in

Cybersécurité : quelles sont les mauvaises pratiques à surtout éviter en 2021

Si la cybersécurité continue d’exploser en nombre d’attaques, c’est qu’il y a des raisons, qui sont très souvent internes aux entreprises.

Le Soc est une décision stratégique, impactant toute la sécurité du système d'informations de l'entreprise.
Le Soc est une décision stratégique, impactant toute la sécurité du système d'informations de l'entreprise.

Cybersécurité : quelles sont les mauvaises pratiques à surtout éviter en 2021 ; en France comme partout ailleurs dans le monde, le nombre de cyberattaques ne cesse de croitre chaque année ; de plus en plus sophistiquées, les cyberattaques utiliseraient principalement le phishing, les attaques par ransomware, les logiciels malveillants et la force brute ou piratage de mots de passe.

Plusieurs études avancent que dans la majorité des cas, les causes de ces piratages ne sont pas des systèmes de défense inadaptés, le manque de moyens ou encore de l’incompétence de la part des responsables de sécurité ; surtout ils proviennent plutôt des mauvaises habitudes des utilisateurs, qui ouvrent des brèches au niveau des réseaux d’entreprise.

Aux États-Unis aussi, le même constant est observé ; c’est ce qui a poussé la Cybersecurity and Infrastructure Security Agency ou CISA à publier récemment une liste des mauvaises pratiques à éviter pour aider les fournisseurs d’infrastructures critiques à faire face aux cyberattaques, les DSI devraient s’en inspirer, et nous les encourageons très fortement.

Cybersécurité : quelles sont les mauvaises pratiques à surtout éviter 2021 ; le fait de ne pas remédier aux mauvaises pratiques de cybersécurité suivantes dans votre organisation vous exposera à des risques de cyberattaques importants et qui un jour ou un autre va vous arriver ; mais d’abord, qu’est-ce que la cybersécurité ?

Qu’est-ce que la cybersécurité ?

La cybersécurité est la protection contre les menaces informatiques qui visent le système, les matériels, les logiciels ainsi que les données ; ces menaces ou attaques sont aussi appelées cyberbanques ou cyberattaques ; une autre définition désigne la cybersécurité comme l’ensemble des moyens utilisés (moyens techniques, technologiques, organisationnels, humains, juridictionnels…) pour assurer la sécurité des systèmes et des données informatiques.

Quant à la cyberattaque, il s’agit d’une terminologie générale qui couvre un grand nombre de sujets comme la violation de données, les accès non autorisés, les piratages et autres techniques similaires, aujourd’hui, les techniques de cyberattaques les plus courantes sont :

  • Les attaques par Déni de Service (DoS) et Attaque par Déni de Service Distribué (DDoS) ;
  • Les programmes malveillants ou malware (Rançongiciel, logiciel espion, macro-virus, virus polymorphes, virus furtifs, cheval de Troie, bombe logique, ver, injecteurs…) ;
  • L’hameçonnage (phishing)
  • Le téléchargement furtif (Drive by Download)
  • L’Attaque par force brute
  • L’injection SQL (Structured Query Language)
  • L’attaque de l’homme au milieu (MitM)
  • Le Cross-site scripting (XXS)
  • L’écoute clandestine

Étant donné que les pirates trouvent toujours de nouveaux moyens de pirater des systèmes et réseaux, cette liste n’est donc pas exhaustive, et nous pourrions aisément ajouter quelques lignes supplémentaires, mais nous pensons avoir écrit l’essentiel.

Cybersécurité : la CISA crée une liste des mauvaises pratiques à éviter

La Cybersecurity and Infrastructure Security Agency ou CISA est une agence fédérale américaine créée pour protéger les infrastructures critiques du pays ; sa mission consiste à construire la capacité nationale de se défendre contre les cyberattaques.

Et aussi de travailler avec le gouvernement fédéral pour fournir des outils de cybersécurité, des services de réponse aux incidents et des capacités d’évaluation pour protéger les réseaux .gov qui soutiennent les opérations essentielles des ministères et organismes partenaires.

