Cybersécurité : en quoi cela me concerne-t-il, moi et mon entreprise ?
Pourquoi la cybersécurité ne concerne pas seulement les grandes entreprises et ce à quoi il faut faire attention
La cybersécurité est sur toutes les lèvres après les nombreuses attaques et les gros titres. Mais pourquoi devrais-je m’en préoccuper en tant qu’entrepreneur et pourquoi la cybersécurité est-elle un sujet important qui peut concerner tout le monde ?
Depuis Corona, beaucoup de choses ont changé dans le monde numérique. Entre autres, sur l’état de la numérisation chez nous en Allemagne, mais aussi dans le monde entier. L’infrastructure est souvent insuffisante, voire inexistante. Il n’y a pas si longtemps, l’Internet était encore qualifié de « terre inconnue » par des représentants de haut rang du gouvernement fédéral allemand, ce qui a suscité l’étonnement de nombreuses parties de la population, car entre-temps, l’Internet est devenu pour beaucoup d’entre nous un élément indispensable de notre vie quotidienne. Mais la numérisation n’a pas seulement touché les autorités, mais aussi de nombreuses PME, et cela fait particulièrement mal en ce moment. L’acquisition de nouveaux clients* est un obstacle majeur en raison de la disparition des contacts personnels, le travail à domicile est une tâche difficile à accomplir en raison du manque d’infrastructure, les charges administratives augmentent.
De nombreuses tâches répétitives, qui auraient pu être automatisées il y a longtemps pour libérer du temps pour les collaborateurs, sont toujours effectuées de manière laborieuse et coûteuse.
sont encore effectuées en partie à la main, de manière pénible et coûteuse. Bien utilisée, une bonne stratégie de numérisation nous permet donc d’élargir notre clientèle et d’améliorer la satisfaction des collaborateurs.
Index
Cybersécurité et violations de données
Quel est le rapport avec la « cybersécurité » ? Plus nous transférons de données et de processus vers le numérique, plus nous offrons de « surface d’attaque » pour des dommages potentiels. Des pannes de données spectaculaires font régulièrement la une des journaux, allant de la perte de données sensibles à la défaillance d’infrastructures importantes. Comme c’est souvent le cas, la meilleure stratégie consiste à « ne rien faire, ne pas faire d’erreur ».
De l’autre côté du spectre, nous avons l’approche « beaucoup aide beaucoup », c’est-à-dire que l’on jette sur un problème tout ce qui vient à l’esprit de quelqu’un ou qui est populaire d’une manière ou d’une autre. Mais là encore, il ne faut pas oublier que la complexité peut également mettre en péril la sécurité d’un système. Plus un système est complexe, plus nous laissons de place aux failles de sécurité potentielles. Nous augmentons ainsi la quantité de code auquel nous devons faire confiance tout en le maintenant à jour ; on parle ici de « Trusted Computing Base » (TCB). Une faille de sécurité dans un seul composant de notre TCB peut potentiellement mettre en danger l’ensemble du système ; plus la TCB peut être réduite, mieux c’est.
La sécurité en tant qu’élément stratégique
La sécurité doit toujours occuper une place importante dans toute stratégie de numérisation. La première chose à faire, et sans doute la plus simple, est d’assurer la sécurité.
La première stratégie consiste à maintenir à jour les logiciels utilisés. De nombreux systèmes sont souvent installés une seule fois et ne sont plus entretenus par la suite, ou seulement de manière insuffisante. Un argument souvent invoqué pour expliquer pourquoi il ne s’agit pas d’un problème majeur est que « notre entreprise n’intéresse pas les criminels ».
Automatisation des attaques
Le fait est que la majorité des attaques ne sont pas ciblées, mais purement automatisées. L’image « romantique » de cybercriminels assis dans une cave entre des canettes de boissons énergétiques et attaquant des entreprises fait place à un petit programme qui scrute inlassablement Internet 24 heures sur 24, sept jours sur sept, à la recherche de quelques vulnérabilités prédéfinies. Souvent, ces vulnérabilités sont déjà ciblées le jour où elles sont connues.
