Tirer parti du Web clandestin pour battre les pirates à leur propre jeu?
Si les 10 dernières années, voire plus, sont garantes de l’avenir, il est quasiment certain que les cyberattaques, en 2024, atteindront des sommets d’agressivité et d’audace. La pandémie reste l’une des causes majeures de cette envolée, car les organisations sont plus nombreuses que jamais à fonctionner en télétravail – complet ou partiel – et à recourir aux technologies en nuage.
Les fournisseurs de services infonuagiques sont une cible alléchante pour les pirates, car leur modèle d’affaires entier dépend de serveurs fonctionnels. Même s’ils refusaient de payer une rançon, l’attaque pourrait dévoiler une faille donnant accès à des milliers de clients peut-être plus enclins à le faire.
Le travail à distance donne à un employé mal intentionné une occasion de mettre en branle lui-même une attaque, ou du moins de faciliter le travail d’un pirate. Ces attaques sont devenues plus courantes depuis 2020, et les organisations doivent se préparer au pire, parce que les fraudeurs trouvent toujours de nouvelles façons de recruter et de former des initiés, soit par l’appât du gain, soit par la contrainte (extorsions, etc.).
D’autres initiatives de transformation peuvent aussi accroître les risques de piratage. Bien des organisations ont rapidement adopté des plateformes et outils numériques sans correctement évaluer les risques qui y sont associés ni actualiser leurs politiques et procédures comme il se doit. Chaque nouvel appareil ou logiciel vient avec ses risques. Dans l’année qui vient, il y aura lieu de se pencher sérieusement sur l’utilisation non réglementée des outils d’intelligence artificielle comme ChatGPT, vu leur haut potentiel de méfait et les risques de fuite de renseignements confidentiels ou personnels qu’ils génèrent.
L’invasion de l’Ukraine en 2022 a aussi accru les tensions entre la Russie et nombre de pays développés, en plus de soulever des questions sur les intentions de la Chine envers Taïwan. Au minimum, cette conjoncture devrait mener les entreprises à se soucier davantage du piratage commandité par l’État, car la Russie et la Chine pourraient vouloir améliorer leur sort et établir leur supériorité dans le cyberespace. La vigilance est particulièrement de mise pour le secteur public, les grandes infrastructures (énergie, services publics, hydrocarbures, etc.), les organisations pesant très lourd sur le PNB et celles qui collectent et stockent de grandes quantités de données personnelles ou privées.
Enfin, les organisations doivent envisager la possibilité qu’elles sont actuellement, ou qu’elles ont déjà été, la proie d’une attaque à leur insu. Les pirates n’ont pas besoin de chambouler les processus ordinaires de celles qu’ils ciblent pour leur voler des données sensibles, comme des identifiants ou les renseignements personnels de leurs employés ou clients, et les revendre sur le Web clandestin. Heureusement, il est désormais possible de battre les pirates à leur propre jeu à l’aide d’un service capable de balayer le Web clandestin et de déterminer quel sera leur prochain coup.
Risques connexes
- Menace de l’intérieur entraînant des cyberrisques ou une fuite de données
- Attaque par rançongiciel
- Piratage psychologique par hypertrucage
- Faiblesse de la gouvernance des technologies opérationnelles
- Cybervulnérabilités causées par l’Internet des objets
- Risques pour l’infrastructure critique
- Relâchement des mesures de contrôle avec le passage au travail en mode hybride
- Fuite de données confidentielles
- Risques pour la chaîne d’approvisionnement
- Non-conformité
Questions importantes à vous poser
- Qu’avez-vous fait pour vous assurer que les prestataires de services infonuagiques disposaient de pratiques et de mesures de contrôle capables d’anticiper les cyberrisques, d’y réagir et de les atténuer?
- La fréquence et l’intensité des cyberattaques contre votre organisation sont-elles en hausse, et connaissez-vous les (nouveaux) vecteurs ou la (nouvelle) nature de ces attaques? Quels gestes votre organisation a-t-elle posés pour atténuer les risques d’attaque et leurs conséquences?
- Vérifiez-vous les antécédents de chaque nouvel employé ayant accès à des données confidentielles ou privées?
- Avez-vous un logiciel capable de détecter et d’informer les supérieurs hiérarchiques de toute consultation ou tentative de distribution hors de votre organisation de données confidentielles ou privées?
