Les utilisateurs sont de plus en plus les cibles des cybercriminels. Les utilisateurs constituent le «nouveau périmètre», selon Alain Dumont, Business Unit Manager Security, Dimension Data. Telle est la principale conclusion de l’étude NTT 2015 Global Threat Intelligence Report.
«Nous observons une augmentation du nombre d’utilisateurs pris pour cibles, explique Alain Dumont. En cause, la multiplication des vecteurs d’attaque permettant de les atteindre. Aujourd’hui, les entreprises ne doivent plus seulement se soucier des terminaux traditionnels. Les cybermenaces s’étendent désormais aux mobiles et aux plates-formes sociales.»
Les cybercriminels savent que s’ils peuvent atteindre les utilisateurs, ils ont une chance de faire en sorte que ceux-ci leur donnent accès à leurs données ou à leur profil, voire leur donnent le contrôle de leurs équipements. «C’est là une tendance préoccupante. Nous remarquons des lacunes importantes concernant le personnel, les procédures et les règles de sécurité, notamment en matière de BYOD et d’End-User Computing. La plupart des entreprises ont mis en place une forme ou une autre de gouvernance et de contrôle mais aujourd’hui les précautions d’usage ne suffisent souvent plus pour les protéger des menaces de dernière génération», ajoute Alain Dumont.
La réponse aux incidents demeure l’une des principales failles dans les défenses des entreprises. Aujourd’hui, 74% d’entre elles ne disposent d’aucun plan formel dans ce domaine. Alain Dumont : «Il est difficile d’atténuer l’impact si l’équipement d’un utilisateur est infecté, en l’absence d’une procédure de réponse aux incidents qui détecte l’intrusion et enclenche immédiatement des mesures afin de sécuriser les données vitales.»
Dans l’intervalle, Jaco Hattinghle, Group General Manager Enterprise Mobility, Dimension Data, explique que de nombreuses entreprises sont en train de revoir leurs stratégies Bring Your Own Device en vue de se protéger contre les cyberattaques visant les utilisateurs finaux. «Nous ne constatons toutefois pas la disparition des initiatives BYOD, mais plutôt une tendance à la normalisation des appareils qui simplifie le support à l’utilisateur final et garantit qu’ils sont correctement patchés, ce qui contribue à atténuer les menaces.»
Quelques règles essentielles composées par Jaco Hattingh et Alain Dumont :
> Priorité aux règles de sécurité – Ces règles ont pour but de régir ou de faire adopter certains comportements au sein de l’entreprise. En l’occurrence, il s’agit de mettre en phase le comportement des employés avec les objectifs métier dans leur ensemble, tout en incitant à une prise de conscience de la ressource la plus précieuse de l’entreprise : l’information. Les entreprises étant très différentes les unes des autres, ces règles doivent tenir compte de la nature de chacune, de leur modèle économique et des nuances culturelles et géographiques liées à leur personnel mobile.
> Réponse aux incidents – Les entreprises doivent élaborer une approche «orientée données» de la sécurité, qui englobe des moyens plus avancés de contrôle et de surveillance. Ainsi, même si ses utilisateurs sont autorisés à accéder à certaines données et à certains systèmes sur certains équipements, l’entreprise peut veiller à ce qu’ils n’effectuent aucune action sortant totalement de l’ordinaire, par exemple le transfert soudain de deux gigaoctets depuis une base de données sur un appareil mobile connecté au réseau. De la sorte, les entreprises pourront se montrer proactives dans la détection des anomalies et la réponse à celles-ci.
> Sensibilisation et éducation des utilisateurs – La sensibilisation et l’éducation des utilisateurs jouent un grand rôle dans la réduction des risques. Il importe donc pour les entreprises d’encourager leurs collaborateurs à se comporter de manière cohérente, en respectant des processus et procédures communiqués clairement, dont la conception et la surveillance sont centralisées et qui couvrent la totalité des équipements en usage. Cela n’évitera peut-être pas toute tentative d’attaque, mais renforcera certainement la sécurité de l’entreprise.
Dimension Data a conçu la série de vidéos Inside Security, destinée à rendre la sécurité informatique plus accessible et compréhensible pour l’utilisateur final et à lui apprendre à veiller à sa propre protection ainsi qu’à celle de son entreprise.