La RSA Conference qui s'est tenue du 13 au 17 février à San Francisco a réuni les meilleurs spécialistes en cybersécurité de l'industrie. Les éditeurs et les fournisseurs y ont présenté des produits pour lutter contre les ransomware, pour prévenir contre le vol de données et plus encore. Mais, les meilleurs logiciels de sécurité sont inutiles si les utilisateurs et les entreprises ne prennent pas les bonnes mesures pour se protéger. Notre confrère d’IDG, Michael Khan, a demandé à 5 experts présents à la RSA Conference quels étaient leurs meilleurs conseils en matière de cybersécurité.
Joe Stewart, directeur de la recherche sur les malwares chez Dell SecureWorks
Joe Stewart conseille à chacun de mettre en place l'authentification à deux facteurs pour protéger ses comptes internet, notamment les comptes de messagerie électronique. L’authentification à deux facteurs peut s’avérer particulièrement efficace pour empêcher des pirates de voler des mots de passe de connexion, soit à l’aide de programmes malveillants ou de campagne de phishing. Même si le pirate réussit à voler les mots de passe de l’utilisateur, l'authentification à deux facteurs peut le protéger de toutes les attaques, sauf les plus sophistiquées. Comme son nom l’indique, l’authentification à deux facteurs nécessite une seconde authentification pour accéder à un compte, par exemple la vérification de l’empreinte digitale de l’utilisateur ou l’entrée d’un code unique envoyé par SMS sur son téléphone mobile. « Elle pourrait stopper la plupart des fraudes », a déclaré Joe Stewart. « Certains logiciels malveillants bancaires sont capables de contourner l'authentification à deux facteurs. Mais, pour ce qui est des messageries électroniques des entreprises, la double authentification réduirait nettement la plupart des attaques ciblant ces comptes », a-t-il déclaré.
Mike Sentonas, vice-président de la stratégie technologique chez CrowdStrike
Selon Mike Sentonas, les entreprises doivent d'abord répertorier les actifs qu'ils veulent protéger contre les cyber menaces, et ne pas acheter aveuglément les tout derniers produits de sécurité. « Dans les actifs, il peut y avoir le personnel, la propriété intellectuelle, la base de données client, ou d’autres choses. Chaque entreprise possède quelque chose de valeur », a-t-il déclaré. « Donc, l’entreprise doit identifier quels sont ces précieux actifs. Ensuite, elle doit savoir où ils se trouvent et qui peut y accéder ». Cet audit permet de se poser des questions comme : « Le personnel est-il suffisamment sensibilité à la sécurité ? Avons-nous besoin de renforcer notre architecture et avons-nous les experts pour cela ? », a-t-il ajouté. « Il ne faut pas toujours se précipiter pour acheter le dernier produit ou service. Parfois c’est le cas, mais ce ne devrait pas être le point de départ ».
Mike Buratowski, vice-président des services de cybersécurité chez Fidelis Cybersecurity
Beaucoup de gens pensent encore qu’ils ne seront jamais la cible des pirates. Mais, Mike Buratowski ne croit pas dans cette hypothèse. « Toute information est précieuse et a une valeur pour quelqu’un », a-t-il dit. « Il n’est pas nécessaire d’être paranoïaque. Il faut juste avoir conscience que les cyberattaques sont bien réelles et que les pirates cherchent souvent à exploiter la naïveté des victimes », a-t-il ajouté. Par exemple, dans les entreprises, encore trop de gens se font piéger par les campagnes de phishing en cliquant sur n’importe quel courrier électronique, en pensant que le message provient d'une source légitime. « La personne à l'autre bout n’est pas forcément toujours celle qu’elle prétend être », a-t-il rappelé.
Chris Wysopal, directeur de la technologie chez Veracode
Ne pas faire entièrement confiance à la technologie. Tel est le conseil de Chris Wysopal. Dans cela, il inclut aussi bien les logiciels que les services Internet que l’on utilise ou que l’on achète. « Il faut se dire qu’aucun d’eux n’est sûr et qu’il peut être facile de les compromettre », a déclaré Chris Wysopal. « Mieux encore. Il faut penser qu’un jour cela peut arriver », a-t-il ajouté. « Par exemple, il faut éviter de mettre des données sur Facebook ou un réseau de ce genre, sauf si vous voulez vraiment les partager avec le monde entier ». Les utilisateurs et les entreprises doivent être prudents. Les risques de sécurité ne sont pas seulement à imputer aux pirates, mais aussi aux vendeurs qui n'ont pas fait leur diligence raisonnable en terme de sécurisation de leurs produits. « Ils doivent mériter votre confiance. Demandez-leur de vous prouver que vous pouvez leur faire confiance ».
Jeremiah Grossman, chef de la stratégie de sécurité chez SentinelOne
Jeremiah Grossman recommande également aux entreprises de faire un inventaire de tous leurs actifs. De cette façon, elles pourront plus facilement voir quelles ressources sont exposées en ligne et lesquelles pourraient être vulnérables. « Quand une entreprise est victime d’un piratage, cela arrive souvent par le biais d’un ordinateur, d’une boîte, d’un site Web leur appartenant et dont elles ignoraient l’existence », a-t-il déclaré. « Dans le cas d’une petite entreprise, cet inventaire peut prendre une journée. Mais pour une entreprise du Fortune 500, cela demande quelques semaines », a-t-il ajouté. L’audit peut être réalisé en interne ou délégué à une société de conseil externe à l’entreprise. Selon lui, les responsables de la sécurité informatique d'une entreprise devraient se poser la question : « Si je devais arriver dans une nouvelle entreprise, qu'est-ce que je protègerais ? »