Le 19 septembre, la société de covoiturage Uber a connu une autre faille de sécurité très médiatisée. Un pirate informatique, désormais considéré comme affilié au groupe de piratage Lapsus$, a probablement acheté des identifiants sur le dark web. Ils ont utilisé ces informations d’identification pour exécuter une attaque de fatigue par authentification multi-facteurs (MFA). L’attaquant a tenté à plusieurs reprises de se connecter à l’aide des informations d’identification, incitant un sous-traitant d’Uber à répondre à une demande d’authentification à deux facteurs. Finalement, l’entrepreneur a répondu à celui qu’il pensait être un informaticien d’Uber, et le pirate a pu obtenir un accès privilégié à plusieurs outils du réseau d’Uber.
Le même hacker serait également responsable d’une brèche chez Rockstar Games. Les détails de la façon dont l’attaquant a eu accès aux systèmes de Rockstar Games sont moins clairs, mais ces attaques semblent toutes deux être le travail d’ingénierie sociale.
Des failles de sécurité très médiatisées comme celle-ci pourraient amener d’autres équipes de direction à pousser un soupir de soulagement. Au moins, ce n’était pas leur compagnie. Mais les brèches d’Uber et de Rockstar Games, aussi inévitables et courantes qu’elles puissent paraître de nos jours, s’accompagnent également de précieuses leçons pour les responsables informatiques qui veulent éviter le même sort. En voici quatre à considérer :
1. L’authentification multifacteur a besoin d’un autre regard
Plus de la moitié des entreprises utilisent MFA, selon le rapport 2022 Cyberthreat Defense Report de CyberEdge Group. Bien qu’il puisse s’agir d’un outil de sécurité puissant, il n’est pas infaillible, comme l’illustre clairement la violation d’Uber. L’évaluation et l’avancement des capacités MFA et de la gestion des accès pourraient constituer une étape pour garder une longueur d’avance sur les attaquants et leurs méthodes en constante évolution.
« Il existe des approches plus sécurisées pour l’authentification multifacteur. Ils peuvent entraîner des coûts supplémentaires… en termes d’entreprise [losing] une partie de sa flexibilité opérationnelle ou en imposant des charges supplémentaires aux employés », a déclaré à InformationWeek Bob Kolasky, vice-président directeur de la société de gestion des risques de la chaîne d’approvisionnement Exiger et ancien directeur adjoint de la Cybersecurity and Infrastructure Security Agency (CISA).
2. L’ingénierie sociale est là pour rester
Certaines attaques réussissent parce que les pirates sont capables d’exploiter les vulnérabilités de sécurité du réseau et du système d’exploitation, mais dans ce cas, l’attaquant a pu tirer parti de l’ingénierie sociale. Compte tenu du niveau de succès de ces types d’attaques, il est peu probable qu’elles s’arrêtent de si tôt.
Les gens peuvent être formés pour repérer les tentatives d’ingénierie sociale, mais l’erreur humaine ne disparaît pas. « Ce n’est pas la faute de l’employé qui a été victime ; cela pourrait arriver à n’importe qui, y compris aux professionnels de la sécurité chevronnés », affirme Kurt Alaybeyoglu, directeur principal des services de cybersécurité de la société de conseil en gestion d’entreprise Strive Consulting. “C’est pourquoi les professionnels de la sécurité préconisent des approches de défense en profondeur de la sécurité depuis maintenant deux décennies.”
Rahul Mahna, directeur général de la société de conseil EisnerAmper, considère la résolution des erreurs humaines comme la prochaine frontière de la cybersécurité. “Nous pensons que la ‘sécurisation de l’humain’ sera à la pointe des efforts de cybersécurité à l’avenir”, a-t-il déclaré. “Une forme améliorée de sécurisation de l’humain consiste à s’assurer qu’il utilise une clé matérielle, telle qu’une clé USB.”
3. Connaître les risques de votre organisation
“Uber a eu de la chance d’avoir échappé à de graves conséquences opérationnelles, financières et éventuellement réglementaires – cela reste à voir”, déclare Alaybeyoglu.. Cela ne signifie pas nécessairement qu’Uber a évité un processus de nettoyage coûteux, sans parler des dommages causés à sa marque.
Les responsables informatiques d’autres entreprises peuvent profiter de l’occasion pour évaluer les risques de leur organisation. Où sont les vulnérabilités ? Que pourrait coûter une violation à l’entreprise ? “Créez une feuille de route pour mettre en œuvre les composants d’atténuation manquants et les mesures que vous utiliserez pour déterminer leur bon fonctionnement”, recommande Alaybeyoglu.
Alors que la cybersécurité est en grande partie le domaine du leadership informatique, elle ne peut pas y vivre en silo. “N’oubliez pas que la cybersécurité est un risque commercial”, prévient Kolasky.
4. La cybersécurité nécessite l’adhésion de la direction
Les responsables informatiques peuvent tirer la sonnette d’alarme sur les risques de cybersécurité, mais les entreprises resteront vulnérables aux attaques comme celle subie par Uber jusqu’à ce que la cybersécurité soit une priorité dans la suite C.
“Sans l’adhésion de la direction et un changement de perspective de la sécurité en tant que centre de coûts vers une entreprise – un catalyseur, il sera impossible de former les personnes, de créer les processus et d’utiliser la technologie pour responsabiliser les entreprises et minimiser les dommages lorsque les attaquants viennent frapper à la porte », explique Alaybeyoglu.
Que lire ensuite :
Comment ne pas gaspiller d’argent en cybersécurité
Twilio Breach : 5 questions à poser sur la protection de votre propre entreprise
Boîte à outils de deux minutes : CloudSphere sur la cybersécurité et la délocalisation
: Nate Entertainment](https://thumbnews.nateimg.co.kr/view610///news.nateimg.co.kr/orgImg/my/2024/04/27/2024042700002101625_l.jpg)
