La plupart des organisations ne gagnent en maturité en matière de sécurité que de manière difficile, c’est-à-dire à partir de l’apprentissage intense qui a lieu à la suite d’une violation de données coûteuse. C’est peut-être parce que si peu de chefs d’entreprise saisissent vraiment la centralité de la sécurité informatique et réseau pour les objectifs généraux et la productivité de l’organisation, et encore moins ont fait un inventaire honnête de ce qui pourrait être en jeu si ces actifs étaient compromis.
Si vous ne savez pas quelle part des actifs stratégiques de votre organisation peut être intimement liée à tous ces éléments technologiques, demandez-vous ce qui aurait une valeur particulière pour un intrus du réseau. Voici un aperçu de certains des principaux actifs de l’entreprise susceptibles d’intéresser et de valoriser les méchants modernes.
Cette liste n’est pas censée être exhaustive; Je suis sûr que nous pouvons tous penser à d’autres exemples, et peut-être que si je reçois suffisamment de suggestions de lecteurs, je mettrai à jour ce graphique. Mais le fait est que quelle que soit la valeur monétaire dérisoire que la cybercriminalité souterraine peut attribuer à ces actifs volés individuellement, ils valent probablement beaucoup plus pour l’entreprise victime – si tant est qu’un prix puisse leur être attribué.
Au cours des années passées, la plupart des cybercrimes traditionnels à orientation financière étaient opportunistes : c’est-à-dire que les malfaiteurs avaient tendance à se concentrer sur une entrée rapide, en saisissant toutes les données qu’ils savaient comment monétiser facilement, puis en laissant peut-être derrière eux des logiciels malveillants sur les systèmes piratés. qui les a abusés pour la distribution de spam.
De nos jours, une infection malveillante opportuniste et envoyée en masse peut rapidement et facilement se transformer en un problème beaucoup plus grave et durable pour l’organisation victime (il suffit de demander à Target). Cela s’explique en partie par le fait que de nombreux criminels qui exploitent de grandes machines anti-spam chargées de diffuser les dernières menaces de logiciels malveillants sont devenus plus aptes à extraire et à collecter des données volées.
Ce processus d’exploration de données implique de récolter et de tester furtivement des noms d’utilisateur et des mots de passe intéressants et potentiellement utiles volés sur les systèmes des victimes. Les cybercriminels les plus avertis d’aujourd’hui comprennent que s’ils peuvent identifier des systèmes compromis au sein d’organisations qui peuvent être des cibles recherchées par des groupes de cybercriminels organisés, ces groupes pourraient être prêts à payer cher pour un tel accès prêt à l’emploi.
Il n’a jamais été aussi facile pour les employés mécontents de vendre l’accès aux systèmes ou aux données de leur employeur, grâce à la prolifération de forums de cybercriminalité ouverts et anonymes sur le Dark Web qui servent de marché animé pour ce commerce. En outre, ces dernières années ont vu l’émergence de plusieurs forums criminels très secrets dans lesquels les membres sollicitaient régulièrement des offres concernant les noms de personnes dans des sociétés ciblées qui pourraient servir d’initiés, ainsi que des listes de personnes susceptibles d’être recrutées ou extorquées. .
La triste vérité est que beaucoup trop d’organisations ne dépensent que ce qu’elles ont pour la sécurité, ce qui consiste souvent à respecter une sorte d’obligation de conformité telle que HIPAA pour protéger les dossiers médicaux, ou Certification PCI pour pouvoir gérer les données des cartes de crédit, par exemple. Cependant, une sécurité réelle et efficace consiste à aller au-delà de la conformité – en se concentrant sur la détection et la réponse rapides aux intrusions, et en effectuant constamment cette analyse des lacunes pour identifier et consolider les points faibles de votre organisation avant que les malfaiteurs ne puissent les exploiter.
Comment mettre l’accent sur la cybersécurité au-delà de la simple conformité. Source : PWC sur le cadre NIST.
Ces points faibles peuvent très bien être vos utilisateurs, soit dit en passant. Un certain nombre de professionnels de la sécurité que je connais et que je respecte affirment que la formation de sensibilisation à la sécurité pour les employés ne change pas grand-chose. Ces opposants notent qu’il y aura toujours des employés qui cliqueront sur des liens suspects et ouvriront des pièces jointes aux e-mails, quelle que soit la formation qu’ils reçoivent. Bien que cela soit généralement vrai, au moins une telle formation et évaluation en matière de sécurité offre à l’employeur une meilleure idée des employés qui peuvent avoir besoin d’une surveillance plus importante au travail et peut-être même de restrictions informatiques et réseau supplémentaires.
Si vous aidez à diriger une organisation, demandez-vous si la direction investit suffisamment pour sécuriser tout ce qui s’ajoute à toute cette technologie qui alimente votre mission : il y a de fortes chances qu’il y ait beaucoup plus en jeu que vous ne le pensez.
Les dirigeants d’organisations à la recherche d’un indice sur la façon d’accroître à la fois leur maturité en matière de sécurité et la résilience de tous leurs précieux éléments technologiques pourraient faire bien pire que de commencer par le Cadre de cybersécurité développé par le Institut national des normes et de la technologie (NIST), l’agence fédérale qui travaille avec l’industrie pour développer et appliquer la technologie, les mesures et les normes. Cette amorce (PDF) de Motomarine fait un bon travail pour expliquer pourquoi le cadre NIST peut valoir la peine d’être examiné de plus près.
Image : PWC.
Si vous avez aimé cet article, vous apprécierez peut-être les deux autres articles de cette série – La valeur de rebut d’un PC piraté et La valeur d’un compte de messagerie piraté.