Confiance et résilience : les nouvelles lignes de front de la cybersécurité

RAGHU

Les cybercriminels prospèrent grâce à la confiance. Qu'il s'agisse de deepfakes qui trompent les dirigeants, d'ingénierie sociale qui trompent les employés ou de négociations sur les rançongiciels qui exploitent la peur. Pourtant, même si les organisations investissent dans la sécurité, les failles sont inévitables. La vraie question est : pouvez-vous vous rétablir ? La véritable résilience en matière de cybersécurité ne consiste pas seulement à prévenir les attaques, il s'agit de s'assurer que les entreprises peuvent y résister et rebondir.

[Ouvert à froid]

(SFX : son d'un bulletin d'information urgent, saisie sur un clavier, appel téléphonique tendu qui passe légèrement en arrière-plan.)

RAGHU

Imaginez ceci : vous êtes le directeur financier d'une entreprise internationale. Vous recevez un appel de votre PDG : sa voix, son urgence, sans équivoque. Un virement bancaire urgent doit être effectué. C'est une routine, non ? Sauf que... votre PDG n'a jamais passé cet appel. C'était un deepfake. Une voix parfaitement reproduite conçue pour exploiter la confiance, et juste comme ça, des millions de personnes disparaissent.

(SFX) : cliquez sur. Silence. Un rythme lent s'estompe.)

RAGHU

C'est le nouveau champ de bataille cybernétique. La confiance alimente nos activités, nos relations, notre monde numérique, mais c'est aussi notre plus grande vulnérabilité. Et lorsque cette confiance est exploitée, la résilience est la seule chose qui sépare la survie de la catastrophe.

Bienvenue dans la saison 3 de Le segment : un podcast sur le leadership Zero Trust. Je suis votre hôte, Raghu Nandakumara. Cette saison, nous explorons l'intersection entre la confiance, la résilience et le comportement humain : comment les cybercriminels utilisent la confiance comme une arme, pourquoi la résilience ne se limite pas à la prévention et pourquoi la psychologie humaine reste l'élément le plus exploité en matière de cybersécurité.

(SFX : changement de ton, optimiste mais sérieux.)

[Segment 1 : L'exploit de confiance]

(SFX : légère distorsion audio, suivie d'une voix confiante.)

RAGHU

La cybercriminalité n'est pas toujours une question de piratage sophistiqué, mais bien souvent de manipulation. Et cela commence par l'exploitation de la confiance.

Brett Johnson

« Peu importe la vérité. Ce dont je peux te convaincre est important. Et c'est ce que nous constatons aujourd'hui plus que jamais. »

RAGHU

Cette déclaration est à la base de la cybercriminalité d'aujourd'hui. Et personne ne le comprend mieux que Brett Johnson. Autrefois un cybercriminel notoire et le cerveau de ShadowCrew, Brett a contribué à façonner la cybercriminalité moderne. Aujourd'hui, il s'efforce de mettre fin aux stratagèmes qu'il avait autrefois orchestrés.

(SFX : fondu lent — entrée d'une conversation enregistrée.)

Brett Johnson

« Si vous pensez à une attaque en ligne, il n'y a vraiment que trois raisons pour lesquelles cela se produit. C'est une question de statut, d'argent ou d'idéologie. Statut — J'essaie d'impressionner mes pairs criminels. De l'argent : j'essaie de gagner de l'argent. Ou tu m'as énervée et j'essaie de t'attraper. »

RAGHU

Il ne s'agit pas simplement de voler de l'argent. La désinformation, les deepfakes, la cyberguerre : au fond, ils exploitent tous une chose : la confiance.

(SFX : saisie au clavier, son de notification à distance.)

RAGHU

Et c'est le truc, n'est-ce pas ? Les cybercriminels n'ont pas besoin de percer les systèmes de sécurité lorsqu'ils peuvent simplement convaincre les gens de les laisser entrer. La technologie fait partie de l'équation, mais la véritable faiblesse réside dans le comportement humain.

Le Dr Erik Huffman est un cyberpsychologue qui étudie l'influence du comportement humain sur la cybersécurité. Ses recherches portent sur les raisons pour lesquelles les gens tombent dans le piège des escroqueries, sur la manière dont les attaquants manipulent la confiance et sur les raisons pour lesquelles les entreprises continuent de commettre les mêmes erreurs de sécurité.

