« Les experts en sécurité sont les spécialistes en informatique les plus recherchés »
Presque une entreprise sur deux fait état d’une augmentation des cyberattaques pendant la pandémie. Dans le monde entier, la sécurité informatique est donc devenue la priorité numéro 1 en ce qui concerne les investissements. Toutefois, les employés qualifiés en sécurité informatique font défaut de toutes parts, comme le démontre actuellement une nouvelle étude de KMPG.
Des possibilités miraculeuses pour commander des masques alors qu’ils sont en rupture de stock partout ailleurs ou des paquets qui restent prétendument bloqués à la douane – la pandémie est une aubaine pour les cybercriminels. Un clic sur la pièce jointe d’un email suffit pour s’infecter avec un logiciel malveillant.
En effet, les cybercriminels ne manquent pas d’ingéniosité pour adapter leurs attaques aux évènements majeurs de l’actualité et exploiter de manière ciblée chaque nouvelle faille engendrée par l’ignorance, la peur ou la panique.
Selon le CIO Survey 2020 de KMPG et Harry Nash, un peu moins de 4’200 CIO dans 108 pays font état d’un bond de 41% du nombre d’incidents de sécurité informatique. Depuis le début de la pandémie, ce sont en particulier les attaques impliquant du phishing et des malwares qui ont augmenté de manière significative.
Cette tendance mondiale est également observée en Suisse. « Cyberkriminelle nutzen Pandemie schamlos aus » (en français : « les cybercriminels exploitent sans vergogne la pandémie »), titre Computerworld à l’occasion de la publication du 31e rapport semestriel de la Centrale d’enregistrement et d’analyse pour la sûreté de l’information (MELANI).
Source : MELANI
Le phishing et les malwares
Selon le rapport de MELANI, pratiquement tous les types de malwares connus se sont répandus ces derniers mois en utilisant un thème lié au COVID-19, le plus souvent par le biais d’un lien ou d’une pièce jointe malveillante, mais aussi par des applications falsifiées de traçage de contacts ou des sites web proposant des logiciels gratuits de conférence en ligne.
Les tactiques de phishing ont fourni des portes d’entrée pour la fraude de masse. Par exemple, au début du confinement, en se faisant passer pour Netflix, des hackers ont promis des abonnements gratuits et ainsi subtilisé des données de cartes de crédit. Et des invitations falsifiées à des conférences Zoom, entre autres, ont permis de voler des mots de passe.
Les failles de sécurité du télétravail
MELANI aborde aussi cette fois en particulier le thème du télétravail, au vu des nombreuses attaques ciblant ce nouveau mode de travail. En effet, les hackers ciblent d’un côté les collaborateurs qui se retrouvent livrés à eux-mêmes et de l’autre les failles de sécurités liées aux solutions d’accès à distance.
Le COVID-19 a déplacé, d’un jour à l’autre, un nombre incommensurable de collaborateurs du réseau d’entreprise sécurisé vers le travail à distance. Et cela, très souvent de manière non préparée. Ça a été particulièrement rude pour les entreprises qui devaient déjà se battre contre des failles de sécurité avant le coronavirus. En effet, le travail à distance augmente de manière spectaculaire les possibilités d’une attaque.
Les hackers n’avaient plus qu’à renforcer leurs scannings pour trouver les faiblesses des solutions d’accès à distance et pénétrer ainsi les réseaux d’entreprise.
En outre, l’utilisation des outils de collaboration qui ont été rapidement introduits est souvent encore trop peu connue : « Bien des utilisateurs utilisaient pour la première fois des logiciels de conférence ou collaboration et, faute d’avoir reçu jusque-là les messages émanant de telles plateformes, il leur était difficile de reconnaître les contrefaçons », explique le rapport de MELANI.
Regardez notre DigiApéro : La cybersécurité pour tous
Une introduction et quelques trucs et astuces pour initier les entreprises et les travailleurs à une utilisation plus sécurisée des nombreux outils et infrastructures informatiques.
Nos formations en cybersécuritéGrâce à nos formations, adoptez la perspective d’un hacker pour renforcer la sécurité de l’infrastructure de votre entreprise : Apprenez à défendre vos systèmes et protéger vos données :
La sécurité passe aussi par notre comportement. Sensibilisez-vous et vos collaborateurs aux menaces sécuritaires : |
Grâce à nos formations, adoptez la perspective d’un hacker pour renforcer la sécurité de l’infrastructure de votre entreprise :
Apprenez à défendre vos systèmes et protéger vos données :
- Certified Network Defender (CNDB)
- CISSP – Certified Information Systems Security Professional (CSP)
- CISM – Certified Information Security manager (CS1)
- CISA – Certified Information Systems Auditor (CAM)
- Public Key Infrastructures (PKI)
- Sécurité de l’IoT dans l’industrie, l’entreprise et le privé (IOTSEC)
- ISO/IEC 27005 Risk Manager (HSR)
- ISO/IEC 27001 Foundation (ISF)
- ISO/IEC 27001:2022 Transition (HST)
- ISO/IEC 27001 Lead Auditor (HSI)
- ISO/IEC 27001 Lead Implementer (HSL)
- RGPD/GDPR – Certified Data Protection Officer (CDPO)
- RGPD/GDPR – Foundation (GDPRF)
La sécurité passe aussi par notre comportement. Sensibilisez-vous et vos collaborateurs aux menaces sécuritaires :
La sécurité informatique devient l’affaire du patron
De nombreuses entreprises ont réagi promptement et investi une part de leur budget informatique pour la sécurité malgré une baisse attendue du chiffre d’affaires : « 47% des investissements en matière de technologie pendant la pandémie ont été affectés à la sécurité et à la protection des données », constate l’étude de KMPG. L’importance de la sécurité informatique, qui avait déjà crû de manière significative en raison de la numérisation, a été à nouveau propulsée par le COVID-19 pour finalement se retrouver maintenant à l’ordre du jour des cadres supérieurs.
Ce fait est également confirmé par l’étude actuelle de PWC « Global Digital Trust Insights 2021 ». 96% des cadres interrogés déclarent avoir adapté leur stratégie de cybersécurité en raison de la pandémie. En outre, plus de la moitié des cadres disent vouloir augmenter leur budget pour la cybersécurité et engager plus de spécialistes du domaine.
L’expert en cybersécurité et partenaire KMPG, Andreas Tomek, espère que le virage à 90° initié par la pandémie entraîne également un changement majeur des mentalités sur le long terme. Il faudrait maintenant élever les standards dans le domaine de la sécurité informatique et de la protection des données et mettre en œuvre des mesures de sécurité renforcées.
3,5 millions de postes de travail pour les personnes qualifiées en sécurité informatique
Cependant, l’étude démontre aussi qu’il existe un écart important entre les désirs et la réalité : « quatre entreprises sur dix dans le monde entier ont été victimes d’une cyberattaque. Dans le même temps, les entreprises éprouvent de grosses difficultés à trouver des experts qualifiés en sécurité informatique. »
PWC identifie un grave déficit de compétences dans le monde entier que les hautes écoles techniques et les universités ne sont plus en mesure de combler : « Avec 3,5 millions de postes à pourvoir d’ici 2021, le secteur souffre d’une pénurie de travailleurs qualifiés. » Le personnel manquerait notamment dans le domaine de la sécurité du cloud et des données.
Selon l’analyse de PWC, il s’agit de la raison pour laquelle de plus en plus d’entreprises misent sur la promotion ciblée de leur propre personnel interne grâce à des formations continues. D’autres ont recours à ce qu’on appelle l’infogérance (ou les « managed services ») et confient leur sécurité informatique à des spécialistes externes.