Shadow IT, phishing, logiciels malveillants, oh mon Dieu ! Les risques qui hantent secrètement votre organisation
En ce mois d'octobre, il n'y a pas que les toiles d'araignée, les chauves-souris et les goules à guetter - elles se cachent dans les coins sombres des feuilles de calcul, des applications complémentaires et des boîtes de réception de votre entreprise.
Attention : la toile est tordue et cette année pourrait bien être la plus glaçante que nous ayons connue jusqu'à présent ! Voici quelques statistiques rapides pour donner le ton :
- L'enquête mensuelle sur les menaces de mars 2023 de la société de sécurité informatique NCC Group a récemment fait état d'une augmentation de 91 % des attaques de ransomware en mars 2023 par rapport à février 2023, et d'une augmentation de 62 % d'une année sur l'autre par rapport aux données de mars 2022.
- Selon un sondage du Deloitte Center for Controllership, près de la moitié (48,8 %) des cadres dirigeants et autres cadres s'attendent à ce que le nombre et l'ampleur des cyber-événements visant les données comptables et financières de leur entreprise augmentent au cours de l'année à venir.
- Selon Cybersecurity Ventures, le coût de la cybercriminalité devrait atteindre 8 000 milliards de dollars en 2023 et 10 500 milliards de dollars en 2025.
Plongeons dans l'ombre... si vous l'osez.
Shadow IT : démasquer les applications du côté obscur de votre réseau
Loin des yeux ne signifie pas nécessairement loin du cœur lorsqu'il s'agit de forces incontrôlées, non autorisées et invisibles qui menacent votre domaine numérique.
Tous les systèmes, applications, logiciels ou services de technologie de l'information qu'un utilisateur final utilise sans l'approbation explicite du service informatique relèvent de l'informatique fantôme (Shadow IT). Ces risques se cachent dans plus d'endroits que vous ne le pensez (et ne sont pas soumis à la même surveillance que les applications traditionnelles de l'entreprise) - l'entreprise moyenne contient 4 à 10 fois plus d'applications Shadow IT que d'applications gérées par l'entreprise. C'est pourquoi, depuis l'identification et la catégorisation de l'exposition aux menaces jusqu'à l'établissement de protocoles de réponse, de nombreuses organisations adoptent une approche basée sur le système pour soutenir leurs cadres de contrôle.
Vous voulez en savoir plus sur la gestion automatisée des risques EUC ? Explorez les cas d'utilisation suivants :
- Gestion des risques liés aux feuilles de calcul
- Gestion des risques liés à la transition du LIBOR
- La loi Dodd-Frank et bien d'autres choses encore
Piranhas dans l'eau : phishing, prexting, baiting et autres
Si vous avez besoin d'une preuve que les attaques par ingénierie sociale (comme le phishing) sont en augmentation, ne cherchez pas plus loin que les derniers titres de l'actualité. Prenons par exemple la cyberattaque dont a été victime MGM Resorts: des pirates auraient utilisé des informations de LinkedIn pour se faire passer pour un employé afin de manipuler des informations sensibles auprès d'un autre employé. Il en a résulté une cyberattaque à grande échelle qui a eu des répercussions sur les systèmes d'exploitation de MGM, provoquant des interruptions de service dans les casinos, les systèmes de réservation, les systèmes de courrier électronique, etc.
Ce n'est pas pour rien que les escroqueries par hameçonnage figurent toujours parmi les cybercrimes les plus répandus dans le rapport IC3 du FBI. En fait, nous avons atteint un nombre record d'attaques par hameçonnage mobile en 2022.
L'Agence pour l'infrastructure et la sécurité de la cybersécurité (CISA) fait de l'hameçonnage l'une des cybercriminalités à surveiller dans le cadre du mois de la sensibilisation à la cybersécurité de cette année. La CISA se concentre sur la manière dont les particuliers, les familles et les petites et moyennes entreprises peuvent sécuriser notre monde :
- Utiliser des mots de passe robustes
- Activer l'authentification multifactorielle (MFA)
- Reconnaître et signaler le phishing
- Mise à jour du logiciel
Attention : logiciels malveillants, logiciels rançonneurs, etc.
