3 pratiques très risquées à éviter en matière de cybersécurité

Avec autant de types différents de cyberattaques lancées contre les entreprises ces jours-ci, une question courante parmi les entreprises qui cherchent à améliorer leurs défenses est « Où devrions-nous concentrer nos efforts ? » L’agence américaine de cybersécurité et de sécurité des infrastructures (CISA) aide à répondre à cette question. Elle élabore un catalogue de « mauvaises pratiques » – des pratiques exceptionnellement risquées.

Lancé fin août 2021, le catalogue répertorie actuellement les mauvaises pratiques suivantes. L’agence prévoit d’ajouter à la liste en fonction des contributions de la communauté de la sécurité informatique.

1. Utiliser des logiciels qui ne sont plus supportés

L’utilisation de logiciel qui n’est plus supporté par son fournisseur est très risquée. Le risque est encore aggravé si le logiciel non supporté (ou la technologie dans laquelle il est intégré) est accessible depuis Internet.

Les logiciels non suportés incluent les applications qui ont atteint la fin de leur cycle de vie. Une fois que les applications atteignent un certain âge, les fournisseurs cessent de leur fournir des mises à jour. Ne pas recevoir de mises à jour qui corrigent les problèmes de fonctionnalité ou ajoutent des fonctionnalités est incovénient. De plus, ne pas recevoir de mises à jour corrigeant les vulnérabilités de sécurité récemment découvertes est dangereux. En effet, les cybercriminels exploitent souvent les vulnérabilités logicielles pour accéder aux réseaux des entreprises. En 2020, l’exploitation des vulnérabilités a été le premier vecteur d’attaque dans près d’un tiers des cyberattaques étudiées par les analystes de sécurité.

Pour minimiser le risque d’être attaqué, les entreprises doivent utiliser des logiciels supportés par le fournisseur. Tout aussi important, ils doivent appliquer les mises à jour logicielles en temps opportun.

2. Utiliser les informations d’identification par défaut pour les comptes de service

Les cybercriminels aiment pirater les comptes de service pour les logiciels et le matériel, car ils peuvent facilement élever les privilèges des comptes et accéder à des données sensibles. Peu de fournisseurs, cependant, conçoivent leur logiciel ou leur matériel pour créer un mot de passe de compte de service par défaut unique lorsque le logiciel ou le matériel est installé par un client. Au lieu de cela, le même mot de passe par défaut (par exemple, « admin », « password », « guest ») est utilisé pour chaque installation.

Bien que les fournisseurs recommandent généralement aux clients de modifier le mot de passe par défaut avant d’utiliser le logiciel ou le matériel dans leurs opérations, de nombreuses entreprises ne le font pas. Ces entreprises courent un risque beaucoup plus grand d’être attaquées avec succès, car les pirates informatiques gardent une trace des mots de passe par défaut des comptes de service et les intègrent dans des outils de piratage de mots de passe par force brute. Ces outils sont couramment utilisés pour infiltrer les réseaux des entreprises. En 2020, les attaques par force brute étaient le vecteur d’attaque initial le plus utilisé.

Pour atténuer la menace d’attaques par force brute contre les comptes de service, les entreprises doivent s’assurer qu’elles ont modifié les mots de passe par défaut de ces comptes. Les mots de passe choisis doivent être à la fois forts et uniques. L’authentification multifacteur doit également être configurée pour ces comptes.

3. Utiliser l’authentification à facteur unique pour l’accès à distance ou administratif

L’utilisation de l’authentification à facteur unique (par exemple, l’authentification par mot de passe) pour l’accès à distance ou administratif aux systèmes informatiques est très risquée, surtout si le système d’authentification est accessible depuis Internet. Le risque est dû au fait que les cybercriminels utilisent souvent des mots de passe compromis dans leurs cyberattaques. Par exemple, dans 61 % des violations de données, les cybercriminels ont utilisé des informations d’identification compromises pour pirater les réseaux des entreprises, selon le « 2021 Data Breach Investigations Report » de Verizon.

Les cybercriminels peuvent obtenir des mots de passe compromis de plusieurs manières. Par exemple, ils peuvent utiliser une escroquerie par hameçonnage pour amener un employé à révéler un mot de passe ou ils peuvent acheter des informations d’identification compromises sur le dark web.

Une stratégie plus sécurisée et moins risquée consiste à utiliser l’authentification multifacteur pour l’accès à distance et administratif aux systèmes informatiques. Avec l’authentification en deux étapes, une deuxième information d’identification (par exemple, un code de sécurité à usage unique) est nécessaire pour se connecter. De cette façon, même si les pirates ont les informations d’identification compromises pour un système informatique, ils ne pourront pas y accéder.

Pour plus d’informations sur la façon de réduire les risques de sécurité, contactez-nous.