Nouveaux risques cybernétiques aux États-Unis et au Royaume-Uni
La gestion des cyberrisques a pris une importance considérable au cours des deux dernières années, les entreprises ayant surmonté les défis opérationnels de la pandémie, opté pour le travail hybride et s'étant préparées aux retombées possibles d'événements géopolitiques importants et aux cyberrisques émergents.
Complétez votre lecture avec notre épisode Tendances en matière de cybersécurité en 2022 du podcast The RegTech Report. Écoutez l'épisode complet pour avoir une vue d'ensemble sur la mise en place d'un puissant programme de gestion des cyberrisques, l'impact des règles proposées par la SEC sur la stratégie en matière de cyberrisques, la gouvernance et la divulgation des incidents par les entreprises publiques aux États-Unis, les lacunes les plus courantes dans les cadres de cybersécurité, les cyberrisques émergents et bien d'autres choses encore.
Les gouvernements ont beaucoup investi dans la mise en place d'organisations qui surveillent les menaces et fournissent des conseils pratiques aux entreprises et aux organisations, afin de les aider à se préparer aux cyberattaques, à élaborer de solides programmes de gestion des cyberrisques et à assurer leur résilience.
Des organisations telles que l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) et le Centre national de cybersécurité du Royaume-Uni (NCSC) publient régulièrement des rapports sur l'état de préparation général des entreprises face aux cyberattaques aux États-Unis et au Royaume-Uni. Leur objectif n'est pas d'être alarmiste, mais plutôt d'informer les chefs d'entreprise et les équipes sur les nouveaux risques cybernétiques auxquels ils sont confrontés et sur les mesures pratiques qu'ils peuvent mettre en place pour les atténuer. En règle générale, ces orientations font écho aux conseils donnés par les équipes chargées de la sécurité de l'information au sein des organisations, et elles contribuent à valider de nombreux arguments en faveur d'un investissement plus important dans les projets de cybersécurité et les initiatives de gestion des cyberrisques.
Examen de l'évaluation des risques cybernétiques et des vulnérabilités de la CISA
La CISA a récemment examiné ses évaluations des risques et des vulnérabilités pour l'exercice 2021, qui couvrent les évaluations des risques et des vulnérabilités (RVA) de 112 organisations du gouvernement fédéral américain et du secteur privé. Cet examen des évaluations des risques et des vulnérabilités a mis en évidence certains des modèles utilisés par les acteurs malveillants pour attaquer et exploiter les réseaux, notamment l'entrée initiale, l'exécution de l'attaque, la persistance, l'escalade des privilèges et l'exfiltration. Il met également en évidence l'impact sur les entreprises et fournit des mesures pratiques pour chaque aspect que les entreprises peuvent prendre pour résoudre les problèmes.
Dans l'analyse de l'exercice 2021, les risques critiques signalés par la CISA comprenaient les attaques par hameçonnage et l'utilisation généralisée d'identifiants de sécurité par défaut. L'analyse a souligné la nécessité d'une formation régulière sur les attaques par hameçonnage et l'utilisation de mots de passe forts, qui sont régulièrement changés. Le rapport souligne également la nécessité de revoir régulièrement les techniques d'intrusion afin que les organisations puissent réagir rapidement en cas d'incidents utilisant de nouvelles techniques. D'autres questions ont mis en évidence la nécessité de changer les mots de passe par défaut, de mettre à jour et de corriger régulièrement les logiciels, ainsi que de trouver et de corriger les ports ouverts.
Rapport du NCSC britannique sur les menaces en matière de cybersécurité
Ces sentiments ont été repris dans un récent rapport du NCSC britannique, soulignant les risques particuliers impliquant les dispositifs connectés d'entreprise (DCE). Les dispositifs ECD comprennent les ordinateurs portables, les smartphones et les dispositifs de l'Internet des objets (IoT) de l'entreprise qui sont des dispositifs physiques - comme les réfrigérateurs, les détecteurs de fumée, les caméras et les détecteurs de présence, par exemple - qui contiennent des capacités de connectivité réseau qui leur permettent d'être contrôlés à distance. Les DPE sont populaires car ils offrent une flexibilité de gestion et des économies d'efficacité à de nombreux environnements de travail.
