paralysent les systèmes et les données d'une organisation afin que les pirates puissent demander une rançon ou pour faire une déclaration politique.
• Menaces persistantes avancées (APT) : Une attaque ciblée et à long terme qui implique l'infiltration, le déplacement latéral et l'exfiltration de données.
• Attaques par déni de service (DoS) : Rendre une machine ou un réseau inopérant en l'inondant de trafic.

Quelles sont les vulnérabilités que les entreprises doivent connaître ?

Jean-François Leduc : « Les entreprises doivent être conscientes de leurs vulnérabilités, tant d'un point de vue technique qu'humain. »

Les vulnérabilités techniques sont des faiblesses dans les logiciels, le matériel ou le réseau qui peuvent être exploitées. Pour les détecter, les entreprises doivent effectuer régulièrement des analyses de vulnérabilité, puis appliquer des correctifs ou présenter des plans d'atténuation afin d'éviter tout risque futur. Par exemple, lorsqu'une technologie ancienne n'est plus prise en charge ou mise à jour, il convient de la remplacer, de la déconnecter de l'internet ou d'installer une technologie secondaire pour détecter toute menace potentielle.

Les vulnérabilités humaines découlent en réalité d'un manque de sensibilisation, de connaissances ou de compétences qui peut faire des employés des victimes de l'ingénierie sociale. Et il n'y a qu'une seule solution : former, former, former ! Les organisations doivent favoriser une culture de sensibilisation à la cybersécurité.

Comment contrer les risques liés à l'erreur humaine ?

Jean-François Leduc : « Le plus important est que vos employés développent un réflexe de cybersécurité. Les utilisateurs ne doivent pas réagir à des stimuli sur leur téléphone, SMS, email, ou tout autre canal de communication sans en vérifier la source et le contenu, c'est basique. Lorsque vous recevez un courriel qui vous demande de faire quelque chose, comme cliquer sur un lien, ouvrir une pièce jointe ou fournir des informations, vous devez toujours vérifier l'expéditeur, l'URL, l'orthographe et le contenu. En cas de doute, n'agissez pas de manière imprudente. Ne faites rien. Mieux encore, si le courriel semble provenir d'une personne que vous connaissez, la meilleure solution est de l'appeler et de lui demander si c'est bien elle qui l'a envoyé ».

Ce conseil est particulièrement important lorsque le courriel prétend provenir d'une banque, d'un gouvernement ou de toute autre institution. Au lieu d'appeler le numéro indiqué dans le courriel, utilisez le numéro officiel figurant sur le site web de l'institution ou sur vos relevés de compte. Utilisez l'authentification à deux facteurs dans la mesure du possible. Et, bien entendu, ne communiquez jamais vos mots de passe, codes PIN ou codes à qui que ce soit.

Cela semble si simple, mais la meilleure façon de lutter contre les cybermenaces est de faire en sorte que ces comportements deviennent une seconde nature. Dans les années 80 et 90, nous avons tellement sensibilisé les gens à la conduite en état d'ivresse qu'aujourd'hui, personne ne se pose la question de savoir s'il est répréhensible de conduire sous l'influence de l'alcool. Nous devons faire de même en ce qui concerne notre cyberhygiène.

Quelle est donc la responsabilité des organisations dans le changement de nos comportements face aux violations de données ? 

Jean-François Leduc : « Il leur incombe au plus haut point d'éduquer leurs employés et leurs parties prenantes sur l'importance d'une bonne cyberhygiène. C'est la meilleure défense. Pour commencer, elles ont la responsabilité de protéger leurs propres données, ainsi que celles de leurs clients, partenaires et fournisseurs. Les violations de données ont des conséquences importantes du point de vue financier, opérationnel et de la réputation. En agissant de la sorte, elles ne se protègent pas seulement elles-mêmes, mais aussi la société dans son ensemble ».

Le saviez-vous ? Statistiques sur la cybercriminalité !

• La cybercriminalité a entraîné des pertes de 27,6 milliards de dollars aux États-Unis entre 2018 et 2022.
• 25 % des attaques de logiciels malveillants ciblent les entreprises de services financiers.
• Le coût moyen par violation de données est 40% plus élevé dans la finance.
• Les violations de données dans le secteur financier ont augmenté de 333% en cinq ans.
• Comment GardaWorld peut-elle aider les entreprises à se protéger contre les menaces de cybersécurité ?

Jean-François Leduc : « GardaWorld est un champion mondial de la sécurité. Notre expertise couvre à la fois la sécurité physique et la cybersécurité. En ce qui concerne la cybersécurité, notre rôle clé est d'aider les entreprises à évaluer, améliorer et maintenir leur posture de cybersécurité par le biais d'évaluations. Par exemple, nous pouvons effectuer des analyses de vulnérabilité et des audits afin d'identifier et de combler les lacunes de vos systèmes et réseaux. »

Quel est le rôle de la sécurité physique dans la prévention de la cybercriminalité ?

Jean-François Leduc : « La sécurité physique et la cybersécurité sont intimement liées. Les mesures de sécurité physique sont particulièrement importantes pour prévenir la cybercriminalité, surtout lorsqu'il s'agit d'ingénierie sociale. Il est essentiel de protéger l'accès au périmètre des locaux où se trouvent les systèmes et les documents. »   

Les organisations criminelles peuvent facilement exploiter les vulnérabilités physiques. Elles peuvent avoir des membres qui travaillent chez des câblo-opérateurs, qui peuvent se rendre dans un bureau et qui exploitent les vulnérabilités physiques, telles que les appareils non surveillés. Elles peuvent facilement télécharger des logiciels malveillants sur une machine non surveillée à l'aide d'une simple clé USB.

Vous avez deux responsabilités pour éviter une violation de données : protéger vos installations et protéger vos systèmes. Mais le plus important, c'est de protéger les installations où sont stockés vos systèmes. C'est pourquoi la protection des centres de données est aujourd'hui au cœur des préoccupations des institutions financières. Des mesures de sécurité physique telles que le contrôle d'accès ou la gestion des visiteurs, des systèmes de surveillance et des patrouilles de gardes sont nécessaires pour prévenir la cybercriminalité.

Parlez à l'un de nos experts dès aujourd'hui.

Connectez-vous avec Jean-François Leduc sur LinkedIn