Un clic, un employé. Et puis, boum ! Le coffre-fort de Cash App s'ouvre, crachant des millions d'enregistrements d'utilisateurs comme des confettis. Dans le cadre de l'incident de Cash App Investing survenu en juillet 2023, des pirates informatiques ont utilisé un compte d'employé compromis pour accéder aux systèmes de Cash App Investing, exposant ainsi les données personnelles et les informations financières de plus de 8 millions d'utilisateurs (soit 4 fois la population de Paris).
Ce n'est qu'un exemple des nombreuses violations sophistiquées que nous voyons aujourd'hui et qui ont eu un impact sur des entreprises bien connues comme Uber, Spotify, Activision, ChatGPT, SysAid et bon nombre de leurs millions de clients. Contrairement aux idées reçues, la cybersécurité ne se limite pas aux pares-feux et aux antivirus, elle concerne chaque personne derrière l'écran. Au cours des neuf premiers mois de 2023, c'est un total de 2 116 cas de compromission de données qui ont fait l'objet d'un rapport public, soit une augmentation de 17 % par rapport à l'ensemble des 12 mois de 2022. La situation est critique, car près de 234 millions de personnes ont été touchées au cours du seul troisième trimestre 2023. Les attaques se multiplient et 76 % des entreprises dans le monde ont déclaré que la cybersécurité était la principale priorité pour leur entreprise en 2023. Toutes les données personnelles doivent être protégées, et le services desk est en première ligne dans cette bataille.
Qu'est-ce que la cybersécurité ?
La cybersécurité, c'est-à-dire la pratique consistant à protéger les réseaux, les systèmes et les appareils contre les attaques numériques, est de la plus haute importance. Ces attaques visent à accéder à des informations sensibles et à les modifier, voire à les supprimer. Parmi les exemples courants, citons l'interruption des processus métier ; l'accès aux identifiants de connexion aux plateformes sociales (Twitter a eu 200 millions d'adresses e-mail divulguées en janvier 2023) ; l'hameçonnage par courriel (une escroquerie par courriel en ligne qui semble provenir d'une source bien connue) ; et extorquer de l'argent à l'aide d'un rançongiciel (logiciel malveillant qui crypte les fichiers d'un appareil et les rend inutilisables).
Les menaces sont partout, et dans ce contexte, votre entreprise doit investir dans la meilleure ligne de défense possible. Un duo composé par des salariés formés et capables de reconnaître les principales menaces, et votre service informatique qui dispose des processus et de la boîte à outils nécessaires pour défendre, intervenir, réparer et améliorer votre infrastructure technique.
Formation des employés à la cybersécurité
L'erreur humaine est à l'origine de 80 % des cyberattaques. Parmi ces erreurs courantes à l'origine de cyberattaques, on retrouve notamment :
- Le fait de cliquer accidentellement sur une pièce jointe à un e-mail d'hameçonnage.
- Lorsqu'un utilisateur final ne parvient pas à exécuter un correctif de sécurité pour corriger les vulnérabilités du système.
- Des mots de passe faibles ou réutilisés partout.
- Les faux liens et les fausses pages de destination contournant l'authentification à 2 facteurs de Google pour permettre aux pirates de voler les informations d'identification des utilisateurs de Gmail.
- Ne pas mettre en œuvre des contrôles d'accès appropriés (authentification à deux facteurs ou contrôles d'accès basés sur les rôles pour limiter l'accès).
- L'absence de plan d'intervention en cas d'incident de cybersécurité (que faire en cas de menace)
La plupart des exemples ci-dessus ont une chose en commun : ils peuvent être évités grâce à des formations ciblées. En effet, si les fondamentaux sont souvent bien maîtrisés, comme le fait de ne pas cliquer sur les pièces jointes des e-mails dont vous ne reconnaissez pas l'expéditeur, les attaquants deviennent beaucoup plus sophistiqués et plus difficiles à détecter, ce qui nécessite une formation plus approfondie pour les utilisateurs chaque année. Les attaquants sont passés des e-mails à des initiatives nouvelles comme les appels téléphoniques ciblés, et même des vidéos deepfake de PDG (utilisées pour tromper les clients crypto en 2023 par exemple).