Dr. Erik Huffman

« J'ai retiré un groupe de plus de 300 pirates informatiques, qui se sont identifiés eux-mêmes. 93 % d'entre eux ont déclaré commencer par les humains avant de commencer par la technologie. »

[Segment 2 : La confiance au sein des organisations]

RAGHU

La confiance n'est pas seulement une chose que les attaquants exploitent de l'extérieur, elle peut également être égarée en interne. Et lorsque cela se produit, les organisations se retrouvent vulnérables de l'intérieur.

Le Dr Kelley Misata a passé des années à travailler avec des organisations motivées par leur mission, les aidant à intégrer la sécurité dans leur ADN. Elle est la fondatrice et PDG de Sightline Security, une organisation à but non lucratif qui aide les organisations à renforcer leur résilience face aux cybermenaces.

Dre Kelley Misata

« L'une des choses les plus difficiles en matière de sécurité, ce sont les personnes. Ainsi, lorsque nous parlons de formation de sensibilisation à la sécurité, nous ne parlons pas de formation de sensibilisation aux systèmes, nous parlons des personnes. »

RAGHU

La sécurité ne se limite pas aux pare-feux et à la détection des menaces, elle concerne également la culture au sein d'une organisation. Il s'agit de savoir comment les employés comprennent et abordent la sécurité dans leurs décisions quotidiennes. Il est toutefois difficile de créer une culture soucieuse de la sécurité, en particulier lorsque la technologie évolue plus rapidement que la prise de conscience.

Dre Kelley Misata

« Nous intégrons cette technologie, interagissons avec elle chaque jour et plus encore, n'est-ce pas ? Par exemple, je repense à l'époque où nous avons adopté la technologie avec un tel abandon quant à la façon dont nous pouvions rester en sécurité. L'état de mes rêves est que nous nous demandons toujours : « Devrais-je faire ça ? Quel est l'impact de mon comportement ? Quel est l'impact de mon utilisation d'un nouveau logiciel ? Quel est mon impact sur mon organisation ? '»

RAGHU

Et c'est le changement que les organisations doivent opérer. La sécurité n'est pas qu'une question informatique ; c'est un état d'esprit. Il s'agit d'intégrer la sécurité à notre façon de travailler, en l'intégrant à nos décisions quotidiennes, et pas seulement après coup.

Dre Kelley Misata

« Je pense que cela doit se situer au niveau culturel... Si nous sortons de cette case spéciale « Faisons une formation » et que nous lui disions plutôt « Parlons de la façon dont nous utilisons ces systèmes et ces appareils », alors nous commencerons à avancer. Il s'agit de savoir comment les employés comprennent et abordent la sécurité dans leurs décisions quotidiennes. »

[Segment 3 : La cybercriminalité en tant qu'entreprise]

(SFX : Un appel téléphonique étouffé, une voix lointaine parlant une langue étrangère. Cliquez. Une voix déformée demandant un paiement.)

RAGHU

La cybercriminalité n'est pas simplement une série d'attaques aléatoires... c'est une industrie. Une somme de plusieurs milliards de dollars qui plus est.

Peu de personnes comprennent mieux la structure de la cybercriminalité que Brian Boetig. En tant qu'ancien directeur adjoint du FBI, il a passé des années à traquer les cybercriminels au plus haut niveau.

Brian Boëtig

« Il existe un modèle économique qui a vraiment été créé à partir de la cybercriminalité. Il faut se rendre compte que ce sont toujours des êtres humains qui dirigent une entreprise. Lors de ma première mission au FBI, nous avons travaillé sur les enlèvements contre rançon. Tu savais exactement ce que voulait le groupe. Ils demanderaient 10 millions, vous saviez que vous pouviez vous contenter de cinq. Il en va de même pour les rançongiciels aujourd'hui. Vous savez comment ils vont fonctionner, combien ils vont exiger et s'ils vont y donner suite. C'est prévisible, parce que c'est une entreprise. »

(SFX : saisie au clavier, le son d'une conversation enregistrée s'estompe — un cadre frustré parlant à voix basse, négociant le paiement d'un rançongiciel.)