À la suite de l’attaque informatique survenue le 02 juillet dernier qui a ciblé directement la société américaine Kaseya et dont les conséquences pourraient nuire à plus de 1.000 grandes entreprises américaines, la CISA a récemment décidé de publier sur son site web officiel une nouvelle ressource.

Qui va répertorier les mauvaises pratiques en matière de cybersécurité ; puisque la liste des mauvaises pratiques en matière de cybersécurité est extrêmement longue, seules celles réellement dangereuses et qui augmentent considérablement les risques pour les infrastructures seront abordées sur le site.

Et pour le moment, le site ne mentionne que deux mauvaises pratiques à surtout éviter, mais compte tenu du contexte, très prochainement il sera mis à jour, et de nouvelles pratiques seront signalées, qu’il faudra à tout prix éviter.

Pour mettre fin aux risques les plus flagrants, la CISA invite ainsi les organisations à faire un effort concerté pour mettre fin aux mauvaises pratiques ; elle précise que s’attaquer aux mauvaises pratiques devrait être un élément essentiel de l’approche stratégique de chaque organisation en matière de sécurité, et c’est une des rares voies, pour faire face au nombre d’incidents.

Cybersécurité : le catalogue des mauvaises pratiques dressé par la CISA, et tous ceux qui n’y sont pas encore.

Pour le moment, le catalogue ne répertorie que deux mauvaises pratiques ; mais la CISA a déjà évoqué le fait qu’il s’étoffera avec le temps ; selon les experts de la  CISA, pour que votre système informatique et réseau ne comporte aucune faille flagrante, vous devez commencer par supprimer les mauvaises pratiques suivantes :

L’utilisation de logiciels non pris en charge (ou en fin de vie) au service de votre système informatique et réseau.

Si les logiciels non pris en charge ou en fin de vie sont particulièrement dangereux, c’est essentiellement à cause du fait qu’ils ne bénéficient plus de correctifs et que par conséquent ils contiennent des vulnérabilités connues facilement exploitables par les pirates et les logiciels malveillants ; ne fonctionnant plus correctement, car non pris en charge, ils pourraient aussi endommager votre système, ce qui va rendre ce dernier plus vulnérable aux menaces informatiques.

L’utilisation de mots de passe et d’informations d’identification connus/fixes/par défaut.

Cette pratique qui relève plus de la négligence qu’autre chose est particulièrement flagrante dans les technologies accessibles sur Internet ; cette année aux États-Unis, alors que nous venons à peine de terminer le premier semestre, 52 % des violations de données auraient été causées par des attaques liées aux mots de passe.

Il est important de le rappeler que plus fort est votre mot de passe et plus votre système et réseau seront protégés contre les pirates informatiques et les logiciels malveillants, nous ne le répéterons jamais assez, forcez vos utilisateurs à mettre des mots de passe forts.

Exigez de vos utilisateurs qu’ils changent leur mot de passe au moins une fois par mois, imposez-leur de mettre un mélange de digits spéciaux, de caractères majuscules et minuscules et une série de chiffres, interdisez leur, de remettre le même mot de passe que le précédent.

Ne pas procéder à une évaluation complète des risques informatiques au moins tous les 12 mois.

L’identification et l’évaluation des risques informatiques à l’échelle de l’organisation sont un préalable à l’adoption de mesures de maîtrise des risques ; si elles ne sont pas faites régulièrement, cela suppose que votre système de sécurité est tout simplement obsolète.

Il ne prend donc pas en compte les nouvelles normes et n’est pas du tout adapté pour faire face aux menaces informatiques récentes., qui se créent quotidiennement et qui évoluent sans cesse.

Ne pas fournir aux employés un gestionnaire de mots de passe pour les aider à exploiter des mots de passe complexes.

Pour ceux qui l’ignorent, les gestionnaires de mot de passe sont un type de logiciel qui permet à un utilisateur de gérer ses mots de passe. Si certains gestionnaires se contentent de centraliser l’ensemble des identifiants et mots de passe depuis une interface, d’autres offrent aux utilisateurs la possibilité de générer à la demande des mots de passe forts qu’il pourra utiliser.

