Pour mieux comprendre l'actualité globale, nationale et internationale sur les mutations de la sécurité
et de la défense, les nouvelles menaces et défis sécuritaires, la cybersécurité et
la cyberdéfense, les enjeux des technologies clés, la protection des données,
les facteurs humains et technologiques.

mardi

Sept observations sur l'impact du Covid-19 sur la cybersécurité

Depuis le début de la pandémie, la cybersécurité a eu un effet durable à bien des égards. Récemment, Rob Rashotte, vice-président de l'Institut de formation NSE de Fortinet, a participé à un panel organisé par son partenaire universitaire, l'Université d'Ottawa, pour discuter de l'impact de la pandémie sur le secteur de la cybersécurité. Voici quelques-uns des principaux thèmes qui sont ressortis de ces échanges :


Observations sur l'impact du Covid-19 sur la cybersécurité
 
1. Le Covid-19 n'a pas fait de discrimination : il a touché des organisations de toutes tailles
Le Covid-19 a touché toutes les organisations, de l'entreprise familiale aux grands comptes. Dans presque tous les cas, la majorité des employés d'une organisation travaillent à domicile. Cela signifiait en soi une extension du réseau de l'entreprise aux bureaux à domicile. Pour être sûres, les organisations devaient fournir à chaque employé le même niveau de sécurité que celui dont il aurait bénéficié s'il avait travaillé au bureau.
 
En outre, chaque jour où l'on travaillait à domicile était un jour où l'on amenait les enfants au travail. Lorsque cela se produisait à l'époque pré-Covid, les enfants n'utilisaient pas le réseau de l'entreprise pour leurs travaux scolaires, ni pour des leçons de piano ou des jeux vidéo, compromettant ainsi potentiellement le réseau sans le savoir. Les réseaux domestiques présentaient donc des lacunes et étaient plus exposés aux attaques. Il est probable que les parents aient suivi une formation de sensibilisation à la sécurité de l'entreprise à un moment donné dans le passé, mais pas les enfants.
 
2. La cybersécurité ne se limite pas à la technologie : il ne faut pas oublier le facteur humain lorsqu'il s'agit de protéger votre réseau.
Le facteur humain dans la cybersécurité est essentiel. Le réseau doit être sécurisé, mais les membres de l'organisation qui l'utilisent doivent aussi recevoir une formation adéquate de sensibilisation à la sécurité afin de disposer d'un réseau véritablement protégé. Les organisations doivent réaliser que si elles comptent 3 000 employés, par exemple, cela représente 3 000 failles potentielles dans leur réseau.
 
Nous constatons une forte demande de formation axée sur l'utilisateur final. Pas seulement de la part du département informatique, mais des personnes de tout type de département, ayant besoin d'une formation de sensibilisation à la sécurité et d'un renforcement positif pour que la cyberconscience fasse partie de la culture de l'entreprise. Il existe d'excellentes solutions qui couvrent l'essentiel de ce que les employés doivent savoir sur les attaques de phishing et les ransomwares. Certaines d'entre elles sont gratuites pour les organisations.
 
3. Le travail à domicile ou un modèle de travail hybride permet d'augmenter le nombre d'embauches pour les organisations, mais il n'y a toujours pas assez de personnes dans le secteur pour combler le déficit de compétences en cybersécurité.
Outre les compétences techniques qu'une personne apporte, ses capacités de communication et de collaboration sont plus importantes que jamais. L'année dernière, des organisations de nombreux secteurs et de nombreux pays ont été contraintes de travailler à 100 % à distance, sans l'environnement créatif que crée naturellement une séance de brainstorming en face à face. Si une personne possède ces compétences non techniques, elle a beaucoup plus de chances de réussir.
 
Indépendamment de la capacité à recruter dans le monde entier, le secteur de la cybersécurité a toujours besoin de beaucoup plus de professionnels pour combler le déficit de compétences en cybersécurité de 3,12 millions de personnes signalé par l'étude (ISC)² 2020 sur la main-d'œuvre en cybersécurité. L'institut de formation NSE et l'initiative TAA de Fortinet aident nos clients et partenaires à recruter des personnes qualifiées par le biais de nos différents programmes, notamment le programme Education Outreach, qui met l'accent sur les femmes, les anciens combattants et les organisations à but non lucratif qui s'efforcent d'attirer des personnes dans l'industrie, de les former et de les certifier afin qu'elles puissent entrer dans le domaine de la cybersécurité. De la même façon, notre programme Security Academy vise à collaborer avec des établissements d'enseignement du monde entier pour inclure la cybersécurité dans les programmes scolaires.
 
4. Les emplois en cybersécurité ne sont pas réservés aux ingénieurs
Lorsque nous pensons aux rôles dans le secteur de la cybersécurité, nous avons tendance à nous concentrer sur les rôles techniques. Mais, comme dans d'autres secteurs, une organisation de cybersécurité a besoin de rôles très différents. Outre les rôles techniques et non techniques, des postes d'entrée, de niveau intermédiaire et même de direction sont à pourvoir. Chaque département a besoin de personnes qualifiées et chaque personne de l'organisation est responsable de la réussite et de la sécurité de l'organisation.
 
