Rapport Security 360 : une introduction

Les pratiques de sécurité évoluent sans cesse. De nouvelles technologies sont régulièrement introduites pour aider les administrateurs à mieux lutter contre les menaces qui pèsent sur la sécurité des données stratégiques et des terminaux, mais aussi sur les utilisateurs et leur vie privée.

Mais la sécurité des terminaux n'est pas la seule à se perfectionner dans la lutte pour la sécurité des données. Les acteurs malveillants renforcent leurs outils et leurs processus pour échapper à la détection. Ils emploient de nouvelles tactiques pour cibler leurs victimes et compromettre la posture de sécurité des appareils et des réseaux d'entreprise.

Sans plus de formalités, plongeons dans les tendances qui domineront – et dominent déjà – l'année 2023.

Ingénierie sociale

C'est la principale menace, en grande partie en raison de la facilité relative avec laquelle les acteurs malveillants peuvent mener ce type de campagnes. En raison de leur faible coût, les menaces liées à l'ingénierie sociale offrent un rendement maximal par rapport à l'effort généralement minime qu'elles exigent.

Phishing traditionnel par e-mail, envoi massif de SMS d'hameçonnage (smishing) ou, plus récemment, utilisation des réseaux sociaux qui favorisent l'anonymat et les réponses courtes : soyez vigilant, car les attaques d'ingénierie sociale peuvent être conçues pour cibler à peu près n'importe quel type de victime et recueillir un large éventail de données.

« En 2022, 31 % des organisations ont eu au moins une victime de phishing parmi leurs rangs, » selon Jamf. Et ce n'est pas surprenant : on reçoit couramment des messages, des appels ou des e-mails provenant de sources inconnues qui peuvent facilement usurper l'identité d'une personne ou d'une entreprise. L'utilisateur moyen dispose de peu de moyens de vérifier l'identité d'un escroc potentiel, et le taux de réussite élevé des attaques par ingénierie sociale continue de convaincre les attaquants de leur rentabilité. Les outils de sécurité les plus sophistiqués du monde sont inutiles face aux menaces quand ce sont les utilisateurs eux-mêmes qui transmettent volontairement des mots de passe et des données sensibles. Dans ce contexte, la sensibilisation continue des utilisateurs aux menaces en général et à celles qui touchent particulièrement votre secteur en particulier, constitue souvent la meilleure défense contre les attaques d'ingénierie sociale.

Confidentialité des utilisateurs

Les utilisateurs s'intéressent de plus en plus à la confidentialité de leurs données privées, qui sont également de plus en plus ciblées par les acteurs malveillants. Les métadonnées, notamment, souvent générées par l'utilisation d'applications et des nombreux capteurs et composants intégrés aux appareils mobiles, sont particulièrement recherchées.

Pourquoi ?this Parce que les acteurs malveillants savent les exploiter des fins personnelles et financières. Ils savent les utiliser pour mener campagnes d'ingénierie sociale sophistiquées ayant un objectif secondaire. Et on sait que certains malfaiteurs n'hésitent pas à extorquer leurs victimes en menaçant de divulguer des données confidentielles susceptibles de nuire à leur réputation, leur emploi ou leur position dans l'opinion publique. Certains groupes, soutenus par des États-nations, sont connus pour injecter du code malveillant dans des applications afin d'espionner les dissidents, les lanceurs d'alerte et, plus généralement, toute personne considérée comme une menace pour le gouvernement.

Les données privées d'un utilisateur sont plus souvent un moyen dans l'élaboration de l'attaque que sa finalité. Et pour s'en protéger, la meilleure défense reste la vigilance : l'utilisateur doit activement surveiller les autorisations qu'il accorde aux applications et les composants auxquels elles ont accès. Par exemple, il est logique d'autoriser une application de cartographie à accéder au GPS de votre smartphone si vous utilisez régulièrement ses fonctionnalités de localisation. Mais pourquoi une application de messagerie tierce en aurait-elle besoin ? Le GPS n'est pas vraiment indispensable pour échanger des messages avec vos contacts.

De nouvelles menaces

Les attaques basées sur des logiciels malveillants sont en recul par rapport à l'année précédente. Mais ne nous réjouissons pas trop vite : les attaquants continuent, eux aussi, d'affûter leurs outils et leurs compétences. On voit ainsi apparaître des attaques convergentes qui combinent plusieurs vecteurs pour développer des types menaces parfois totalement inédits.

Rappelons également que les environnements de travail ont évolué et que les organisations modifient leurs pratiques. Le télétravail, les environnements hybrides et le BYOD (utilisation des appareils personnels au travail) sont autant de catalyseurs pour l'émergence de nouvelles formes d'attaques visant à isoler les utilisateurs et à dérober des données.

