Combler le fossé de la cybersécurité
Pourquoi Covid-19 apprend aux entreprises à combler le fossé de la cybersécurité
Selon le rapport 2021 Secure Consumer Cyber Report d’Ivanti, 30 % des travailleurs à distance aux États-Unis et au Royaume-Uni déclarent que leur entreprise ne les oblige pas à utiliser un outil d’accès sécurisé, notamment un VPN, pour se connecter aux bases de données et aux systèmes de l’entreprise.
En outre, 25 % des travailleurs à distance aux États-Unis et au Royaume-Uni ne sont pas tenus d’utiliser un logiciel de sécurité spécifique sur leurs appareils pour accéder à certaines applications lorsqu’ils travaillent à distance.
Et un travailleur à distance américain sur quatre utilise sa messagerie et ses mots de passe professionnels pour se connecter à des sites web et des applications grand public. Vous avez dit inquiétant ?
Les lacunes en matière de cybersécurité ont continué à se creuser pendant la pandémie. Une étude remarquable d’Ivanti illustre exactement comment les employés en home office mettent les organisations en danger et où la sécurité de l’entreprise est insuffisante, ce qui rend ces lacunes de cybersécurité difficiles à combler pour les RSSI. Le rapport 2021 Secure Consumer Cyber Report d’Ivanti décrit les défis auxquels les équipes informatiques et de cybersécurité ont été confrontées pour sécuriser les travailleurs à distance dans ce qui est décrit comme le « Everywhere Workplace ».
Basée sur des entretiens avec plus de 2 000 répondants américains et britanniques travaillant à domicile en novembre 2020, l’enquête montre que l’authentification et la sécurité des points névralgiques doivent être améliorées sur tous les appareils utilisés par les employés.
Les organisations informatiques ont besoin d’aide pour combler leurs lacunes en matière de cybersécurité
Parmi les nombreux enseignements tirés de l’enquête de 2020, les plus précieux sont les suivants :
Les employés ont besoin de terminaux (desktop) qui s’autodiagnostiquent et s’autoréparent, tandis que les services informatiques doivent améliorer la gestion unifiée des terminaux finaux distants, c’est à dire des appareils des employés dans le cadre d’une stratégie de ZERO Trust. Les Hackers continuent de cibler les identifiants d’accès privilégiés des travailleurs à distance pour accéder et exfiltrer les données clients, financières et propriétaires, y compris la propriété intellectuelle. L’enquête d’Ivanti donne un aperçu des domaines où les lacunes en matière de cybersécurité doivent être comblées en priorité :
La plus grande menace est celle liée à la protection de l’identité d’une personne, car elle est exposée à de divers menaces, notamment
les appareils personnels et professionnels,
les sites Web des consommateurs et les appareils IoT dans les foyers.
La pandémie prouve que les identités sont le nouveau périmètre de sécurité. Le téléphone portable, la tablette personnelle et l’ordinateur portable d’une personne constituent une définition numérique en temps réel de l’identité d’une personne. Près de la moitié (49 %) des travailleurs à distance américains utilisent des appareils personnels pour leur travail, souvent sans que l’authentification à deux facteurs soit activée.
L’absence de normes cohérentes en matière de logiciels de sécurité et de mots de passe contribue largement aux lacunes actuelles des organisations américaines et occidentales en matière de cybersécurité. Un travailleur à distance sur quatre peut accéder aux ressources de l’entreprise sans aucun logiciel de sécurité en place.
Un résultat encore plus surprenant est que 30 % des travailleurs à distance aux États-Unis et au Royaume-Uni peuvent accéder aux données de l’entreprise sans outil d’accès sécurisé ou connexion VPN. Si l’identité d’un travailleur distant est compromise, il y a une chance sur trois que son entreprise soit victime d’une faille, ce qui permet aux cyberattaquants de se déplacer latéralement dans les systèmes de l’entreprise :
La protection des identités et des appareils des travailleurs à distance à grande échelle nécessite une confiance zéro.
Automatiser autant de tâches que possible tout en offrant une expérience utilisateur continue et transparente est le moyen le plus sûr de combler les lacunes en matière de cybersécurité.
Se débarrasser des mots de passe et automatiser l’authentification à deux facteurs en utilisant Zero Sign-On (ZSO), un élément central de la plateforme Ivanti, s’avère essentiel aujourd’hui. Zero Sign-On s’appuie sur une la technologie biométrique, notamment Face ID, comme facteur d’authentification secondaire pour accéder à la messagerie professionnelle, aux communications unifiées et aux outils de collaboration, ainsi qu’aux bases de données et ressources partagées par l’entreprise.
Les RSSI et leurs équipes doivent également réfléchir à la manière dont la défense contre les menaces peut mieux sécuriser les appareils personnels contre le phishing, les menaces liées aux appareils, au réseau et aux applications malveillantes.
À la fin de l’année dernière, MobileIron (qui fait désormais partie d’Ivanti) a reçu sa deuxième mention en deux ans dans la Forrester Wave™ : Zero Trust eXtended Ecosystem Platform Providers, Q3 2020.
En conclusion, les lacunes des entreprises en matière de cybersécurité se creusent en raison d’une combinaison de comportements risqués des employés et d’un manque de sécurité cohérente pour salariés en remote. Et ces lacunes ne feront que s’accroître, car les employés travaillent de plus en plus depuis n’importe où, en utilisant leurs appareils personnels pour se connecter aux ressources de l’entreprise. Pour sécuriser et permettre l’evolution de la modern workplace, les organisations doivent commencer dès aujourd’hui à mettre en œuvre et à faire évoluer un modèle de sécurité de bout en bout de type « Zero Trust » en tirant parti des nouvelles technologies et en protégeant leurs investissements actuels dans les technologies de sécurité.