Dans le cas des programmes susmentionnés, nous parlons d’exploits « zero-day ». Il s’agit de programmes qui peuvent exploiter une faille, en partie avant même que des contre-mesures efficaces n’existent. Il existe tout un marché pour ce type de logiciels, sur lequel, en fonction de l’ampleur de l’attaque, il est possible d’obtenir des prix élevés.
La gravité et l’attractivité de la faille de sécurité donnent lieu à des paiements élevés. Ainsi, les logiciels qui jouissent d’une large diffusion sont souvent la cible de telles attaques et nécessitent, pour cette raison, une attention accrue lorsqu’il s’agit de les mettre à jour.
Il est particulièrement intéressant de voir la classe de failles de sécurité à laquelle nous sommes le plus souvent confrontés. L’Open Web Application Security Project (OWASP) gère un TOP 10 des problèmes de sécurité que l’on trouve dans les applications web actuelles. Depuis de nombreuses années, les attaques par « injection » occupent la première place. Pour simplifier, il s’agit d’attaques qui permettent d’injecter des commandes dans une application par le biais de saisies normales de l’utilisateur (p. ex. demandes de recherche). De telles vulnérabilités apparaissent généralement en raison d’un manque de soin lors du développement du logiciel et pourraient dans de nombreux cas être fortement réduites par l’utilisation d’outils plus modernes.
Ces outils, tels que les langages de programmation avancés, sont déjà utilisés dans le secteur financier. Dans de nombreux endroits, l’industrie Toutefois, l’industrie du logiciel a encore du mal à s’adapter. Il y a souvent un manque de volonté d’investir dans de telles technologies et dans l’expertise correspondante. Par conséquent, une grande partie de ces problèmes peuvent encore être trouvés uniquement en cherchant à la main. Des outils plus progressifs peuvent toutefois soulager considérablement les développeurs dans ce processus et aboutir à de meilleurs résultats. Qui travaille fait des erreurs. Les outils ne sont pas là pour nous faire des reproches, mais pour nous soutenir ; il s’agit de reconnaître cette chance et de l’utiliser.
Développer des logiciels en toute sécurité
En tant que développeurs de logiciels*, nous devons à nos clients un niveau de soin accru, surtout en ces temps de cybercriminalité croissante. Développer des logiciels corrects et robustes est une tâche qui demande beaucoup d’expérience. En tant que développeurs de logiciels, nous jouons en permanence au chat et à la souris. En être conscient et regarder régulièrement dans les cartes des attaquants* pour comprendre leur mode opératoire fait partie de notre travail.
De nombreuses solutions logicielles standard sont souvent dotées d’un ensemble de fonctions assez rigide, afin de couvrir le plus grand nombre possible de scénarios. Mais souvent, la fonctionnalité qui serait souhaitable pour une utilisation spécialisée n’en fait pas partie. Dans certains cas, le logiciel est donc adapté à grands frais. Un risque qui peut en résulter est que le système ne puisse pas être mis à jour sans adaptation. Si un risque de sécurité survient et exige une nouvelle version du logiciel utilisé, cela implique automatiquement des dépenses supplémentaires qui, dans le pire des cas, peuvent conduire à un développement entièrement nouveau du logiciel.
Une infrastructure qui fonctionne nécessite des connaissances d’experts, et trouver un partenaire de confiance pour cette tâche peut être un grand défi. Pour cela, une communication d’égal à égal est indispensable. Les « 100 % de sécurité » et autres promesses similaires sont à prendre avec une grande prudence, car des problèmes de sécurité peuvent toujours survenir. Ce qui importe, c’est la transparence avec laquelle ils sont traités et la manière dont l’équipe réagit aux dangers potentiels. Ne vous laissez pas impressionner par des slogans fleuris. Les attaquants* ne s’y laissent pas non plus prendre.
Autre article à ce sujet : La cybersécurité pour les entrepreneurs en 5 points
Auteur : Raichoo Ketchum (XING | LINKEDIN) | Antei GmbH
Comments are closed.