Projets

Cybersécurité : les 6 idées fausses que les PDG gardent en tête

Les RSSI, ici lors d'une conférence CIO, doivent dissiper certaines idées reçues chez leurs Pdg (photo Bruno Lévy pour CIO).

Si vous voulez une stratégie de cybersécurité plus efficace, il faut commencer par dissiper les idées fausses de votre PDG.

PublicitéA priori, étant chargés de diriger toute la planification stratégique et les opérations de leurs entreprises, les Pdg sont des responsables parfaitement au point sur presque tous les sujets. Même sur la cybersécurité ? En fait, ils gaspillent de grandes quantités de leur budget de sécurité informatique sur des choses qui ne fonctionnent pas vraiment. Ils croient à un ensemble de mythes sur la sécurité informatique, six pour être précis que nous avons identifiés.

1. Les attaquants ne peuvent pas être arrêtés
La plupart des défenses informatiques sont si faibles et si peu judicieuses que les pirates informatiques et les logiciels malveillants peuvent y pénétrer à leur guise. Les défenses informatiques sont si mauvaises et poreuses qu'on a dit aux PDG qu'il est impossible d'arrêter les pirates informatiques et les logiciels malveillants. Le mieux qu'ils peuvent faire est de «présumer qu'il y a eu violation» et de travailler à une détection précoce et de ralentir les attaquants une fois qu'ils sont entrés.
Pouvez-vous imaginer un général attaqué, disant à ses subordonnés et à ses soldats qu'il est absolument impossible de gagner ... même en lui donnant plus de soldats et d'armes pour se défendre? Même s'il est probablement vrai qu'un groupe de hackers financé par un État-Nation ne peut pas être arrêté, la plupart des hackers et des logiciels malveillants peuvent être empêchés de faire irruption. Une stratégie de sécurité informatique mieux ciblée et quelques défenses clés pourraient réduire de manière significative la plupart des risques de piratage ou de malwares dans votre environnement.

2. Les pirates sont eux-mêmes brillants
Trop de gens restent nihilistes, estimant que les pirates informatiques et les logiciels malveillants ne peuvent jamais être corrigés. Les pirates seraient tous géniaux. Dans les films hollywoodiens on montre souvent que le pirate informatique prend le contrôle des ordinateurs du monde entier en devinant facilement les mots de passe dans n'importe quel système avec lequel ils sont présents. Les pirates informatiques déjouent tout le monde et peuvent lancer des missiles nucléaires et effacer les identités numériques des gens en quelques touches.
La plupart des gens qui sont piratés ou infectés par des logiciels malveillants ne sont pas des programmeurs ou des personnes chargées de la sécurité informatique. Pour eux, c'est un peu un événement magique qui a dû exiger des superpuissances.
La réalité est toute autre, la plupart des hackers disposent d'une intelligence moyenne et sont plus proches des plombiers et des électriciens que d'Einstein. Ils savent juste comment accomplir un métier particulier en utilisant des outils particuliers, mais au lieu de la plomberie et de l'électricité, c'est du piratage informatique. Cela ne veut pas dire qu'il n'y a pas de pirates géniaux, mais ils sont rares, comme dans toutes les autres professions. Malheureusement, le mythe que tous les hackers sont brillantissimes ne fait que renforcer le mythe selon lequel ils ne peuvent être vaincus.

Publicité3. La sécurité informatique sait ce qui doit être réparé
C'est probablement l'un des mythes les plus importants à dissiper. La plupart des équipes de sécurité informatique, pleines de personnes intelligentes et actives, ne savent pourtant pas sur quoi elles devraient travailler. Dans la plupart des cas, ce sur quoi elles travaillent n'entraînera pas une réduction drastique des risques. Parce qu'ils ne savent pas, ils mettent trop de ressources au mauvais endroit, sur de mauvais sujets.
La triste réalité est que peu d'équipes de sécurité informatique ont les données nécessaires pour sauvegarder ce qu'elles croient être les vrais problèmes. Si le PDG demandait à l'équipe de sécurité informatique, en privé, individuellement, quelles étaient les principales menaces pour leur organisation par ordre d'importance, il serait probablement choqué de voir que personne ne connaît vraiment la réponse. Même si quelqu'un a réellement donné la bonne réponse, il n'aurait pas les données pour apporter le remède. Au lieu de cela, l'équipe de sécurité informatique est pleine de gens qui ne sont même pas d'accord sur ce que sont les plus gros problèmes. Si l'équipe de sécurité informatique ne sait pas quels sont les plus gros problèmes, comment peut-elle combattre efficacement les plus grandes menaces ? Elle ne le peut pas.