5. Le conseil d'administration a la responsabilité ultime
Si chaque employé a un rôle à jouer dans la cybersécurité, le conseil d'administration en est l'ultime responsable. Selon le document Advancing Cyber Resilience Principles and Tools du Forum économique mondial, "le conseil d'administration dans son ensemble assume la responsabilité ultime de la surveillance des cyberrisques et de la résilience." En fonction de son secteur d'activité et des types de cyberattaques auxquels chaque organisation est la plus vulnérable, le RSSI peut rendre compte à différents niveaux de l'organisation. Si une cyber-attaque peut paralyser une organisation, son RSSI doit avoir un lien hiérarchique direct avec le PDG et un canal de communication direct avec le conseil d'administration.
 
Comment maintenir une cyberhygiène alors que le Covid-19 a eu un impact sur la cybersécurité
 
6. La cybersécurité évolue et s'adapte en permanence
Les attaques de cybersécurité deviennent beaucoup plus sophistiquées et fréquentes. Le rapport 2021 Global Threat Landscape de Fortinet fait état d'une nouvelle multiplication par 10,7 des ransomwares au cours des 12 derniers mois. Le rapport explique que les ransomwares sont non seulement devenus plus répandus, mais aussi plus destructeurs, avec des attaques qui ont paralysé la chaîne d'approvisionnement d'entreprises comme Colonial Pipeline et JBS.
 
La bonne nouvelle, c'est que les solutions informatiques évoluent également. Nous constatons une augmentation de l'adoption de l'apprentissage automatique et de l'IA. Avec le volume des attaques qui augmente à un rythme aussi énorme, nous ne pouvons pas compter seulement sur les personnes pour être en mesure de surveiller les nouvelles menaces entrantes.
 
Les organisations recherchent également des conseillers de confiance pour les aider à utiliser au mieux leurs solutions actuelles. Fortinet a pris ce rôle au sérieux auprès de nos clients au début de la pandémie. Nous avons développé des packages pour le télétravail qui pouvaient aider nos clients à étendre facilement leurs réseaux. Et nous avons veillé à ce que nos clients tirent parti de toutes les fonctionnalités de leurs solutions existantes pour obtenir une protection maximale.
 
7. Les meilleures pratiques de sensibilisation à la sécurité font toute la différence
La principale chose dont les employés doivent prendre conscience dans un environnement de travail à domicile est qu'ils sont une extension du réseau de leur entreprise. Et si vous faites partie du réseau, vous êtes également un point d'entrée potentiel. Une bonne politique de mots de passe est tout aussi importante à la maison qu'au bureau. Tout comme le maintien d'un poste de travail sécurisé. Cela signifie ne pas autoriser d'autres membres de la famille à utiliser vos appareils de travail et s'assurer que vous ne laissez pas d'informations confidentielles à la vue des autres.
Le rapport 2021 Global Threat Landscape de Fortinet indique que : "encore plus inquiétant pour les programmes de sécurité des entreprises, cependant, est le potentiel d'attaques lancées depuis le réseau domestique d'un travailleur distant. Pensez au nombre de dispositifs qui se trouvent entre un employé travaillant à domicile et les applications et données d'entreprise nécessaires à son travail. Pensez maintenant à tout ce que les attaquants pourraient faire s'ils compromettent ces appareils. Vous pouvez être sûr que les attaquants y pensent aussi."
 
Les entreprises doivent également investir rapidement, si elles ne l'ont pas déjà fait, dans un service de formation à la sensibilisation à la sécurité et le déployer auprès de tous les employés, mais surtout auprès de ceux qui travaillent à domicile. Les employés doivent comprendre à quoi ressemblent les attaques, quelles formes elles peuvent prendre, à quel point elles sont devenues sophistiquées, quel est l'impact d'une attaque et ce qu'ils doivent faire s'ils pensent être visés.
 
Les personnes travaillant à domicile doivent également s'assurer que leur famille a une connaissance de base de la cybersécurité. Il existe des cours gratuits qui peuvent faire toute la différence.
 
Quelques rappels utiles pour améliorer sa cyber-hygiène
 
Ne soyez pas trop prompt à cliquer !
Le courriel est le piège numéro 1.
Si ce texte ou cet e-mail vous semble suspect, n'ouvrez pas les pièces jointes.
Passez toujours la souris sur les liens pour vérifier leur véritable chemin avant de cliquer.
 
Le Wi-Fi gratuit a un prix !
Le Wi-Fi public n'est pas privé. Quelqu'un peut écouter.
Utilisez un VPN avec des mots de passe uniques pour chaque connexion.
Vérifiez toutes les applications avant de les installer.
 
Vous voyez quelque chose ?
Vous entendez quelque chose ?
Dites quelque chose !
Signalez immédiatement tout incident lié à la sécurité de l'information.
 
Soyez unique !
Vos identifiants de connexion sont des clés pour les cybercriminels !
Créez une phrase forte pour tous vos comptes importants.
Changez les mots de passe par défaut sur tous vos appareils.
 
Soyez vigilant !
Lorsque vous vous rendez au bureau, ne partagez pas l'accès à votre badge avec qui que ce soit.
 
Verrouillez avant de partir !
Les données sont le nouvel or.
Votre poste de travail peut être le terrain de jeu d'un criminel.
Lorsque vous vous rendez au bureau, gardez un bureau propre et verrouillez l'écran de tous vos appareils avant de partir.
(d'après agence)