D'après les données de Jamf Threat Labs, « inAu cours d’un même mois de 2022, 53 % des appareils compromis avaient accédé à des outils de conférence, tandis que 35 % avaient pu se connecter à la messagerie d’entreprise, 12 % à un CRM et 9 % à des services de stockage dans le cloud. » Ces chiffres et la multiplication des attaques sophistiquées observées nous disent une chose : les attaques peuvent prendre plus d’une forme, s’étendent sur des périodes variables et passent souvent inaperçues. C'est indéniable, les attaques convergentes sont d'autant plus difficiles à repousser qu'elles sont quasiment impossibles à anticiper. Pour autant, combiner certaines pratiques dans le cadre d'une stratégie de sécurité de défense en profondeur peut offrir une excellente protection contre les nouvelles menaces.

Il s'agit d'associer :

• la surveillance active des terminaux
• la protection des terminaux
• une gestion fondée sur des règles
• l'échange sécurisé de la télémétrie entre les solutions
• la gestion des correctifs
• l'utilisation du machine learning (ML) pour l'analyse comportementale
• l'automatisation des workflows de réponse aux incidents

Conformité

En collectant des données pour produire Security 360 : Rapport annuel sur les tendances, Jamf a découvert que « inEn 2022, 21 % des employés utilisaient des appareils mal configurés et donc à risque. ». Ce chiffre n'a rien d'anodin : il signifie que, potentiellement, un peu plus d'un cinquième des employés d'une organisation utilise des appareils personnels ou professionnels non conformes.

Si une menace atteint l'un de ces appareils et exploite ses vulnérabilités, l'ampleur de la violation potentielle est incalculable. Il ne s'agit pas d'instiller la peur, l'incertitude ou le doute, mais plutôt d'aborder, avec le sérieux qu'elle exige, la question de la gouvernance réglementaire et des conséquences juridiques potentielles de la non-conformité des terminaux.

L'inventaire des sanctions auxquelles s'expose votre organisation selon les violations des différentes réglementations qui régissent votre secteur dépasse le cadre de cet article ou du rapport Security 360. Cela dit, il n'en demeure pas moins que les gouvernements imposent aux organisations de se conformer à leurs lois pour conserver le droit d'exercer. Elles sont régulièrement soumises à des audits qui contrôlent que leurs processus métier et leurs catégories de données protégées sont traités conformément à la réglementation.

La charge de la preuve incombe à l'organisation qui doit démontrer qu'elle est conforme de bout en bout. Dans cette optique, la conformité n'est pas un aspect isolé revenant uniquement au responsable de la conformité ou au spécialiste de l'évaluation des risques. La conformité fait partie intégrante de la pile de sécurité, et tout comme la protection de la vie privée des utilisateurs, elle est un pilier de la posture de sécurité globale de l'organisation. Elle doit donc être traitée comme telle lors de la planification, des tests et du déploiement des contrôles de sécurité, et dans tout ce qui touche aux processus, aux équipes, aux applications, aux services et aux workflows qui ont un impact sur les données réglementées.

Télétravail et environnements hybrides

Dans de nombreux secteurs, le travail à distance et les pratiques hybrides sont aujourd'hui aussi courantes que l'utilisation de l'e-mail dans les communications d'entreprise. Les technologies ont joué un rôle clé dans cette évolution, en comblant le vide laissé par l'érosion du périmètre du réseau lorsque les organisations ont opté pour le télétravail.

Des années après le début de l'exode vers le travail à domicile, certaines organisations n'ont pas encore trouvé la bonne combinaison de solutions et de règles pour combler les lacunes qui subsistent dans leur posture de sécurité.

À ce sujet, l'équipe de Jamf Threat Labs a constaté que « 1 appareil sur 5 utilise un système d'exploitation qui n'est pas à jour ». Et il n'est pas possible d'identifier la cause de ce phénomène car elle varie d'une entreprise à l'autre, tout comme elles ont chacune leurs besoins spécifiques. Une chose est sûre : cela confirme une fois de plus que vous devez impérativement avoir de la visibilité sur votre flotte d'appareils et comprendre clairement comment chaque aspect de la posture de sécurité s'articule avec l'infrastructure de l'organisation. Si votre organisation fait partie d'un secteur hautement réglementé, comme la finance ou la santé, la visibilité est un élément essentiel pour atteindre et maintenir la conformité.

Outre la visibilité, voici une sélection de mesures à prendre pour sécuriser les appareils mobiles dans les environnements à distance et hybrides :

• Intégration des outils de gestion et de sécurité
• Automatisation des processus et des workflows
• Journalisation décentralisée et renseignements sur les menaces
• Pratiques d’évaluation des risques pour identifier les actifs et les menaces