Shadow IT, phishing, logiciels malveillants, oh mon Dieu ! Les risques qui hantent secrètement votre organisation

Attention : la toile est tordue et cette année pourrait bien être la plus glaçante que nous ayons connue jusqu'à présent ! Voici quelques statistiques rapides pour donner le ton :

• Société de sécurité informatique du groupe NCC Bulletin mensuel des menaces de mars 2023 a récemment fait état d'une augmentation de 91% des attaques de ransomware en mars 2023 par rapport à février 2023, et d'une augmentation de 62% d'une année sur l'autre par rapport aux données de mars 2022.
• Selon un Sondage du Deloitte Center for ControllershipPrès de la moitié (48,8%) des cadres supérieurs et autres dirigeants s'attendent à une augmentation du nombre et de l'ampleur des cyberévénements visant les données comptables et financières de leur entreprise au cours de l'année à venir.
• Selon le Ventures dans le domaine de la cybersécuritéSelon les prévisions, le coût de la cybercriminalité atteindra 1,39 billion de dollars en 2023 et passera à 1,39 billion de dollars en 2025.

Plongeons dans l'ombre... si vous l'osez.

Shadow IT : démasquer les applications du côté obscur de votre réseau

Loin des yeux ne signifie pas nécessairement loin du cœur lorsqu'il s'agit de forces incontrôlées, non autorisées et invisibles qui menacent votre domaine numérique.

Tous les systèmes, applications, logiciels ou services informatiques qu'un utilisateur final utilise sans l'accord explicite du service informatique relèvent de la compétence de la Commission européenne. L'informatique fantôme. Ces risques se cachent dans plus d'endroits que vous ne le pensez (et ne sont pas soumis à la même surveillance que les applications d'entreprise traditionnelles) - l'entreprise moyenne contient 4 à 10 fois plus d'applications informatiques fantômes que d'applications gérées par l'entreprise. C'est pourquoi, depuis l'identification et la catégorisation de l'exposition aux menaces jusqu'à l'établissement de protocoles de réponse, de nombreuses organisations adoptent une approche basée sur le système pour soutenir leurs cadres de contrôle.

Vous voulez en savoir plus sur la gestion automatisée des risques EUC ? Explorez les cas d'utilisation suivants :

• Gestion des risques liés aux feuilles de calcul
• Gestion des risques liés à la transition du LIBOR
• Loi Dodd-Frank & bien plus encore

Piranhas dans l'eau : phishing, prexting, baiting et autres

Si vous avez besoin d'une preuve que les attaques d'ingénierie sociale (comme le phishing) sont en augmentation, ne cherchez pas plus loin que les derniers titres. Prenez l'exemple du cyberattaque contre MGM Resorts, par exemple, où des pirates auraient utilisé des informations de LinkedIn pour usurper l'identité d'un employé et manipuler des informations sensibles auprès d'un autre. Il en a résulté une cyberattaque à grande échelle qui a eu des répercussions sur les systèmes d'exploitation de MGM, provoquant des interruptions de service dans les casinos, les systèmes de réservation, les systèmes de courrier électronique, etc.

Ce n'est pas pour rien que les escroqueries par hameçonnage continuent de figurer parmi les cybercrimes les plus répandus dans le monde. Rapport IC3 du FBI. En fait, nous avons atteint un nombre record d'attaques de phishing mobile en 2022.

L'Agence pour la sécurité et les infrastructures de la cybersécurité (CISA) fait de l'hameçonnage l'une des cybercriminalités à surveiller lors de la conférence de cette année sur l'hameçonnage. Mois de la sensibilisation à la cybersécurité. La CISA se concentre sur la manière dont les individus, les familles et les petites et moyennes entreprises peuvent sécuriser notre monde :

• Utiliser des mots de passe forts
• Activer l'authentification multifactorielle (MFA)
• Reconnaître et signaler le phishing
• Mise à jour du logiciel

Attention : logiciels malveillants, logiciels rançonneurs, etc.

Les attaques de logiciels malveillants ont légèrement diminué en 2020, pour la première fois depuis cinq ans, mais elles sont de nouveau en hausse et atteignent désormais 10,4 millions par an, selon l'étude Rapport 2022 de SonicWall sur les cybermenaces. Ce même rapport a identifié 270 228 variantes de logiciels malveillants "jamais vues" au cours du seul premier semestre 2022.

En outre, les nouvelles technologies (comme la GenAI) n'introduisent pas nécessairement de nouvelles capacités de menace, mais aident les acteurs malveillants à être plus agiles et plus efficaces. Les modèles de langage peuvent désormais être exploités par les acteurs malveillants pour être plus persuasifs, par exemple en rendant les attaques d'ingénierie sociale plus convaincantes et plus dangereuses. Certains acteurs malveillants peuvent même construire leurs propres modèles de langage.

Le fait est que les menaces évoluent plus rapidement et plus efficacement - votre gestion des risques doit donc en faire autant.

Comment pouvons-nous être plus conscients ?

Pour développer votre stratégie de gestion des risques et en faire un processus que vous pouvez améliorer en permanence (et mesurer), vous devrez faire appel à davantage de personnes au sein de votre organisation, partager en permanence les nouvelles informations dès qu'elles sont disponibles et rester agile grâce à la technologie basée sur l'automatisation. La formation à la sécurité sera également différente ; les employés devront être plus aptes à repérer les indicateurs de menace (comme une mauvaise correspondance entre l'adresse d'envoi et le nom d'envoi) que les fautes d'orthographe flagrantes.

Bonus frayeur : le risque pour les tiers

Alors que les ransomwares font parler d'eux depuis plusieurs années, les tiers sont une cible de plus en plus importante car ils permettent aux acteurs de la menace de réaliser des économies d'échelle grâce à leurs écosystèmes de partenariat.

Dans un monde où le travail à distance, les défis de la chaîne d'approvisionnement mondiale et un écosystème croissant de fournisseurs soutiennent votre entreprise, le risque n'est plus lié à votre siège, ce qui signifie que vous devez être en mesure de le gérer :

• Identifier les risques associés à un écosystème étendu de fournisseurs
• Atténuer les risques posés par les fournisseurs de tierce partie et de quatrième partie
• Déterminer si votre stratégie et votre technologie actuelles permettent de mettre en place un programme complet de gestion des risques liés aux tiers.

Vous voulez d'autres conseils sur l'identification et l'atténuation des risques liés aux tiers ? Téléchargez notre Liste de contrôle complète pour le TPRM.

Faire passer votre gestion des risques d'effrayante à sûre - et la mesurer

Les menaces sont plus effrayantes lorsqu'elles sont maintenues dans l'obscurité. stratégie de gestion des risques est celle où l'on nettoie les toiles d'araignée et où l'on allume les lumières. Les menaces ne doivent plus être imaginées comme des surprises qui sortent de l'ombre, mais comme des événements attendus qui affectent toutes les entreprises. Pour faire face à ce changement, les entreprises stratégiques utilisent des technologies de gestion des risques qui associent l'apprentissage automatique à une vigilance constante pour aider les utilisateurs à identifier, atténuer et signaler les risques.

D'autres ressources pourraient vous intéresser :

• Sécurisons notre monde : 4 bonnes pratiques de sécurité liées au travail pour le mois de la sensibilisation à la cybersécurité
• Aligner votre programme de gestion des cyber-risques sur les résultats de votre entreprise
• La cyberattaque contre MGM Resorts : ce qu'il faut savoir (et ce que cela signifie pour votre stratégie de gestion des risques) | Mitratech