Mitratech - Risques cybernétiques émergents - Bannière du blog
Mitratech - Risques cybernétiques émergents - Bannière du blog

Nouveaux risques cybernétiques aux États-Unis et au Royaume-Uni

Javier Gutierrez |

La gestion des cyberrisques a pris une importance considérable au cours des deux dernières années, les entreprises ayant surmonté les défis opérationnels de la pandémie, opté pour le travail hybride et s'étant préparées aux retombées possibles d'événements géopolitiques importants et aux cyberrisques émergents.

Complétez votre lecture avec notre épisode "Tendances en matière de cybersécurité en 2022".  Podcast du rapport RegTech. Écoutez l'épisode complet pour avoir une vue d'ensemble de la mise en place d'un programme puissant de gestion des cyberrisques, de l'impact des règles proposées par la SEC sur la stratégie en matière de cyberrisques, de la gouvernance et de la divulgation des incidents par les entreprises publiques aux États-Unis, des lacunes les plus courantes dans les cadres de cybersécurité, des cyberrisques émergents et bien d'autres choses encore.

Les gouvernements ont beaucoup investi dans la mise en place d'organisations qui surveillent les menaces et fournissent des conseils pratiques aux entreprises et aux organisations, afin de les aider à se préparer aux cyberattaques, à élaborer de solides programmes de gestion des cyberrisques et à assurer leur résilience.

Pour en savoir plus sur la manière dont la gestion des cyber-risques modifie le paysage actuel des risques.

Des organisations telles que l'US Agence pour la cybersécurité et la sécurité des infrastructures (CISA) et le Royaume-Uni Centre national de cybersécurité (NCSC) publie régulièrement des études sur l'état de préparation général des entreprises face aux cyberattaques aux États-Unis et au Royaume-Uni. Leur objectif n'est pas d'être alarmistes, mais plutôt d'informer les chefs d'entreprise et les équipes sur les nouveaux risques cybernétiques auxquels ils sont confrontés et sur les mesures pratiques qu'ils peuvent mettre en place pour les atténuer. En règle générale, ces orientations font écho aux conseils prodigués par les équipes chargées de la sécurité de l'information au sein des organisations, et elles contribuent à valider de nombreux arguments en faveur d'un investissement plus important dans les projets de cybersécurité et les initiatives de gestion des risques cybernétiques.

Examen de l'évaluation des risques cybernétiques et des vulnérabilités de la CISA

La CISA a récemment revu son Évaluations des risques et des vulnérabilités pour l'exercice 2021qui a porté sur l'évaluation des risques et des vulnérabilités (RVA) de 112 organisations du gouvernement fédéral américain et du secteur privé. Cet examen des évaluations des risques et des vulnérabilités a mis en évidence certains des modèles utilisés par les acteurs malveillants pour attaquer et exploiter les réseaux, notamment l'entrée initiale, l'exécution de l'attaque, la persistance, l'escalade des privilèges et l'exfiltration. Il met également en évidence l'impact sur les entreprises et fournit des mesures pratiques pour chaque aspect que les entreprises peuvent prendre pour résoudre les problèmes.

Dans l'analyse de l'exercice 2021, les risques critiques signalés par la CISA comprenaient les attaques par hameçonnage et l'utilisation généralisée d'identifiants de sécurité par défaut. L'analyse a souligné la nécessité d'une formation régulière sur les attaques par hameçonnage et l'utilisation de mots de passe forts, qui sont régulièrement changés. Le rapport souligne également la nécessité de revoir régulièrement les techniques d'intrusion afin que les organisations puissent réagir rapidement en cas d'incidents utilisant de nouvelles techniques. D'autres points ont mis en évidence la nécessité de changer les mots de passe par défaut, de mettre à jour et de corriger régulièrement les logiciels, ainsi que de trouver et de corriger les ports ouverts.