Pour que votre service informatique ne soit pas submergé, vous devez organiser régulièrement des formations de sensibilisation à la sécurité pour tout le monde, et pas seulement pour les équipes du service desk. Les employés doivent être conscients des menaces potentielles, des attaques d'ingénierie sociale et des meilleures pratiques pour maintenir la sécurité.
Comment élaborer un plan d'intervention en cas d'incident
Il ne faut pas savoir si vous serez victime d'une attaque, mais quand celle-ci se déroulera. Votre travail consiste donc aussi à vous assurer qu'un incident ne mette pas votre organisation à terre. Pour lutter contre la propagation et contenir la menace, votre entreprise a besoin d'un IRP (« incident response plan » ou plan de réponse aux incidents en français). C'est un document officiel de l'entreprise qui décrit ce qu'il faut faire avant, pendant et après un incident ou une menace de sécurité. Il clarifie les rôles et les responsabilités, établit une chaîne de communication claire et dresse la liste des principales activités à accomplir.
C'est là qu'intervient votre centre d'assistance informatique qui joue un rôle clé dans l'identification, le signalement et le confinement des incidents de sécurité. Ce sont les membres de votre service desk qui reçoivent les premiers appels téléphoniques ou e-mails concernant une activité suspecte, et leur action rapide peut faire toute la différence pour minimiser les dégâts.
- Identifier : votre service desk doit être équipé pour reconnaître les signaux d'alarme potentiels, tels que les tentatives de connexion inhabituelles ou les indicateurs de logiciels malveillants, et faire remonter immédiatement ces préoccupations à l'équipe d'intervention en cas d'incident. Cette communication rapide permet une activation plus rapide de votre IRP, minimisant ainsi la fenêtre d'opportunité de l'attaque et aidant à isoler les systèmes touchés avant que l'incendie ne se propage.
- Réagir : il peut également être un atout précieux pendant le processus de réponse aux incidents en fournissant une assistance cruciale aux utilisateurs, par exemple en aidant les employés à réinitialiser les mots de passe, en accédant aux comptes verrouillés et en gérant les perturbations potentielles causées par l'incident.
Pour être prêt le jour J, vous pouvez mettre en place des exercices de simulation. Ces stress tests ou « tabletop exercises » (TTX) sont des activités de préparation aux catastrophes qui permet aux participants de faire face à un scénario simulé. Un TTX est basé sur la discussion et aide non seulement les participants à se familiariser avec le processus d'intervention, mais permet également aux administrateurs d'évaluer l'efficacité des pratiques de l'organisation en matière d'intervention d'urgence. Au cours de l'exercice, tout le monde joue le jeu dans le cadre de son métier actuel, sauf indication contraire de l'animateur, et suit l'IRP pour savoir quoi faire et qui contacter. Tout ce qui se trouve sur l'IRP doit être logique et facile à agir pour les employés.
Important : les IRP doivent être mis à jour et révisés régulièrement pour s'assurer qu'ils incluent les employés, les processus et les systèmes actuels. Une bonne pratique consiste à organiser une réunion permanente au début de chaque trimestre d'activité pour examiner l'IRP informatique.
En parallèle, une plateforme de monitoring pour l’infrastructure et les réseaux IT, l’Internet des objets (IoT), le cloud et les applications est un levier à forte valeur pour offrir aux utilisateurs une expérience proactive et prédictive d’un bout à l’autre de la chaîne de production d’un service numérique.
Assurer la sécurité des fournisseurs de services
Il y a une excuse que vous ne pouvez pas utiliser dans le secteur de l'informatique, c'est le fameux « ce n'était pas de ma faute ».
