Au-delà de la technologie : faire face aux menaces émergentes grâce à la sécurité dès la conception
Dans l’environnement numérique d’aujourd’hui, les mesures de sécurité techniques ne suffisent pas. Des menaces émergentes telles que les deep fakes et l’ingénierie sociale ciblent nos processus et exploitent les vulnérabilités humaines. Un exemple récent souligne l’urgence de cette question :
Selon la police de Hong Kong, un employé financier d’une multinationale a été amené à transférer 25 millions de dollars à des fraudeurs qui ont utilisé la technologie deepfake pour se faire passer pour le directeur financier de l’entreprise lors d’une vidéoconférence. Le stratagème sophistiqué impliquait que l’employé rejoignait un appel vidéo et croyait qu’il interagissait avec plusieurs collègues, qui étaient tous en fait des créations de deepfake, a déclaré la police de Hong Kong lors d’un briefing.
Cet incident démontre que la sécurité doit aller au-delà de la technologie. C’est clair : la sécurité dès la conception doit être appliquée aux processus, et pas seulement aux systèmes.
Responsabilité partagée
En tant que RSSI, nous sommes souvent considérés comme les principaux responsables des questions de sécurité. Cependant, cette responsabilité doit être partagée avec les propriétaires de processus. La sécurité dès la conception n’est pas seulement la responsabilité de l’informatique. Chaque manager a un rôle à jouer. L’intégration de la sécurité dans chaque processus métier est essentielle pour protéger nos organisations contre les menaces sophistiquées. Cela signifie concevoir des flux de travail sécurisés, former en permanence nos équipes et mettre en œuvre des politiques qui renforcent nos défenses.
Le défi des technologies non sécurisées
Tant que nous nous appuyons sur des technologies non sécurisées telles que les e-mails et les réunions vidéo, nous devons mettre en œuvre des mesures non techniques pour atténuer ce risque. Les réunions par e-mail et vidéo sont intrinsèquement non sécurisées en raison de leur vulnérabilité au phishing, à l’usurpation d’identité et aux attaques de l’homme du milieu. Ces technologies n’ont pas été conçues pour assurer une sécurité robuste et ne peuvent pas être facilement corrigées en raison de leur utilisation généralisée et de la complexité de l’intégration de mesures de sécurité renforcées sans perturber les opérations commerciales.
Les technologies émergentes de l’IA augmentent le risque associé à ces technologies non sécurisées et continueront de le faire, ce qui rend encore plus cruciale l’adoption de mesures de sécurité complètes. Par conséquent, la mise en œuvre de mesures non techniques telles que des protocoles de vérification clairs, une formation régulière sur l’identification des tentatives de phishing et l’établissement de politiques strictes pour confirmer les identités par plusieurs canaux est essentielle pour atténuer les risques associés à ces technologies.
Recommandé par LinkedIn
Éviter les fausses confidences
Une solution technique rapide souvent mise en œuvre est l’utilisation d’un logiciel de filtrage des e-mails pour bloquer les e-mails de phishing. Bien que cela puisse réduire le volume de tentatives d’hameçonnage qui atteignent les employés, cela peut créer un faux sentiment de sécurité. Les employés peuvent croire que tous les e-mails malveillants sont interceptés, ce qui peut conduire à la complaisance. En réalité, les tentatives d’hameçonnage sophistiquées peuvent toujours contourner les filtres, et sans formation et protocoles de vérification appropriés, les employés restent vulnérables.
S’appuyer sur des solutions techniques aussi rapides pour chaque problème causé par la technologie peut conduire à une fausse confiance, car cela crée l’illusion d’une sécurité sans s’attaquer aux vulnérabilités sous-jacentes. Cette approche ne tient pas compte des facteurs humains et des faiblesses des processus exploités par des attaquants sophistiqués.
Étapes pratiques pour une sécurité renforcée
Une simple politique aurait pu empêcher cet incident. Par exemple, la mise en œuvre d’un protocole de vérification pour les transactions importantes, par exemple en exigeant une confirmation secondaire par un autre canal de communication (comme un appel téléphonique ou une application de messagerie sécurisée), aurait pu révéler la fraude avant que le transfert n’ait lieu. Ce type de politique garantit que les actions critiques sont vérifiées, ce qui ajoute une couche de sécurité supplémentaire.
Renforcer la responsabilité en matière de sécurité
À mesure que les risques évoluent, notre approche de gestion doit également évoluer. La sécurité est une responsabilité qui doit être élevée au niveau général de l’entreprise. Les gestionnaires à tous les niveaux détiennent la clé de l’intégration de la sécurité dans le tissu de nos opérations. En abordant de manière proactive la sécurité dans la conception des processus, nous pouvons minimiser les risques et construire des organisations résilientes et à l’épreuve du temps.
Conduisons ce changement ensemble. La sécurité dès la conception doit être une responsabilité partagée à tous les niveaux de gestion, avec une responsabilité claire.
#SecurityByDesign #Cybersécurité #DeepFakes #Ingénierie sociale #ProcessSecurity #Leadership #Transformation numérique