En matière de sécurité, tout le monde a ses faiblesses. Aucune entreprise, quelle que soit sa taille, n’est épargnée. Axé sur les enjeux IT, le think tank international 451 Alliance s’est récemment penché sur la question. Le pôle d’étude du cercle de réflexion a interrogé ses membres sur leurs préoccupations majeures en matière de sécurité. Comme l’illustre le graphique ci-dessous, les deux sujets majeurs de préoccupation sont le comportement des utilisateurs (user behavior) et l’hameçonnage (phishing). Les personnes interrogées ont également évoqué la sécurité des points de terminaison (endpoint security), les IoT et les coûts liés à la conformité (compliance-related costs).
En plus de ces sujets prioritaires, les membres du cercle de réflexion 451 Alliance ont aussi mentionné les chantiers suivants pour l’année à venir (par ordre décroissant) :
- Sécurité des applications
- Gestion et réactualisation des pare-feu
- Initiatives de contrôle des identités/accès
- Détection/prévention des intrusions
- Gestion des correctifs
- Intervention sur incident
- Classification des données
- Chiffrement
Plongeons-nous plus en détail dans cette étude afin de comprendre comment les solutions actuellement proposées par GlobalSign apportent une réponse aux lacunes identifiées.
Hameçonnage/Phishing
L’hameçonnage arrive sans surprise en tête des sujets d’inquiétude remontés par les participants à l’enquête. C’est un phénomène mondial qui touche toutes les régions du monde et toutes les économies — d’où l’importance de surveiller de près les activités de vos employés sur leur messagerie électronique. De nombreuses études démontrent l’ampleur du problème que pose l’hameçonnage. Selon l’une de ces études réalisées par le fournisseur de sécurité cloud Avanan, un e-mail sur 99 est une attaque de phishing. Cela fait donc 4,8 e-mails par employé sur une semaine de travail de cinq jours. Autrement dit, un employé reçoit chaque jour un e-mail d’hameçonnage. L’étude montre également qu’en 2018, 83 % des personnes ont été victimes d’attaques d’hameçonnage partout dans le monde, occasionnant de nombreuses perturbations et dommages comme des baisses de productivité (67 %), des pertes de données propriétaires (54 %) et des préjudices en termes d’image (50 %).
Exemple d’e-mail d’hameçonnage
Nos recommandations pour prévenir les attaques de phishing :
- Éduquez et formez vos employés en permanence. Les employés doivent comprendre ce qu’est l’hameçonnage, les techniques employées et les points auxquels ils doivent prêter attention. Ils doivent également savoir quoi faire lorsqu’ils sont victimes d’une escroquerie par hameçonnage et qui prévenir ou alerter. De plus, les formations doivent être régulièrement réactualisées pour y intégrer les informations sur les nouvelles méthodes d’hameçonnage.
- Chiffrez les données sensibles de votre entreprise. En chiffrant vos e-mails, vous compliquez la tâche des pirates informatiques qui tentent d’accéder aux informations de votre entreprise.
- Et bien sûr, pensez à utiliser des certificats numériques adossés à une PKI pour identifier et authentifier les utilisateurs au sein de votre organisation. Une infrastructure à clés publiques (PKI) est constituée des règles, rôles et procédures nécessaires pour créer, gérer, stocker et révoquer vos certificats numériques, mais aussi pour gérer le chiffrement à clés publiques.
- Pensez à signer numériquement les e-mails. Cela permet de valider l’expéditeur des messages et de distinguer ainsi les e-mails légitimes des faux e-mails. Associé à des actions de formation, le chiffrement limite le risque d’hameçonnage en évitant que vos employés n’ouvrent de faux e-mails qui semblent provenir de leurs collègues.
Coûts liés à la conformité
L’étude 451 Alliance met également en lumière l’importance des coûts de la conformité pour les responsables informatiques. La maîtrise de ces coûts exige d’aborder correctement le risque cyber pour votre entreprise. Aujourd’hui, les entreprises doivent se montrer proactives sur des sujets comme la protection des données et la cybersécurité. En anticipant, elles limitent les envois après coup de coûteuses notifications aux clients et aux organismes de réglementation — soit une réduction du coût de la conformité. A ces coûts liés à la conformité vient s’ajouter une intensification de la pression réglementaire sur les entreprises aux Etats-Unis, mais aussi, et surtout en Europe. Aux États-Unis, certaines réglementations sont particulièrement critiques, comme Sarbanes Oxley, CFR 21 Part 11, FDA ESG ; tandis qu’en Europe, il faut aujourd’hui compter avec l’eIDAS et le RGPD. Pour rester conforme, le recours à un fournisseur de sécurité est essentiel. A ce titre, GlobalSign peut vous aider à protéger vos applications critiques et vos données clients, dans le respect de la réglementation et de la conformité. De cette manière, vous évitez à votre entreprise de se retrouver empêtrée dans de coûteuses procédures pour non-conformité.