En effet, vous devez faire preuve de diligence raisonnable sur les outils que vous utilisez et les personnes que vous embauchez. Et bien sûr, même si vous ne pouvez pas prédire l'avenir, et que des erreurs se produisent, vous devez toujours faire tout ce qui est en votre contrôle pour garder ce que vous pouvez, sous contrôle. Pour cela, il est nécessaire d'effectuer des vérifications et des évaluations de sécurité sur tous les fournisseurs de services tiers, vendeurs ou fournisseurs que vous utilisez. Assurez-vous que vos fournisseurs adhèrent à de bonnes pratiques de cybersécurité sécurisées et ne présentent aucun risque supplémentaire pour votre entreprise. Pour savoir comment vous assurer que vos fournisseurs de services sont sécurisés, voici les points clés à retenir :
- Passez en revue leurs politiques, contrôles et certifications de sécurité.
- Vérifiez leur conformité à toutes les exigences de l'industrie ou de la loi (RGPD, HIPAA ou PCI-DSS).
- Cela doit être intégré à votre cycle d'approvisionnement des fournisseurs et à vos listes de contrôle.
Pourquoi les certificats de sécurité des fournisseurs sont-ils importants ? Parce que le chapitre 8 du Règlement général sur la protection des données (RGPD) stipule qu'en cas de violation de données, le responsable du traitement des données (vous) et le sous-traitant ont des responsabilités. En d'autres termes, vous êtes responsable de la conformité du sous-traitant.
Pourquoi le chiffrement des données est-il important ?
Pour protéger les données de votre centre de services contre tout accès non autorisé pendant la transmission et le stockage, vous devez utiliser des méthodes de chiffrement pendant les deux périodes. Pour la transmission, vous devez utiliser des protocoles tels que HTTPS et les réseaux privés virtuels (VPN). Pour le stockage, vous devez chiffrer les données stockées avec un cryptage symétrique (une seule clé secrète est utilisée pour chiffrer les informations) ou un cryptage asymétrique (deux clés distinctes sont utilisées pour les processus de cryptage et de déchiffrement).
Exemples de chiffrement symétrique populaires :- La norme de chiffrement avancée (AES).
- La norme de chiffrement des données (DES).
- L'algorithme Twofish.
- Clés publiques – accessibles au public ou partagées avec des destinataires autorisés.
- Clé privée – requise pour accéder aux données chiffrées par une clé publique.
L'importance du contrôle d'accès et de l'authentification
Pour atténuer le risque que des informations tombent entre de mauvaises mains, tant à l'intérieur qu'à l'extérieur de l'entreprise, vous devriez mettre en place des contrôles d'accès. Les contrôles d'accès sont un ensemble de politiques visant à restreindre l'accès aux informations, aux outils et aux lieux (physiques et numériques). Un bon point de départ est d'appliquer le principe du moindre privilège, c'est-à-dire d'accorder aux utilisateurs les droits d'accès minimaux nécessaires à l'exécution de leurs fonctions, et de les augmenter si nécessaire.
Non seulement les utilisateurs doivent avoir la possibilité d'accéder à l'information, mais ils doivent également confirmer qu'ils sont bien ceux qu'ils prétendent être (autorisation), ce qui est particulièrement important avec l'essor du travail à distance. Parmi les bonnes pratiques en matière d'autorisation, citons l'authentification à deux facteurs ou la confirmation biométrique (empreinte digitale, scan de la rétine ou FaceID d'Apple). Une fois autorisés, les utilisateurs peuvent consulter les données et les programmes auxquels ils ont accès.
La protection des données de votre entreprise ne fait que gagner en importance. Plus vite vous pourrez avoir les bons systèmes et la bonne formation en place, mieux vous vous porterez. Ce faisant, le centre de services fait partie intégrante du succès et de la sécurité de votre entreprise, en particulier avec l'augmentation des cyberattaques. Investissez dans les outils et la formation appropriés pour assurer le bon fonctionnement de votre entreprise.
Si vous avez besoin d'aide pour choisir les bons outils et solutions, organisons un appel gratuit avec les consultants d'EasyVista !