L’utilisation de gestionnaire garantie donc que les mots de passe seront toujours à l’abri des regards indiscrets et des voleurs de données, mais aussi que seuls les plus forts seront utilisés.

Ne pas appliquer rapidement les correctifs et les mises à jour

Vous est-il déjà arrivé de décliner les mises à jour suggérées par vos applications ? Sachez à partir de maintenant qu’il peut être dangereux de négliger les mises à jour et le téléchargement de correctifs.

Perçus comme une contrainte pour certains, les mises à jour et le téléchargement de correctifs sont pourtant essentiels pour garantir la sécurité de votre système informatique et le bon fonctionnement de vos applications et logiciels.

Ne pas fournir aux employés une formation de sensibilisation à la cybersécurité

Si votre système et réseau a été piraté ou bien piraté fréquemment, si elle demeure la seule responsable, l’équipe de cyber sécurité n’est pas toujours en cause.

Très souvent, ce sont les utilisateurs, parfois sans le savoir, qui exécutent des actions dangereuses (ouverture de mail à risque, téléchargement de fichiers sur un site douteux…) qui ouvrent des brèches dans le système de sécurité.

La sensibilisation à la cybersécurité permet de transmettre à vos utilisateurs les connaissances nécessaires pour protéger votre système et réseau et toutes vos données sensibles.

Ne pas mener des exercices de simulation anti-hameçonnage

Généralement exécutée dans le cadre d’une formation de sensibilisation à la cybersécurité, la simulation d’attaques par hameçonnage est une pratique visant à aider les utilisateurs à reconnaître, éviter et signaler toute menace potentielle s’apparentant à du hameçonnage, malware, ransomware et spyware.

Permettre aux employés un accès complet et sans entrave à Internet

Si vous limitez les accès à Internet de vos employés à quelques sites web et services web importants et contrôlés, vous réduisez considérablement le risque de piratage de votre système informatique et réseau.

Tous les employés, n’ont pas de nécessité de disposer d’une entière liberté d’accéder à internet, vous pourrez peut-être faire des groupes d’utilisateurs, et un minimum de contrôle s’impose, tout en leur laissant la liberté qui va bien.

Penser que l’on est trop petit pour être une cible potentielle, est une erreur peut-être fatale.

Selon une étude menée en 2020 par Verizon Wireless, une importante entreprise de télécommunications américaine spécialisée dans les services mobiles, les petites entreprises sont confrontées aux mêmes cyberattaques que les grands groupes.

C’est donc une erreur qui peut coûter cher de croire que l’on est trop petit pour être une cible potentielle des pirates informatiques.

En plus de toutes les mauvaises pratiques qui viennent d’être citées, évitez aussi de :

  • penser que le strict minimum suffit pur bien se protéger ;
  • oublier de mettre en place des plans de reprise après sinistre/réponse aux incidents ;
  • ne pas surveiller les applications et les logiciels qui ont accès à vos données ;
  • adopter une attitude négligente ou négligente envers les cyber-menaces et les vulnérabilités ;
  • ne pas configurer l’automatisation de la sécurité lorsqu’elle est disponible ;
  • Donner aux employés un accès inutile aux systèmes de données et aux réseaux ;
  • Ne pas réviser et mettre à jour les politiques et procédures de sécurité informatique au moins tous les six mois.

Auteur Antonio Rodriguez, Directeur Clever Technologies

Written by Antoine

Informaticien depuis des lustres, ancien directeur de Banque (Informatique, Comptabilité, Communication, Refonte Informatique), Antoine est un passionné par les nouvelles technologies, et les innovations liées à l'informatique. Une de ses passions est d'écrire des articles, sur les sujets les plus variés et les plus divers, mais en relation avec le monde du SMS ou de la communication, de la supervision, et de la gestion des astreintes.

SMS Backup : Partez tranquille en congés, MEMOGuard veille pour vous sur les sauvegardes.

SMS Backup : Partez tranquille en congés, MEMOGuard veille pour vous sur les sauvegardes.

4 atouts d’une enseigne personnalisée dans la communication d’entreprise4 atouts d’une enseigne personnalisée dans la communication d’entreprise

4 atouts d’une enseigne personnalisée dans la communication d’entreprise