Un afflux de nouvelles menaces, technologies et modèles d’affaires est apparu dans le domaine de la cybersécurité alors que le monde passait à un modèle de travail à distance en réponse à la pandémie de COVID-19. Le fait que le paysage technologique évolue constamment n’est pas une révélation nouvelle, mais cela a certainement pris une nouvelle dimension au cours de l’année écoulée. Ici, nous analysons le paysage des menaces émergentes qui en a résulté et les tendances en cybersécurité qui présentent le plus de risques en 2021 et au-delà.

1. Les attaques de ransomware sont en hausse

Le ransomware est l’une des menaces les plus courantes pour les données de toute organisation et a continué de croître et d’évoluer en 2021. Les attaques de ransomware accablent les organisations par le vol de données et des pertes économiques en raison des coûts de récupération. En 2020, les attaques de ransomware étaient plus coûteuses qu’une violation moyenne de données, avec un coût moyen de 4,4 millions de dollars.

Alors que de nombreux services informatiques et entreprises s’appuient sur des réseaux privés virtuels (VPN) pour faciliter l’accès à leur réseau d’entreprise, les VPN s’avèrent insuffisants. Le vecteur d’entrée le plus courant pour les ransomwares est le phishing et les organisations devraient réaliser que ces attaques s’intensifient fortement et agir en conséquence.

Cela nous amène à la prochaine tendance, l’Accès réseau Zero Trust. ZTNA est apparu comme une option plus sûre que les VPN pour contrôler l’accès à distance aux données sensibles et réduire la probabilité d’une attaque. Il est prévu qu’en 2023, 60 % des entreprises abandonneront progressivement les VPN pour passer à ZTNA.

2. Les plateformes Zero Trust s’accélèrent rapidement

La pandémie de COVID-19 a accéléré la transition vers les plateformes Zero Trust, car la quasi-totalité de la main-d’œuvre mondiale a été poussée hors d’un périmètre réseau défini. L’approche Zero Trust repose sur quatre principes :

1. Aucun utilisateur ne devrait être digne de confiance par défaut puisqu’il pourrait être compromis

2. Les VPN et les pare-feu ne peuvent pas y parvenir seuls puisqu’ils ne protègent que le périmètre

3. L’authentification des identités et des appareils devrait avoir lieu tout au long du réseau plutôt qu’uniquement au périmètre

4. La micro-segmentation aide à minimiser les dégâts causés par les pirates en créant des murs intérieurs

Les bonnes plateformes Zero Trust intègrent les fonctions de sécurité dans des outils presque invisibles, de sorte que les utilisateurs n’ont d’autre choix que d’opérer de manière plus sécurisée. Dans le modèle Zero Trust, il n’existe pas de source de confiance. Le modèle suppose que des « attaquants potentiels » sont présents à la fois à l’intérieur et à l’extérieur du réseau, ce qui nous amène à notre prochaine tendance – les menaces internes.

3. Les menaces internes continuent de se cacher

Alors que nous continuons à naviguer dans une main-d’œuvre à distance, les menaces internes deviennent un sujet de préoccupation accru. Même s’il est plus facile de croire que toutes les menaces de cybersécurité proviennent de facteurs externes, les organisations ne devraient pas ignorer la réalité — des acteurs malveillants pourraient très bien se cacher au sein même de leur entreprise.

Les menaces internes sont des utilisateurs disposant d’un accès légitime aux actifs de l’entreprise qui utilisent cet accès, de manière malveillante ou involontaire, pour nuire à l’entreprise. Il est important de savoir que les menaces internes ne sont pas nécessairement des employés actuels. Il peut également s’agir d’anciens employés, de prestataires ou de partenaires ayant accès aux systèmes ou aux informations sensibles d’une organisation.