Cependant, bien qu'ils soient populaires, les DPE peuvent représenter un risque important pour la sécurité, étant donné que la plupart des employés ne comprennent pas les risques de sécurité encourus et que ces appareils ne sont pas visibles dans l'ensemble des bureaux. Le rapport du NCSC a mis en évidence un grand nombre de menaces que représentent les DPE. Les pirates les utilisent comme point de départ pour accéder à d'autres systèmes plus sécurisés. Le manque de visibilité des appareils IoT et l'utilisation de paramètres de sécurité par défaut signifient qu'ils se prêtent à des attaques latérales vers d'autres systèmes qui peuvent conduire à des vols de données ou à des attaques par ransomware, par exemple. L'utilisation de ces appareils dans la chaîne d'approvisionnement d'une entreprise représente également une menace, car même si une entreprise dispose elle-même de politiques et de contrôles rigoureux en matière de DPE, il se peut que ses fournisseurs n'en aient pas.
Cette situation met en évidence le problème auquel les entreprises sont confrontées quant à la meilleure façon de répondre aux cyber-risques, qui touchent à la fois l'organisation et les tiers, alors que les ressources et les coûts restent limités.
Mise en place de puissantes capacités de gestion des cyberrisques
Les nouvelles capacités technologiques encouragent les équipes de sécurité à repenser la meilleure façon de relever ce type de défi. Elles peuvent désormais proposer une autre façon de gérer les cyberrisques en confiant la mise en œuvre et le suivi de la politique de sécurité de l'entreprise aux utilisateurs finaux et à leurs responsables, plutôt qu'à une petite équipe de sécurité surchargée.
Une approche basée sur SaaS signifie que les équipes de sécurité peuvent fournir une bibliothèque de documents de politique de sécurité facile à naviguer avec des capacités de recherche et de questions/réponses puissantes qui permettent aux employés de comprendre leurs obligations à un rythme qui leur convient et qui convient à leurs projets. Les fonctions de formation et de test permettent d'améliorer les compétences des employés et de les sensibiliser aux menaces de sécurité nouvelles et émergentes. Les fonctionnalités d'attestation leur permettent de documenter et de fournir des preuves de la manière dont ils se conforment aux normes de sécurité. Les capacités d'IA permettent aux équipes de sécurité de l'information de savoir où les normes ne sont pas respectées, à mesure que les besoins spécifiques de l'entreprise évoluent.
Cette approche permet aux équipes de sécurité de l'information de mieux guider l'organisation et les tiers en ce qui concerne leur politique de cybersécurité, à un rythme qu'ils peuvent tous gérer. Cela signifie également que l'équipe de sécurité de l'information peut continuer à être l'arbitre final du programme de gestion des cyber-risques.
La plateforme GRC de Mitratech offre une gamme de capacités qui couvrent les principaux cas d'utilisation de la GRC tels que : La gestion des cyber-risques, la gestion des risques liés aux tiers, la sécurité de l'information et bien d'autres encore.
Jetez un coup d'œil à cette sélection d'articles soigneusement choisis pour montrer comment Mitratech peut aider les organisations à renforcer leurs programmes de cybersécurité.
- Consultez notre brochure : Gestion du risque cybernétique pour un aperçu complet des actions clés permettant de mettre en place un programme de gestion du risque cybernétique efficace tout au long de son cycle de vie.
- En outre, jetez un coup d'œil à notre brochure : Cyber Resilience pour en savoir plus sur les fonctionnalités intégrées de bout en bout disponibles dans la plateforme GRC de Mitratech.
Le rapport RegTech
Ce podcast est la source de référence pour tout ce qui concerne la RegTech, y compris
l'actualité RegTech, les contacts avec les pionniers du secteur et les mises à jour sur les dernières technologies.