En matière de cybersécurité intelligente pour les petites et moyennes entreprises (PME), il est essentiel de réduire la surface d’attaque. En effet, s’assurer que la surface d’attaque est aussi petite que possible est une mesure de sécurité de base.
La compréhension et la gestion de votre surface d’attaque (soit les différents moyens dont dispose un pirate pour infiltrer un appareil ou un réseau et en extraire des données) vous permettront de réduire l’exposition à des risques.
Alors que de nombreuses PME peuvent penser qu’elles sont trop petites pour devenir la cible de cybercriminels, un rapide coup d’œil à leur surface d’attaque révèle souvent qu’il existe des points d’accès potentiels dans leur réseau informatique ou d’autres vulnérabilités qui peuvent être exploitées pour organiser une cyberattaque ou une violation de données.
La réalité est que les petites entreprises continuent d’être confrontées à la forte probabilité de cyberattaques. Des données récentes révèlent que 43 % des cyberattaques ciblent des PME, alors que seulement 14 % d’entre elles se protègent. Le plus souvent, les PME font face à un impact financier important suite à une attaque. Un rapport estime que le coût de la correction des violations de données pour les entreprises de moins de 500 employés s’élevait en moyenne à environ 2,5 millions de dollars et que ce montant continue d’augmenter d’une année sur l’autre. Dans certains secteurs réglementés, les entreprises en subissent encore les conséquences financières deux et trois ans après
Mieux comprendre votre environnement informatique et les éléments de votre surface d’attaque qui constituent des risques sont un premier pas vers une défense proactive.
Quelles sont les principales surfaces d’attaque ?
Les appareils et les utilisateurs sont les deux principales surfaces d’attaque.
Appareils
De nos jours, les entreprises se connectent à Internet en utilisant de plus en plus d’appareils. Cela crée davantage de passerelles permettant aux cybercriminels de mener leurs cyberattaques.
Parallèlement à l’explosion du volume de données générées avec ces appareils, de nouvelles recherches estiment également que près de 50 milliards d’appareils connectés à l’Internet des objets (IoT) seront utilisés dans le monde d’ici 2030.
Maintenant, si vous tenez compte des cybermenaces et des vulnérabilités potentielles des systèmes d’exploitation et des logiciels, vous pouvez mieux comprendre comment les appareils représentent un risque potentiel et peuvent augmenter considérablement la surface d’attaque.
Les attaques de ransomwares et de ransomwares hybrides représentent des menaces importantes pour les appareils. Une attaque de ransomware est déjà suffisamment grave en soi puisqu’elle permet aux pirates informatiques de prendre le contrôle d’un appareil, puis d’exiger une rançon à l’utilisateur avant de le lui rendre. Mais aujourd’hui, les ransomwares se présentent également de manière hybride. En combinant un ransomware avec les capacités d’un virus, il ne se contente pas seulement d’infecter un appareil, il s’étend au réseau entier.
Les données prédisent que les attaques de ransomwares cibleront les entreprises toutes les 11 secondes en 2021. Dans le dernier rapport d’enquête sur les compromissions de données de Verizon (DBIR), 27 % des incidents liés aux malwares sont dus à des ransomwares. D’autres recherches indiquent que 85 % des fournisseurs de services gérés ont signalé des attaques de ransomwares contre des PME au cours des deux dernières années, 56 % ayant subi des attaques au cours des six premiers mois de 2019.
Effectifs
Les cyberattaques sophistiquées ciblent principalement les employés d’une entreprise parce qu’ils constituent souvent le maillon faible de la chaîne de sécurité numérique. Dans le rapport DBIR 2020 de Verizon, l’erreur humaine représente 22 % des violations. Selon Gartner, 95 % des violations du cloud sont dues à des erreurs humaines telles que des erreurs de configuration et cette situation devrait se poursuivre.
Les politiques de mots de passe et autres dispositifs de sécurité conçus pour protéger les effectifs, comme l’authentification multi-facteurs, ne sont pas la norme pour la plupart des PME, représentant ainsi un risque supplémentaire. Pire encore, des recherches récentes montrent que les comportements en termes de mot de passe continuent d’être un problème : 91 % des utilisateurs savent que l’utilisation du même mot de passe sur plusieurs comptes constitue un risque pour la sécurité, mais 66 % continuent d’utiliser le même mot de passe.
Les cybercriminels utilisent également des techniques d’ingénierie sociale pour accéder aux réseaux via les employés. L’ingénierie sociale incite les utilisateurs à transmettre des informations confidentielles sur l’entreprise. Les pirates informatiques contactent souvent les employés par e-mail, et se font passer pour un interlocuteur crédible voire un collègue. La plupart des employés ne disposent pas des connaissances nécessaires pour se défendre contre ces attaques avancées d’ingénierie sociale.
Des études révèlent que 70 à 90 % des violations de données malveillantes sont attribuées à l’ingénierie sociale.
Quelles sont les meilleures pratiques pour réduire votre surface d’attaque ?
Pour diminuer leur surface d’attaque, les PME doivent régulièrement évaluer les vulnérabilités, sécuriser les points faibles et surveiller les anomalies.
Comment évaluer les vulnérabilités ?