Les attaques de logiciels malveillants ont légèrement diminué en 2020 pour la première fois en cinq ans, mais elles sont de nouveau en hausse et atteignent maintenant 10,4 millions par an, selon le rapport 2022 Cyber Threat Report de SonicWall. Ce même rapport a identifié 270 228 variantes de logiciels malveillants "jamais vues" au cours du seul premier semestre 2022.
En outre, les nouvelles technologies (comme la GenAI) n'introduisent pas nécessairement de nouvelles capacités de menace, mais aident les acteurs malveillants à être plus agiles et plus efficaces. Les modèles de langage peuvent désormais être exploités par les acteurs malveillants pour être plus persuasifs, par exemple en rendant les attaques d'ingénierie sociale plus convaincantes et plus dangereuses. Certains acteurs malveillants peuvent même construire leurs propres modèles de langage.
Le fait est que les menaces évoluent plus rapidement et plus efficacement - votre gestion des risques doit donc en faire autant.
Comment pouvons-nous être plus conscients ?
Pour développer votre stratégie de gestion des risques et en faire un processus que vous pouvez améliorer en permanence (et mesurer), vous devrez faire appel à davantage de personnes au sein de votre organisation, partager en permanence les nouvelles informations dès qu'elles sont disponibles et rester agile grâce à la technologie basée sur l'automatisation. La formation à la sécurité sera également différente ; les employés devront être plus aptes à repérer les indicateurs de menace (comme une mauvaise correspondance entre l'adresse d'envoi et le nom d'envoi) que les fautes d'orthographe flagrantes.

Bonus frayeur : le risque pour les tiers
Alors que les ransomwares font parler d'eux depuis plusieurs années, les tiers sont une cible de plus en plus importante car ils permettent aux acteurs de la menace de réaliser des économies d'échelle grâce à leurs écosystèmes de partenariat.
Dans un monde où le travail à distance, les défis de la chaîne d'approvisionnement mondiale et un écosystème croissant de fournisseurs soutiennent votre entreprise, le risque n'est plus lié à votre siège, ce qui signifie que vous devez être en mesure de le gérer :
- Identifier les risques associés à un écosystème étendu de fournisseurs
- Atténuer les risques posés par les fournisseurs de tierce partie et de quatrième partie
- Déterminer si votre stratégie et votre technologie actuelles permettent de mettre en place un programme complet de gestion des risques liés aux tiers.
Vous souhaitez obtenir davantage de conseils sur l'identification et l'atténuation des risques liés aux tiers ? Téléchargez notre liste de contrôle complète sur la gestion des risques liés aux tiers.
Faire passer votre gestion des risques d'effrayante à sûre - et la mesurer
Les menaces sont plus effrayantes lorsqu'elles sont maintenues dans l'obscurité, c'est pourquoi une stratégie de gestion des risques réussie consiste à nettoyer les toiles d'araignée et à allumer la lumière. Les menaces ne doivent plus être considérées comme des surprises qui sortent de l'ombre, mais comme des événements attendus qui affectent toutes les entreprises. Pour faire face à ce changement, les entreprises stratégiques utilisent des technologies de gestion des risques qui associent l'apprentissage automatique à une vigilance constante pour aider les utilisateurs à identifier, atténuer et signaler les risques.
D'autres ressources pourraient vous intéresser :
- Sécurisons notre monde : 4 bonnes pratiques de sécurité liées au travail pour le mois de la sensibilisation à la cybersécurité
- Aligner votre programme de gestion des cyber-risques sur les résultats de votre entreprise
- La cyberattaque contre MGM Resorts : ce qu'il faut savoir (et ce que cela signifie pour votre stratégie de gestion des risques) | Mitratech
Découvrez la gestion primée du Shadow IT et de l'EUC
Découvrez pourquoi ClusterSeven a remporté un Gold Mutable Award dans le rapport 2023 Bloor InBrief.