Mois de la sensibilisation aux risques de cybersécurité : Quatre conseils pour naviguer en ligne en toute sécurité

La plupart des plateformes de messagerie électronique et de textos détectent désormais les tentatives de phishing et vous permettent souvent de signaler l’attaque directement depuis l’application. Veillez aussi à ce que vos collaborateurs informent votre équipe de cybersécurité dès qu’ils suspectent une tentative de phishing, afin qu’elle puisse surveiller activement les menaces potentielles.

Pour aggraver le problème de l’hameçonnage, de nombreux cybercriminels utilisent l’IA pour concevoir et mener ces attaques. Avec la progression rapide de leur sophistication, toutes les protections anti-hameçonnage ne sont malheureusement pas infaillibles, et certaines attaques réussissent à contourner votre sécurité web actuelle. Si un e-mail d’hameçonnage arrive dans la boîte de réception d’un utilisateur, il contient probablement des liens vers des pages web ou des fichiers chiffrés. Dès que l’utilisateur clique pour accéder à ces pages ou fichiers, votre organisation entre officiellement en période de risque.

La plupart des liens web sont désormais chiffrés, et les menaces dissimulées dans ce trafic peuvent être terrifiantes. Vous devez d’abord pouvoir analyser ce trafic pour mieux le contrer. En déchiffrant massivement le trafic chiffré dès son arrivée dans votre environnement, puis en le dirigeant et orchestrant selon un parcours personnalisé via vos contrôles de sécurité existants, vous découvrez les menaces sophistiquées avant qu’elles n’impactent votre réseau et vos utilisateurs

Les équipes technologiques et de sécurité forment une défense solide, mais vos collaborateurs restent votre dernier rempart si ces protections échouent. Equipez-les de trois consignes simples :

• Déjouez le piège. Formez vos collaborateurs à garder un oeil critique face à toute demande urgente, notamment les appels émotionnels qui brandissent des conséquences redoutables et sollicitent des informations professionnelles, personnelles ou financières. Ou à ces e-mails insistants de dernière minute signés par le PDG — qui n’écrit jamais directement aux employés — pour réclamer les coordonnées bancaires de l’entreprise, un numéro de carte de crédit ou pour transférer les fonds de l’entreprise vers un compte inconnu. Les fautes d’orthographe et une grammaire maladroite étaient autrefois des indices évidents d’une attaque par hameçonnage potentielle. Mais les outils d’écriture générative d’IA sont désormais accessibles à tous, y compris aux cybercriminels, qui s’en servent pour corriger et lisser toutes imperfections dans leurs tentatives.
• Ne mordez pas à l’hameçon. Formez vos utilisateurs à ne cliquer sur aucun lien ni pièce jointe issus d’une tentative de phishing suspectée. Si votre organisation ou vos collaborateurs utilisent des accusés de réception sur vos plateformes professionnelles de messagerie ou de SMS, incitez-les à ne pas ouvrir une communication frauduleuse directement depuis l’aperçu. Une simple notification de lecture fournit aux cybercriminels un retour sur les tactiques qui ont suffi à susciter une ouverture, même si cela n’a pas provoqué de compromission. Mais si un utilisateur clique sur un lien ou une pièce jointe fort probablement chiffrée, la F5 Application Delivery and Security Platform (ADSP) intervient efficacement. Son F5 BIG-IP SSL Orchestrator déchiffre en masse le trafic chiffré entrant, le gère selon des politiques personnalisées et contextuelles, puis le dirige via des chaînes de services dynamiques vers les bonnes solutions de sécurité de votre environnement pour neutraliser la tentative de phishing immédiatement.
• Supprimez plutôt que de demander. Après avoir formé vos utilisateurs à signaler les attaques par hameçonnage par email ou application de messagerie à vos équipes de sécurité, rappelez-leur aussi de supprimer le message. Beaucoup de ces attaques comportent aujourd’hui des boutons « se désabonner » qui ne sont en réalité que des pièges. Il est naturel de vouloir se désinscrire quand cette option est proposée, mais vos utilisateurs doivent comprendre que le bouton supprimer est souvent leur meilleur allié.