En 2021 et au-delà, les entreprises doivent davantage prendre en considération la possibilité de menaces internes et de vol de données de la part de leurs propres employés. Même si cela peut être difficile à accepter, les faits ne mentent pas — 15 % à 25 % des incidents de violation de la sécurité sont causés par des partenaires commerciaux de confiance. Les menaces internes doivent être prises au sérieux et considérées comme un risque réel par les responsables de la sécurité.

4. L’utilisation de l’authentification multifacteur est une priorité élevée

Bien que les mots de passe FORTS restent une norme pour les meilleures pratiques de cybersécurité, de plus en plus d’entreprises commencent à adopter l’authentification multifacteur (MFA) comme défense supplémentaire contre les violations de données et les cyberattaques. La MFA consiste à utiliser deux facteurs séparés ou plus pour autoriser les utilisateurs à accéder à des données sécurisées, obligeant les personnes à utiliser plus d’un appareil pour confirmer leur identité. Un exemple de MFA en pratique consiste à envoyer un code d’accès à usage unique à deux appareils ou plus (comme votre téléphone portable et votre e-mail personnel).

Les cybercriminels raffolent des mots de passe. Un mot de passe non protégé peut conduire les cybercriminels directement à votre compte bancaire, à vos cartes de crédit ou à vos sites web personnels. À partir de là, ils peuvent vendre vos informations personnelles ou celles de vos employés, accéder à votre argent et compromettre la sécurité numérique globale de votre entreprise.

Pour la plupart des entreprises, les conséquences d’un piratage ou d’une violation ciblée peuvent être dévastatrices. Alors, pourquoi ne pas renforcer rapidement la sécurité de vos comptes en ligne avec l’authentification multifacteur ?

Malheureusement, l’authentification multifacteur n’est pas obligatoire et est souvent perçue comme une nuisance. De ce fait, de nombreuses entreprises renoncent à cette étape de sécurité supplémentaire. Ne vous laissez pas tromper en croyant qu’un mot de passe plus long et plus complexe vous rendra d’une manière ou d’une autre plus en sécurité en ligne. Verity IT recommande fortement l’authentification multifacteur à chacun de ses clients !

5. Former votre personnel devient impératif

De nombreuses entreprises manquent la meilleure occasion numéro 1 de renforcer leurs efforts de protection des données — créer une culture de sensibilisation et de formation à la cybersécurité au sein de l’ensemble de leur personnel. Une menace ne peut être évitée si elle n’est pas reconnue, et doter votre personnel de la capacité à identifier les menaces par lui-même peut réduire considérablement la probabilité d’une violation de données.

La formation à la sensibilisation à la sécurité donne à vos employés les connaissances et compétences nécessaires pour rester cybersécurisés au travail et à la maison. Avec des centaines de ressources de sensibilisation et de formation ainsi que des simulations de phishing, vous disposerez de tout ce qu’il faut pour préparer les employés à détecter, signaler et vaincre la cybercriminalité. La formation continue est, et restera, essentielle à l’avenir et les dirigeants qui inculquent le fait que chaque poste est responsable de la compréhension des risques en cybersécurité connaîtront le plus de succès.

Conseils pour les entreprises

Bon nombre des tendances en cybersécurité que nous avons observées au cours des dernières années ont été accélérées par la COVID-19 et les entreprises doivent prendre ces risques au sérieux. Les organisations qui acceptent le fait que la sécurité n’est plus une option résisteront mieux aux défis de cybersécurité auxquels elles sont désormais confrontées.

Alors que les entreprises continuent de faire face aux nouveaux défis de la cybersécurité en 2021, aborder leurs stratégies de sécurité avec un sentiment d’urgence distinguera celles qui sont équipées pour réduire le risque global de celles qui resteront vulnérables aux attaques croissantes auxquelles nous faisons face aujourd’hui. Étant donné que les menaces de sécurité peuvent provenir à la fois de l’intérieur et de l’extérieur du réseau, la cybersécurité et la conformité figurent en tête de la liste des principales préoccupations et défis des entreprises de tous. Contactez Verity IT pour renforcer dès aujourd’hui votre posture de sécurité !