Rapport du NCSC britannique sur les menaces pesant sur la cybersécurité

Ces sentiments ont été repris dans une récente étude britannique Rapport du NCSCLa Commission européenne a publié un rapport sur les risques liés aux dispositifs connectés d'entreprise (DCE). Ces appareils comprennent les ordinateurs portables, les smartphones et les appareils de l'Internet des objets (IoT) de l'entreprise qui sont des appareils physiques - comme les réfrigérateurs, les détecteurs de fumée, les caméras et les détecteurs de présence, par exemple - qui contiennent des capacités de connectivité réseau qui leur permettent d'être contrôlés à distance. Les DPE sont populaires car ils offrent une flexibilité de gestion et des économies d'efficacité à de nombreux environnements de travail.

Cependant, bien qu'ils soient populaires, les DPE peuvent représenter un risque important pour la sécurité, étant donné que la plupart des employés ne comprennent pas les risques de sécurité encourus et que ces appareils ne sont pas visibles dans l'ensemble des bureaux. Le rapport du NCSC a mis en évidence un grand nombre de menaces que représentent les DPE. Les pirates les utilisent comme point de départ pour accéder à d'autres systèmes plus sécurisés. Le manque de visibilité des appareils IoT et l'utilisation de paramètres de sécurité par défaut signifient qu'ils se prêtent à des attaques latérales vers d'autres systèmes qui peuvent conduire à des vols de données ou à des attaques par ransomware, par exemple. L'utilisation de ces appareils dans la chaîne d'approvisionnement d'une entreprise représente également une menace, car même si une entreprise dispose elle-même de politiques et de contrôles rigoureux en matière de DPE, il se peut que ses fournisseurs n'en aient pas.

Cette situation met en évidence le problème auquel les entreprises sont confrontées quant à la meilleure façon de répondre aux cyber-risques, qui touchent à la fois l'organisation et les tiers, alors que les ressources et les coûts restent limités.

Mise en place de puissantes capacités de gestion des cyber-risques

Les nouvelles capacités technologiques encouragent les équipes de sécurité à repenser la meilleure façon de relever ce type de défi. Elles peuvent désormais offrir une autre façon de gérer les cyberrisques en confiant la mise en œuvre et le suivi de la politique de sécurité de l'entreprise aux utilisateurs finaux et à leurs responsables, plutôt qu'à une petite équipe de sécurité débordée.

Une approche basée sur SaaS signifie que les équipes de sécurité peuvent fournir une bibliothèque de documents de politique de sécurité facile à naviguer avec des capacités de recherche et de questions/réponses puissantes qui permettent aux employés de comprendre leurs obligations à un rythme qui leur convient et qui convient à leurs projets. Les fonctions de formation et de test permettent d'améliorer les compétences des employés et de les sensibiliser aux menaces de sécurité nouvelles et émergentes. Les fonctionnalités d'attestation leur permettent de documenter et de fournir des preuves de la manière dont ils se conforment aux normes de sécurité. Les fonctionnalités d'IA permettent aux équipes de sécurité de l'information de savoir où les normes ne sont pas respectées, à mesure que les besoins spécifiques de l'entreprise évoluent.

Cette approche permet aux équipes de sécurité de l'information de mieux guider l'organisation et les tiers en ce qui concerne leur politique de cybersécurité, à un rythme qu'ils peuvent tous gérer. Cela signifie également que l'équipe de sécurité de l'information peut continuer à être l'arbitre final du programme de gestion des cyber-risques.

La plateforme GRC de Mitratech offre une gamme de capacités qui couvrent les principaux cas d'utilisation de la GRC tels que : La gestion des cyber-risques, la gestion des risques liés aux tiers, la sécurité de l'information et bien d'autres encore.

Jetez un coup d'œil à cette sélection d'articles soigneusement choisis pour montrer comment Mitratech peut aider les organisations à renforcer leurs programmes de cybersécurité.

  • Consultez notre Brochure : Gestion du risque cybernétique pour un aperçu complet des actions clés permettant de mettre en place un programme de gestion des cyberrisques efficace tout au long de son cycle de vie.
  • En outre, jetez un coup d'œil à notre Brochure : La cyber-résilience pour en savoir plus sur les fonctionnalités intégrées de bout en bout disponibles dans la plateforme GRC de Mitratech.

Le rapport RegTech

Ce podcast est la source de référence pour tout ce qui concerne la RegTech, y compris
Nouvelles RegTech, mise en relation avec des pionniers du secteur et mises à jour sur les dernières technologies.