Un mot de passe solide évolue constamment, surtout avec la puissance croissante des ordinateurs et de l’IA pour générer des attaques par force brute et repérer des schémas pour anticiper les mots de passe. Les recommandations actuelles de la CISA pour des mots de passe robustes sont :

• 16 caractères minimum
• Totalement aléatoire
• Unique

Pour gérer les dizaines, voire les centaines de comptes et d’applications nécessitant un mot de passe aujourd’hui, nous vous recommandons d’utiliser un gestionnaire de mots de passe. La plupart des navigateurs et systèmes d’exploitation intègrent désormais des gestionnaires de mots de passe capables de créer des mots de passe robustes et de les sauvegarder. Nous vous conseillons de rendre leur utilisation obligatoire au sein de votre organisation.

Demander une vérification par plusieurs méthodes avant d’accorder l’accès constitue un niveau de sécurité supérieur à un mot de passe robuste. L’authentification multifacteur (MFA) peut consister à entrer un code reçu par SMS ou e-mail, à utiliser une application d’authentification générant régulièrement de nouveaux codes aléatoires à saisir pour se connecter, ou à fournir des données biométriques comme la reconnaissance faciale ou les empreintes digitales. Nous recommandons au minimum une authentification à deux facteurs pour votre organisation, mais une authentification à trois facteurs est encore plus sûre.

La MFA ne constitue qu’un élément parmi d’autres pour instaurer un cadre de sécurité zero trust où aucun utilisateur ni appareil ne bénéficie de confiance implicite, peu importe sa localisation. Cette architecture zero trust doit dépasser la simple validation de l’identité utilisateur pour intégrer le contexte d’accès de chaque utilisateur à toutes les API et applications. Cependant, établir une architecture zero trust demande bien plus que de sécuriser l’accès. Nous devons adopter une approche en plusieurs couches pour protéger les applications web, les API, les données, et plus encore — en combinant les pare-feu applicatifs web (WAF), les solutions d’atténuation des attaques par déni de service distribué (DDoS), les stratégies de défense contre les bots, la découverte et la sécurisation des API, la protection contre les menaces chiffrées, la sécurisation par l’IA et l’usage de l’IA pour inspecter chaque requête, appliquer vos politiques de sécurité et contrer les menaces dans votre environnement hybride multicloud, peu importe où résident vos applications, API, données, et plus encore.

Chaque éditeur d’application et d’API publie régulièrement des mises à jour et des correctifs de sécurité qu’il convient d’appliquer sans délai. Pourtant, le support logiciel et applicatif varie fortement selon l’éditeur. Vous devrez probablement composer avec un délai entre l’identification d’une menace et la sortie d’un correctif. Que faire des vulnérabilités inconnues, dont vous ignorez l’existence, et qui peuvent — et vont — se transformer en attaques zero day ? Avec une vulnérabilité critique qui surgit toutes les neuf heures, soyez certain que les attaquants les exploitent sans tarder. Comment une entreprise doit-elle agir entre la découverte d’une vulnérabilité critique et la diffusion du correctif par le fournisseur ?

Un WAF solide et le concept de correctif virtuel vous permettent de colmater les failles en attendant que le fournisseur publie un patch de sécurité. Un WAF se place entre Internet et vos applications web, surveillant et bloquant le trafic malveillant.  Quand une vulnérabilité survient dans une application web, votre WAF offre une première ligne de défense. La méthode la plus rapide pour contrer une exploitation consiste à appliquer un « correctif virtuel » via votre WAF en attendant une correction au niveau du code. Ce correctif virtuel n’est pas une solution définitive ; il s’agit d’une règle imposée par votre WAF pour bloquer l’exploitation de la vulnérabilité. Même s’il ne met pas à jour le logiciel, ce correctif virtuel joue un rôle clé pour protéger vos utilisateurs, vos données et sécuriser votre entreprise contre les exploits connus.

Une autre excellente pratique pour maintenir vos logiciels à jour consiste à scanner régulièrement les vulnérabilités connues des applications web et des logiciels. Les analyses doivent porter sur les API utilisées ainsi que sur les vulnérabilités et expositions communes (CVE) des logiciels pour vous aider à évaluer et réduire votre risque potentiel. Effectuer régulièrement des tests de pénétration automatisés vous permet aussi de déceler les faiblesses applicatives ou les logiciels obsolètes avant qu’ils ne soient exploités.