Brian Boëtig

« La cybercriminalité est l'activité ultime en matière de télétravail. Vous pouvez être très, très loin de votre cible tout en gagnant de l'argent chaque jour. Et comme c'est plus sûr que la criminalité physique, des groupes appartenant au crime organisé se tournent vers la cybercriminalité. Ils gagnent plus d'argent avec moins de risques. »

RAGHU
C'est pourquoi il est si difficile de mettre fin à la cybercriminalité : il ne s'agit pas d'un seul hacker, d'un seul crime, d'un seul pays. Il s'agit d'un écosystème d'entreprises criminelles, de vente et d'échange de données, de kits de rançongiciels et de services de piratage.

Brett Johnson

« La plupart des attaques sont basées sur l'argent ou sur le statut. Si j'attaque pour de l'argent, je recherche l'accès le plus simple qui me permet de rentabiliser au maximum mon investissement criminel. La clé pour mettre fin à la cybercriminalité n'est pas d'essayer de prévenir toutes les attaques, mais de s'assurer que cela n'en vaut pas la peine pour l'attaquant. »

(SFX : Une voix robotique provenant d'un forum sur le dark web — « Nous garantissons votre clé de déchiffrement dans les 24 heures suivant le paiement. » Cliquez.)

RAGHU

Et si la cybercriminalité fonctionne comme une entreprise, la question qui se pose est la suivante : comment la perturber ?

Brian Boëtig

« Il faut bouleverser le modèle : rendre les attaques plus coûteuses, accélérer la reprise et supprimer les incitations financières. »

[Segment 4 : Repenser la résilience]

(SFX : Un téléphone à l'ancienne sonne, suivi d'un ping d'alerte d'actualités.)

RAGHU

Si la prévention à elle seule ne suffit pas, quelle est la principale chose sur laquelle les organisations devraient se concentrer ?

Le Dr Larry Ponemon est l'un des experts les plus respectés en matière de sécurité, de confidentialité et de recherche sur les risques. En tant que fondateur du Ponemon Institute, il a passé plus de deux décennies à suivre les données relatives aux violations, l'impact financier des cyberattaques et l'évolution du paysage de la sécurité.

Dr Larry Ponemon

« Pour chaque chose que nous sommes en mesure d'empêcher, 10 choses ont potentiellement été introduites sur le réseau. Et c'est révélateur et choquant. »

RAGHU

Ainsi, si les attaques se répètent constamment, le véritable défi n'est pas simplement de les arrêter, mais de s'assurer qu'elles ne dégénèrent pas en crises à part entière.

Dr Larry Ponemon

« La prévention n'est probablement pas la bonne chose à envisager, car ce n'est pas pratique. De nombreuses organisations ont renoncé à la prévention et envisagent des choses comme le temps de contenir, le temps de rétablir, le temps de faire les choses qui permettront de résoudre le problème. »

RAGHU

C'est pourquoi la résilience est la priorité, car en matière de cybersécurité, la question n'est pas si une attaque va se produire, mais quand.

Dr. Erik Huffman

« Si vous êtes une petite ou moyenne entreprise et qu'un État-nation veut vous obtenir, il est fort probable qu'il vous obtiendra. Vous pouvez tout faire correctement et toujours vous tromper. »

RAGHU

La panique ne fait qu'empirer les choses. Retard dans la prise de décision, employés figés : voilà les moments qui transforment un incident en catastrophe.

(SFX : une alerte de sécurité émet un ping. Un téléphone sonne en arrière-plan.)

RAGHU

C'est pourquoi la résilience ne se construit pas au moment de l'attaque, mais avant qu'elle ne se produise.

[Conclusion]

(SFX : Une musique pleine d'espoir et de réflexion commence à retentir.)

RAGHU

Voici donc le point à retenir : la confiance est un champ de bataille, mais la résilience est le bouclier. Les cybercriminels trouveront toujours de nouveaux moyens d'exploiter la confiance, mais les organisations qui renforcent leur résilience grâce à la segmentation, au confinement et à une culture axée sur la sécurité seront celles qui survivront.

Merci d'avoir écouté Le segment. N'oubliez pas de vous abonner pour ne pas manquer ces interviews complètes.

(SFX : La musique d'outro s'estompe.)

‍