4. La mise en conformité équivaut à une meilleure sécurité
Les PDG sont en pointe, professionnellement et personnellement, pour s'assurer que leurs entreprises respectent toutes les exigences de conformité légales et réglementaires. Aujourd'hui, la plupart des entreprises sont couvertes par des exigences de sécurité informatique multiples et parfois contraires. Tous les PDG savent que s'ils respectent les obligations de conformité, ils vont devenir aux yeux du monde professionnel des gens «sûr», à la tête d'entreprises « sûres ».
Malheureusement, ce qui est exigé dans la conformité ne correspond pas toujours à la sécurité, et cela peut même aller à l'encontre de la sécurité réelle. Par exemple, nous savons aujourd'hui que les anciennes règles de mot de passe, qui incluent l'utilisation de mots de passe longs et complexes à modifier fréquemment au cours de l'année, posent plus de risques que les mots de passe non complexes. Nous le savons depuis des années. C'est littéralement dans la plupart des recommandations de mot de passe «officielles» envoyées ces dernières années.
La plupart des responsables de la sécurité informatique et des PDG ne le savent pas. Même s'ils le savent, ils ne peuvent pas suivre les nouvelles directives relatives aux mots de passe. Pourquoi? Parce qu'aucune des exigences réglementaires actuelles n'a été mise à jour pour suivre les nouvelles directives sur les mots de passe. La conformité n'est pas toujours synonyme sécurité. Parfois, c'est le contraire.

5. Le patch est sous contrôle
La plupart des PDG pensent qu'ils ont des correctifs sous contrôle. Par « contrôle », je veux dire que la mise à jour des logiciels est 100% à jour ou proche. Au lieu de cela, je n'ai jamais trouvé un ordinateur ou un terminal, dans mes plus de 30 ans d'expérience informatique, qui a été entièrement corrigé. Jamais. Pas une fois. Et surtout pas les périphériques de sécurité, tels que les routeurs, les pare-feu et les serveurs qui sont censés être parfaitement corrigés. La plupart des services de sécurité informatique disent probablement à leur PDG que les correctifs sont «presque parfaits», mais le diable est dans les détails.
La plupart des entreprises ont des centaines, voire des milliers de programmes. La plupart d'entre eux n'ont jamais besoin de patcher, non pas parce qu'ils n'ont pas de bugs, mais parce que les attaquants ne les attaquent pas. Les bugs ne sont pas détectés et n'ont pas besoin d'être corrigés.
Dans la plupart des organisations, peut-être 10 à 20 programmes non corrigés représentent la grande majorité des risques de piratage. Parmi ces programmes, le taux de correction est probablement très élevé pour la plupart des programmes, avec peut-être un ou deux programmes non corrigés à un taux aussi élevé que les autres. Malheureusement, ce sont les deux ou trois programmes non corrigés qui présentent la grande majorité des risques dans la plupart des organisations.
Voici un exemple. Supposons qu'une entreprise n'a qu'une centaine de programmes à patcher. Parmi ces centaines de programmes, un seul a un mauvais taux de correction, disons qu'il est seulement corrigé à 50%. Le taux global de correction serait de 99,5%. Cela semble plutôt bien, mais ce que cela signifie vraiment, c'est que la moitié de vos ordinateurs sont vulnérables et non corrigés, et plus que probable, que le programme à moitié patché est celui qui est le plus utilisés par les pirates informatiques.
Je ne parle même pas de la quantité de matériel, de micrologiciels et de pilotes non corrigés que la plupart des entreprises n'essaient même pas de corriger. Ils ne sont généralement pas inclus dans les rapports de correction. Si vous les incluiez, les taux de correction sembleraient bien pires. Dernièrement, les pirates ont attaqué plus fréquemment le matériel et le firmware. Ce n'est pas une coïncidence.

6. La formation sur la sécurité des employés est adéquate
L'une des deux principales menaces dans la plupart des entreprises est l'ingénierie sociale, que ce soit par courrier électronique ou par navigateur Web, ou même par téléphone. Si l'on considère seulement les principales attaques qui ont causé le plus de dégâts, l'ingénierie sociale est probablement impliquée dans 99% des cas. Au cours des 20 dernières années, je n'ai eu connaissance que d'un seul cas où l'ingénierie sociale n'était pas impliquée dans la compromission d'une entreprise. La plupart des équipes de sécurité informatique seront d'accord.
Pourtant, la plupart des entreprises consacrent moins de 30 minutes par an à la formation en ingénierie sociale. Les employés ne sont pas suffisamment formés pour empêcher le succès de l'ingénierie sociale, et les entreprises continuent d'être piratées avec succès, peu importe ce qu'elles font, peu importe l'argent ou les autres ressources qu'elles utilisent.

Roger A. Grimes / IDG News Service (Traduit et adapté par Didier Barathon)