Par David Grout, chief technical officer pour la zone EMEA de FireEye
Les consultants de FireEye Mandiant ont été invités à décrire les voies d’accès inattendues que des cybercriminels peuvent exploiter en s’attaquant au réseau de contacts d’une entreprise. Ils ont délivré un ensemble d’informations sur la nature de ces risques et sur les mesures que les organisations peuvent prendre pour s’en prémunir. Les conclusions et analyses ont été compilées dans un eBook, Cyber risk in business relationships : how every business expands unseen risks, d’ores et déjà disponible. En voici les principales.
Les criminels s’intéressent aux contacts de tous types : l’expansion d’un réseau de contacts accroît mécaniquement la surface d’attaque. Les contacts à tous les niveaux, des partenaires commerciaux aux distributeurs et des employés aux clients, accroissent le risque potentiel d’une intrusion. En conséquence, des protections de cyber-sécurité sont nécessaires pour gérer cette catégorie de risques.
Reconnaître les risques par association : les relations d’affaires sont autant de potentielles voies d’accès pour des cybercriminels. Une entreprise peut être une cible beaucoup plus intéressante qu’anticipé uniquement parce qu’elle offre une voie d’accès plus facile à certains de ses clients et partenaires. Les plus grandes organisations étant supposées avoir mis en place des systèmes de sécurité plus sophistiqués, des acteurs malveillants infiltrent leurs partenaires pour y avoir accès par leur intermédiaire.
Les fournisseurs de services introduisent un nouvel ensemble de risques : le modèle « as a service » accélère l’adoption de nouvelles technologies et le processus de transformation digitale des entreprises, mais il introduit aussi de nouvelles vulnérabilités. Toutes les entreprises sont exposées à des risques induits par leurs fournisseurs de services, fournisseurs de cloud ou autres. Pour protéger leurs opérations et leurs actifs, elles doivent donc contrôler leurs connexions avec chaque fournisseur de service, et leur infrastructure de sécurité comme leur gestion des risques doivent être renforcés en conséquence.
Les responsabilités des entreprises s’étendent à leurs relations avec leurs partenaires : lorsqu’une intrusion se produit, les responsabilités ne sont pas limitées à une seule organisation. Ses dirigeants doivent faire tout leur possible pour protéger non seulement leur propre entreprise, mais aussi ses partenaires. En réponse à une cyberattaque, tous les efforts doivent être entrepris pour contenir, contrôler, rapporter et résoudre l’incident. Et il est important de réaliser qu’une entreprise peut être tenue pour financièrement responsable de pertes subies par d’autres qui ont été exposés à des risques en raison de leur connexion avec l’entreprise attaquée. Une partie des coûts induits par le cyber-crime est liée aux obligations que les entreprises ont vis-à-vis de leurs connexions.
Vos propres employés vous mettent en danger : dans une organisation, ce sont les employés qui représentent le plus grand facteur de risque. Le rythme accéléré des affaires, nos méthodes de travail et la pléthore de distractions auxquelles nous sommes exposés dans notre vie de tous les jours conspirent tous à nous rendre vulnérables. Nous faisons des erreurs, nous sommes dans l’urgence, nous ouvrons des e-mails, cliquons sur des liens et téléchargeons des pièces jointes sans arrière-pensées. Et ce faisant, nous mettons nos entreprises en danger.
Autant de raisons pour lesquelles les organisations ont besoin de nouvelles compétences en matière de sécurité pour les aider à sécuriser leurs activités.