Une grande promesse avec un grand attrait. Vous entendez souvent cela dans le monde de la cybersécurité, où l’on vous promet souvent une solution simple et rapide qui répondra à tous vos besoins en matière de cybersécurité, résolvant vos problèmes de sécurité en une seule fois.
Il pourrait s’agir d’un outil basé sur l’IA, d’un nouvel outil de gestion supérieur ou de quelque chose d’autre – et il serait probablement assez efficace pour ce qu’il promet de faire.
Mais est-ce une solution miracle à tous vos problèmes de cybersécurité ? Non. Il n’y a pas de solution facile, axée sur la technologie, pour ce qui est vraiment le plus grand défi de la cybersécurité : les actions des êtres humains.
Peu importe à quel point vos meilleures défenses sont à la pointe de la technologie. Pare-feux de périmètre, connexions à plusieurs niveaux, authentification multi-facteurs, outils d’intelligence artificielle – tous ces éléments sont facilement rendus inefficaces lorsque Bob d’un service quelconque clique sur un lien de phishing dans un e-mail.
Ce n’est nouveau pour personne
Nous avons tous déjà entendu cela. Le fait que les humains soient une faille majeure dans la stratégie de cybersécurité n’est guère une nouvelle – ou, du moins, cela ne devrait pas être une nouvelle. Mais demande juste Uber ou jeux de rock star s’ils pensaient que leurs systèmes étaient à l’abri de l’ingénierie sociale.
Les deux sociétés ont été piratées très récemment parce qu’un pirate informatique a trompé un employé pour qu’il fasse quelque chose de si contraire à toutes les meilleures pratiques de sécurité que vous vous demandez si la personne qui s’est fait avoir a déjà entendu des nouvelles sur la sécurité informatique.
Vous pourriez même vous demander si cet employé avait suivi une quelconque formation en cybersécurité.
Dans les deux cas, l’attaque réussie n’impliquait pas un attaquant très sophistiqué utilisant des outils de pointe tout en exploitant des vulnérabilités encore non divulguées.
Tout ce qu’il a fallu, c’est un simple message d’ingénierie sociale – quelque chose comme « Hey Bob, je suis de l’équipe informatique, et nous devons vérifier quelque chose sur votre PC, donc je vous envoie un outil à exécuter. Cliquez simplement sur le lien ci-dessous. »
Pourtant nous n’apprenons pas
L’ingénierie sociale était un moteur du piratage il y a plus de 20 ans et, apparemment, nous ne nous en sommes toujours pas éloignés.
Pour ajouter l’insulte à l’injure, l’ingénierie sociale réussie ne se limite pas aux organisations non techniques.
Il est très plausible qu’un utilisateur peu averti dans un département gouvernemental reculé puisse tomber dans l’ingénierie sociale, par exemple, mais beaucoup moins quelqu’un travaillant dans une entreprise technologique de premier plan – et nous voyons qu’Uber et Rockstar Games ont été touchés par l’ingénierie sociale.
À un moment donné, en tant que praticien de la cybersécurité ayant la responsabilité d’éduquer vos utilisateurs et de les sensibiliser aux risques auxquels ils (et par extension l’organisation) sont exposés, vous penseriez que vos collègues cesseraient de tomber dans ce qui est littéralement le la plus ancienne astuce du livre de piratage.
Il est concevable que les utilisateurs ne fassent pas attention pendant la formation ou soient simplement trop occupés par d’autres choses pour se souvenir de ce que quelqu’un leur a dit sur ce sur quoi ils peuvent cliquer ou non.
Cependant, les attaques d’ingénierie sociale ont tellement systématiquement fait la une des journaux – et pas seulement des informations sur la cybersécurité – que l’excuse « Je ne savais pas que je ne devais pas cliquer sur les liens des e-mails » devient de plus en plus difficile à accepter.
Renforcez le message avec force – c’est votre seule option
Il n’y a pas de solution magique aux implications du comportement humain en matière de cybersécurité.
Les humains feront des erreurs et, comme dans toutes les avenues de la vie où les humains font des erreurs à plusieurs reprises, le renforcement de l’éducation est vraiment votre seule option.
Si des entreprises à la pointe de la technologie comme Uber et Rockstar Games peuvent se tromper, cela peut aussi arriver à n’importe qui d’autre. La seule option que vous avez est d’imposer les meilleures pratiques de cybersécurité à chaque employé grâce à des programmes éducatifs rigoureux.
Et ce ne sont pas seulement les utilisateurs qui ont besoin d’être éduqués – vous devez également renforcer ces pratiques dans votre équipe de sécurité, en couvrant patcherautorisations et positionnement global de sécurité.
Il y aura toujours un risque qu’un utilisateur ayant une mauvaise journée clique sur un lien promettant que quelqu’un dans une partie éloignée du monde essaie de lui donner des millions de dollars s’il ne visite que ce site Web.
Mais, comme pour toute approche de la cybersécurité, l’accent doit être mis sur la minimisation et l’atténuation de ce risque. Renforcer et éduquer constamment est votre meilleure défense.
Remarque : Cet article est écrit et sponsorisé par TuxCarele chef de file de l’industrie Automatisation Linux. TuxCare offre des niveaux d’efficacité inégalés pour les développeurs, les responsables de la sécurité informatique et Administrateurs de serveurs Linux cherchant à améliorer et à simplifier à moindre coût leurs opérations de cybersécurité. Les correctifs de sécurité en direct du noyau Linux de TuxCare et les standards et des services d’assistance améliorés aider à sécuriser et à prendre en charge plus d’un million de charges de travail de production.