- Savez-vous à quelle fréquence des données confidentielles ou privées sont expédiées par courriel à une adresse privée?
- Avez-vous trouvé un rançongiciel sur un de vos serveurs ou lecteurs? Si oui, y a-t-il eu analyse des causes profondes pour déterminer qui l’avait sauvegardé à cet endroit et quand?
- Avez-vous déjà eu recours à un balayage du Web clandestin pour savoir ce que les pirates disaient de votre organisation?
- Avez-vous eu assez de formations et d’exercices de table avec la direction pour vous entendre sur la façon de réagir et de répondre à une attaque par rançongiciel?
Signaux d’alerte
- Aucune formation sur la cybersécurité offerte au personnel
- Personnel encore nombreux à cliquer sur de faux liens d’hameçonnage proposés par un programme maison dans le cadre de tests de cybervigilance
- Aucune démarche mise de l’avant par l’équipe des TI pour obtenir une garantie sur les mesures de sécurité appliquées par le prestataire de services infonuagiques de l’organisation
- Aucun audit de cybersécurité mené par l’équipe d’audit interne depuis longtemps
- Balayage du Web clandestin ayant révélé que des pirates commentent votre organisation ou vendent les données qu’ils vous ont volées
Audits internes à considérer
- Audit des politiques et procédures de sécurité de l’information
- Il vérifie que les politiques et procédures de sécurité de l’information sont complètes, à jour et conformes aux meilleures pratiques dans le secteur.
- Audit des contrôles des accès
- Il examine si les contrôles des accès protègent efficacement les informations sensibles et les systèmes contre les intrusions.
- Audit de la sécurité des réseaux
- Il analyse l’infrastructure réseau de l’organisation à la recherche de possibles failles de sécurité et, le cas échéant, détermine les moyens pour rectifier la situation.
- Audit de vulnérabilité et des tests d’intrusion
- Il examine les résultats des évaluations de sécurité et des tests d’intrusion menés sur les systèmes et les applications de l’organisation pour trouver et corriger de possibles vulnérabilités.
- Audit de l’administration des correctifs de sécurité
- Il évalue les processus organisationnels de reconnaissance, de test et d’application des correctifs de sécurité pour colmater des brèches connues.
- Audit des mesures de protection et de chiffrement des données
- Il évalue les mesures de protection de données de l’organisation, dont le chiffrement, pour s’assurer que rien n’est mis à risque.
- Audit de préparation en cas d’incident
- Il évalue le degré de préparation de l’organisation en vue de bien gérer les incidents de cybersécurité, et veille à l’existence d’un plan d’intervention en cas d’urgence et d’une formation connexe à l’intention du personnel.
- Audit des formations en cybersécurité
- Il vérifie l’efficacité des formations en cybersécurité dispensées au personnel pour réduire le poids du facteur humain dans les incidents de sécurité.
- Audit de sécurité matérielle
- Il examine les mesures de sécurité en place pour protéger l’infrastructure matérielle critique, les centres de données et autres lieux importants.
- Audit de sécurité des terminaux
- Il évalue les mesures en place pour sécuriser les terminaux (ordinateurs portables ou de bureaux, appareils mobiles, etc.) contre les logiciels malveillants et les intrusions.
- Audit de sauvegarde des données et de reprise après sinistre
- Il s’assure que des copies de sauvegarde des données sont faites régulièrement, que les modalités de restauration des données fonctionnent et que des plans de récupération des systèmes et données critiques sont en place en cas d’incident de cybersécurité ou de catastrophe naturelle.
- Audit de gestion des identités et des accès (IAM)
- Il examine les processus et technologies d’IAM de l’organisation pour s’assurer que les accès sont correctement gérés et surveillés.
- Audit de sécurité des fournisseurs
- Il évalue les pratiques de sécurité des fournisseurs ou prestataires de services tiers ayant accès aux systèmes ou aux données de l’organisation.
- Audit de conformité réglementaire
- Il vérifie si l’organisation respecte les lois, règlements et normes de cybersécurité qui la concernent.
- Audit de gouvernance de la cybersécurité
- Il se penche sur l’efficacité de la structure de gouvernance de la cybersécurité et les mécanismes de supervision au sein de l’organisation.