Le paysage des cybermenaces a toujours été inquiétant, mais les événements mondiaux récents ont entraîné une augmentation des cyberattaques de la part des États-nations et d'autres acteurs malveillants. Les cybermenaces impactant la France, le risque reste élevé pour de nombreux particuliers et entreprises à travers le pays. C'est la raison pour laquelle l'ANSSI a listé les failles et fait part de ses recommandations, pour que chacun puisse rester en sécurité et éviter les cyberattaques.
En France, dans son « Plan de résilience destiné aux entreprises suite à l’agression de l’Ukraine par la Russie », le gouvernement invite les salariés à suivre quelques règles d’hygiène informatique. Outre Atlantique, le gouvernement américain et le président ont également publié une fiche d’information dont le premier point exhorte les entreprises à « rendre obligatoire l’utilisation de l’authentification multifacteurs (MFA) dans leurs systèmes afin de compliquer l’accès des attaquants à ces derniers ». Plus précisément, la fiche conseille de mettre en oeuvre une MFA résistante au phishing dans le cadre du déploiement de l'architecture Zero Trust et de la sécurité de la chaîne d'approvisionnement logicielle.
Protection contre les attaques de cybersécurité avec une MFA résistante au phishing
Qu’est-ce qui distingue exactement une MFA résistante au phishing ? Il existe une certaine confusion autour de cette notion. Si la résistance face au phishing fait l’objet de nombreuses interprétations, tous les systèmes d’authentification multifacteurs ne sont pas égaux. La MFA résistante au phishing fait référence à un processus d'authentification à même de protéger les utilisateurs des attaquants interceptant, ou même les incitant, à révéler des informations d'accès. Les implémentations MFA couramment utilisées - comme les mots de passe, les SMS, les mots de passe à usage unique (OTP), les questions de sécurité et les notifications push mobiles - ne sont ainsi pas résistantes au phishing car elles sont toutes sensibles à l'un ou aux deux types d'attaques susmentionnés. De plus, le processus exige toujours que chaque partie fournisse la preuve de sa validité et de son intention d'initier.
Un plan de protection contre les attaques de cybersécurité
Dans un premier temps, il est important de constituer une équipe de planification qui sera chargée de réaliser un audit complet, avec la priorité à l’accès aux données sensibles. Dresser un bilan complet de vos données, logiciels et contrôles – ainsi que de tous les contractants ou tiers qui ont accès à son réseau est primordial. Cette tâche peut s’avérer colossale. Il faut donc se concentrer sur les systèmes clés et les points d’accès. En associant les membres de l’équipe qui conviennent le mieux à la tâche, il est possible d’identifier rapidement les systèmes prioritaires et les risques afin de les traiter dans les meilleurs délais. Une fois que les systèmes prioritaires ont été identifiés, il est important de ne pas relâcher l’effort. Les attaquants utilisent souvent les systèmes négligés et peu prioritaires pour s’implanter dans une organisation. L’audit et la recherche de systèmes non conformes doivent faire l’objet d’un effort continu.
Dans un second temps, vient l’élaboration d’un un plan de sécurité durable qui exclut les solutions de fortune et qui s’inscrit dans l’ADN de l’entreprise. Afin d’éviter de devoir éteindre les incendies les uns après les autres, les organisations doivent faire de la sécurité une priorité à tous les niveaux. La MFA moderne résistante au phishing peut être déployée rapidement dans certains cas, tandis que dans d’autres, elle nécessitera plus d’efforts. En se dotant d’un plan approuvé qui propose une approche cohérente de l’authentification multifacteurs, les entreprises amélioreront et accéléreront les processus de déploiement. En alignant leur stratégie d’authentification sur des normes résistantes au phishing, telles que PIV et FIDO, qui sont compatibles avec de nombreux fournisseurs de gestion des accès aux identités (IAM), de systèmes d’exploitation et de navigateurs, elles seront en mesure de maîtriser au mieux le risque de sécurité et de garantir un déploiement rapide.
Ensuite, il faut intégrer les demandes de financement dans les futurs cycles budgétaires. La dure réalité est la suivante : l’amélioration de la sécurité exige des ressources, et la direction doit donner son consentement pour allouer les fonds nécessaires. La sécurité ne constitue pas un investissement ponctuel, mais doit être considérée comme un élément standard du budget destiné à protéger l’entreprise. La mise en place d’un plan pérenne permettra d’obtenir l’adhésion de la direction, qui pourra ainsi mieux cerner la manière dont le plan protégera l’entreprise. Un plan de sécurité bien conçu peut procurer des avantages tangibles qu’il convient de souligner. En plus d'atténuer le risque, il permet de réduire les coûts d’audit et la dette technique qui peuvent entraver les opérations. Si la direction est consciente de la valeur que revêt le programme pour l’ensemble de l’entreprise, il sera plus facile de faire approuver le budget. Les attaquants n’attendent pas les cycles budgétaires annuels pour agir. Cette situation pourrait dès lors nécessiter des fonds supplémentaires. Le soutien de membres essentiels de la direction, tels que le Directeur des risques, peut contribuer à l’obtention de fonds imprévus.
L’urgence de se prémunir contre les attaques de cybersécurité
Quand le président parle, les citoyens l’écoutent. La question n’est donc plus de se demander si l’authentification multifacteurs résistante au phishing va s’imposer à l’ensemble des entreprises, mais plutôt combien de temps il faudra pour qu’elle soit pleinement adoptée et quels secteurs y parviendront le plus rapidement. Aujourd’hui, il existe plusieurs mesures phares qui permettent de répondre à cette urgence.
Sensibiliser le personnel à la déclaration du président ainsi qu’aux recommandations de l’ANSSI concernant la nécessité de se préparer à un environnement caractérisé par des menaces accrues en matière de cybersécurité est essentiel. Les entreprises ont en effet tout intérêt à présenter ces annonces de manière positive, dans une perspective d’anticipation. L’objectif est en effet de communiquer sur le fait que l’organisation s’inscrit dans une tendance nationale visant à améliorer la sécurité. En outre, il est important de voir sur le long terme et de se montrer clair quant aux mesures que l’organisation elle-même prendra au cours de l’année suivante – en déterminant notamment la composition de l’équipe de planification et ses objectifs. En faisant preuve de transparence, les personnes réfractaires au changement peuvent se faire à l’idée que leurs habitudes vont évoluer dans une certaine mesure.
Enfin, l’utilisation d’un langage inclusif au moment d’évoquer l’initiative est importante. L’équipe IT n’est pas la seule à devoir se soucier de cette question. Au contraire, l’ensemble de l’organisation doit se mobiliser pour répondre à l’appel à l’action – le pronom « nous » s’applique ici. Les entreprises peuvent utiliser cette opportunité comme vecteur d’apprentissage, en demandant aux collaborateurs de suivre une formation sur la prévention des attaques par phishing et sur les meilleures pratiques de sécurité à adopter sur le lieu de travail.
L’urgence qui se dégage des recommandations du gouvernement et de l’ANSSI illustre ce que nous ressentons tous en ce moment : nous vivons une époque qui évolue rapidement et qui peut se révéler imprévisible. En accordant la priorité à la protection contre les attaques de cybersécurité, y compris à l’authentification multifacteurs résistante au phishing, les entreprises seront mieux préparées à affronter les menaces de cybersécurité d’aujourd’hui et de demain.