Authentification multi-facteurs et à deux facteurs
Les participants à l’étude indiquent également prévoir de mettre davantage l’accent sur l’authentification multi-facteurs. GlobalSign propose une solution semblable à l’authentification multi-facteurs : l’authentification à deux facteurs. Ces formes d’authentification sont essentielles pour protéger les données et les applications sensibles d’une entreprise. Les certificats numériques utilisés pour l’authentification à deux facteurs sont faciles à déployer et à gérer via la plateforme cloud Managed PKI (MPKI) de GlobalSign. La plateforme MPKI offre une solution simple et économique pour gérer et contrôler les identités des utilisateurs et des appareils, avec un contrôle granulaire sur la personne ou l’appareil qui accède à vos services, données et actifs numériques. La plateforme MPKI propose également des fonctions étendues parfaitement adaptées aux grands groupes qui exploitent un environnement Windows — notamment grâce à l’utilisation d’Active Directory pour l’enregistrement automatique et l’installation discrète [de certificats].
Sécurité des points de terminaison
La sécurité des points de terminaison est essentielle, car un hacker peut facilement intercepter une connexion entre un réseau et un équipement matériel (le « point de terminaison ») comme un téléphone mobile, un ordinateur portable, un serveur, etc.
Le portail AEG de GlobalSign a toute son utilité dans la protection des points de terminaison.
Le portail AEG est une solution d’infrastructure à clés publiques (PKI) entièrement automatisée et gérée qui répond aux besoins d’évolutivité des entreprises dont les environnements informatiques sont hétérogènes. Avec le portail AEG, les utilisateurs peuvent automatiser l’émission de certificats de confiance publique et la gestion du cycle de vie complet de ces certificats, y compris leur renouvellement. Les entreprises économisent ainsi de précieuses ressources informatiques et limitent les effets néfastes pour leur activité de certificats arrivés à expiration. Les utilisateurs d’AEG améliorent la sécurité des e-mails et des serveurs Web publics. Le portail AEG de GlobalSign facilite par ailleurs l’assignation automatique des certificats sur l’ensemble des machines et des terminaux Apple enregistrés avec Active Directory.
Sécurité et identité des IoT
L’étude met également en lumière un autre sujet de préoccupation grandissant : la sécurité de l’Internet des Objets (IoT). Chez GlobalSign, nous proposons une plateforme d’identités IoT basée sur une PKI. Sa popularité croissante en fait l’une des meilleures plateformes du secteur pour sécuriser les appareils IoT et IIoT en les rendant identifiables. Suffisamment flexible et évolutive pour émettre et gérer des milliards d’identités pour des objets IoT de tous types, la plateforme d’identités IoT s’intègre à l’aide d’API RESTful faciles à utiliser pour les développeurs. Cette plateforme répond à plusieurs cas d’utilisation pour la sécurité des IoT dans tous les secteurs — production, agriculture, réseaux intelligents, paiements, passerelles IoT, soins de santé, autres écosystèmes industriels et plus encore. Elle prend en charge tout le cycle de vie des identités des équipements, depuis le provisionnement initial du certificat (déploiements à partir de zéro ou pas), mais aussi la maintenance à vie jusqu’à la suppression définitive, la mise hors service ou le transfert de propriété. L’attribution d’une identité unique à chaque équipement ou terminal garantit leur authentification dès qu’ils arrivent en ligne et pendant toute leur durée de vie, mais aussi leur intégrité et leur capacité à communiquer en toute sécurité avec d’autres équipements, services et utilisateurs.
Sécurité du cloud
Chez GlobalSign, nous faisons de la protection de votre entreprise l’une de nos missions phares. Nous insistons toujours auprès de nos clients sur l’importance de l’agilité dans la préparation de leur stratégie de sécurité. Face à des hackers et des cybercriminels qui se démènent pour s’emparer de vos informations et les compromettre, vous devez être prêt à parer à toutes les éventualités. Nos solutions de technologie cloud vous donnent les moyens d’automatiser et de gérer votre PKI pour permettre à vos équipes de réagir rapidement aux menaces, de déployer des identités et de sécuriser vos sites Web et réseaux. Ce niveau de contrôle permet de protéger vos actifs de propriété intellectuelle, la réputation de vos marques et de préserver la sécurité des ressources de l’entreprise.
GlobalSign travaille d’arrache-pied pour proposer à ses clients à travers le monde un large éventail de solutions afin de répondre à leurs besoins de sécurité. Vous avez des questions sur nos solutions PKI ? Consultez notre page Produits pour découvrir comment nous pouvons vous être utiles.