La première étape de l’évaluation des vulnérabilités potentielles consiste à identifier tous les appareils informatiques physiques et virtuels au sein d’une entreprise ou d’une organisation. Cette liste devrait rassembler toutes les surfaces d’attaque possibles :
- Postes de travail et ordinateurs portables
- Serveurs de fichiers du réseau
- Serveurs d'application du réseau
- Pare-feux et commutateurs de l’entreprise
- Imprimantes multi-fonctions
- Smartphones
Cette évaluation de l’infrastructure doit faire la distinction entre les systèmes et appareils cloud et sur site, et faciliter la détermination de tous les emplacements de stockage possibles pour les données.
Voyons maintenant où les données sont consultées et stockées. Catégorisez toutes les données et divisez-les en trois emplacements : cloud, systèmes sur site et appareils.
Par exemple :
Cloud
- Messagerie et applications cloud
- Stockage dans le cloud
- Sites Web et réseaux sociaux
Systèmes sur site
- Bases de données
- Partage de fichiers et stockage
- Propriété intellectuelle
Appareils
- Présentations
- Notes internes de l’entreprise
- Données statistiques et rapports
Identifiez ensuite les personnes disposant d’un accès et déterminez la nature de leur accès. Cette troisième et dernière évaluation de surface d’attaque permet d’obtenir des renseignements relatifs à chaque service ou utilisateur d’une entreprise, même si ces derniers ne sont pas connus. Vos observations peuvent être divisées selon les trois mêmes catégories et incluront les éléments suivants :
- Accès par un utilisateur particulier
- Accès par des utilisateurs multiples
- Accès par utilisateur inconnu
Comment sécuriser les points faibles et surveiller les anomalies ?
Après avoir effectué l’évaluation, l’étape suivante consiste à déterminer les mesures de sécurité pour votre surface d’attaque spécifique. L’utilisation de la bonne combinaison de mesures de sécurité garantira la sécurité des points faibles et vous offrira une meilleure visibilité sur la sécurité de votre réseau.
Vous trouverez ci-dessous un aperçu des principaux services de sécurité généralement requis pour une PME.
Données |
Appareils |
Effectifs |
Filtrage de contenu Le filtrage de contenu vous permet de définir l’accès des employés à différents sites Web en fonction du niveau de sécurité offert.
|
AntivirusPour réduire la surface d’attaque, il est essentiel d’installer et de gérer un antivirus sur tous vos appareils (aussi bien sur les ordinateurs que sur les téléphones).
|
Authentification sécurisée Il existe différents moyens d’y parvenir mais définir des politiques de mots de passe et utiliser des processus d’identification unique (SSO) et MFA représentent un bon début pour une PME.
|
Chiffrement des e-mails Avec le chiffrement de bout en bout, seuls l’expéditeur et le destinataire peuvent voir le contenu de l’e-mail et de ses pièces jointes, à l’aide d’une clé de déchiffrement.
|
Gestion des correctifsLes vulnérabilités sont courantes dans les systèmes d’exploitation et les logiciels, mais elles peuvent être résolues en installant des correctifs logiciels et en gardant le logiciel à jour.
|
Travail à distance sécuriséLes entreprises devant faire face aux obligations de travail à domicile suite à la pandémie de COVID-19, les travailleurs à distance ont besoin d’une connexion via un réseau privé virtuel (VPN) à leur réseau d’entreprise qui chiffre tout le trafic pour fournir un accès sécurisé aux données et applications de l’entreprise.
|
Prévention contre les pertes de données Une solution contre les fuites de données empêche les utilisateurs finaux de partager des données sensibles en dehors du réseau de l’entreprise en régulant les données qu’ils peuvent transférer.
|
Analyses de vulnérabilité régulières Les analyses de vulnérabilités doivent être effectuées régulièrement en incluant le statut du logiciel antivirus, les politiques de mot de passe et les mises à jour logicielles.
|
Définir des processus et des politiques Définissez quelles données doivent être protégées et comment. Faites en sorte que ces informations soient disponibles afin que chacun comprenne son rôle dans la protection de l’entreprise.
|
Sauvegarde dans le cloudMême si vous avez pris toutes les précautions nécessaires, il est important de disposer d’une solution BDR (Récupération après incident) robuste capable d’effectuer des restaurations rapides en un clic.
|
Renforcement des serveurs Web Souvent situés à la périphérie de votre réseau, les serveurs Web peuvent être plus vulnérables aux attaques. En les durcissant de façon appropriée, les configurations par défaut sont modifiées et certains services et affichages sont désactivés.
|
Formations en sécuritéLes effectifs de l’entreprise ne peuvent se défendre contre des menaces dont ils ignorent l’existence. Vous devez donc absolument former vos collaborateurs aux différentes façons de se protéger, par exemple en créant des mots de passe forts ou en apprenant à reconnaître une escroquerie par phishing.
|
Comment comprenez-vous votre surface d’attaque et les risques ?
Les PME sont confrontées à un panorama de menaces en évolution constante. Les défis sont plus importants lorsque l’on considère les risques d’erreur humaine sur le lieu de travail et la nécessité d’une sensibilisation à la sécurité. Grâce à la connaissance des principales mesures de sécurité nécessaires et aux approches telles que la sécurité gérée proactive, les entreprises et les organisations peuvent mieux comprendre leur surface d’attaque et les risques, et mettre en place une protection de cybersécurité solide et rentable pour réduire leur surface d’attaque et leur exposition aux risques.