Questions-réponses avec le directeur de la technologie de Dashlane : Comment les responsables de la sécurité peuvent s’attaquer aux principales causes des failles de sécurité ?
L'erreur humaine est à l'origine de 55 % des failles de données, et l'exploitation des vulnérabilités en est à l'origine de 21 % supplémentaires. Bien que les équipes de sécurité travaillent avec diligence pour atténuer ces risques et protéger les données de leur entreprise, une nouvelle vague de risques peut compliquer leurs efforts, à mesure que les cybercriminels s'adaptent, que de nouvelles technologies sont introduites et que les budgets de sécurité ne croissent pas en conséquence.
Frédéric Rivain, directeur de la technologie chez Dashlane depuis près d'une décennie, explique que le temps ne fera que continuer à apporter de nouvelles vulnérabilités et de nouveaux défis pour les équipes informatiques.
« Nous avons fait beaucoup de progrès dans la protection des systèmes et des humains en ligne au cours des dernières années, mais dans le même temps, notre utilisation et notre dépendance aux systèmes informatiques ont augmenté, de sorte que les risques et les besoins ont explosé en parallèle », explique Rivain.
Poursuivez votre lecture pour savoir comment il pense que les responsables de la sécurité peuvent relever leurs plus grands défis de sécurité de manière plus proactive et ce qui lui donne de l'espoir pour l'avenir.
Q : Être réactif plutôt que proactif en matière de sécurité a contribué à de nombreuses failles de sécurité. Qu'est-ce qui peut aider les responsables de la sécurité à être plus proactifs ?
FR : Tout d'abord, il s'agit de s'assurer que vous avez les bases en place. Le plus souvent, la sécurité est une question de bon sens et de respect des bonnes pratiques plutôt que d'avoir accès aux technologies les plus avancées. Quelques exemples :
- Avez-vous la SSO et l'authentification multifacteurs appliquées sur tous vos systèmes critiques ? Sont-ils associés à un gestionnaire d'identifiants déployé dans l'ensemble de l'entreprise pour compléter et couvrir tous les autres services utilisés par votre entreprise ?
- Formez-vous régulièrement vos employés à la sécurité et aux risques, en vous assurant de les sensibiliser à des sujets tels que le phishing, la confidentialité des données, les fuites de données, l'ingénierie sociale, etc.
- Avez-vous défini un modèle de menace qui identifie les risques pour votre entreprise ? Les examinez, les priorisez-vous et les abordez-vous de manière cohérente avec vos parties prenantes ?
Une fois que vous avez ces bases en place, vous êtes déjà dans une bonne position pour commencer à être proactif, et maintenant élever la barre en matière de pratiques de sécurité. Par exemple, si vous utilisez la double authentification push, envisagez de passer à WebAuthn et à la biométrie sur l'appareil ou même aux clés de sécurité matérielles pour votre population privilégiée, telle que les administrateurs et les ingénieurs informatiques.
Q : Le manque de visibilité sur les risques basés sur les identifiants est un défi majeur. Que peuvent faire les responsables de la sécurité pour y remédier ?
FR : Vous ne pouvez améliorer que ce que vous mesurez. Ou, en d'autres termes, en tant que responsable de la sécurité, vous devez surveiller et comprendre les comportements de vos employés. Ces comportements ne sont pas seulement liés au travail, car les employés utilisent également leurs appareils de travail à des fins personnelles. Leur hygiène des identifiants est la somme de ces comportements.
Dashlane vous donne les outils pour identifier de manière proactive ces comportements avec la détection des risques d'identifiants, qui fait partie de notre extension web. Il fournit aux administrateurs informatiques une surveillance en temps réel des identifiants des employés à risque, ainsi que des rapports et des journaux d'activité complets. Cela est important, car même si un employé utilise activement le gestionnaire d'identifiants de son lieu de travail, il peut toujours avoir de mauvaises habitudes dont vous n'êtes pas au courant. La fonctionnalité fonctionne même pour les employés qui n'utilisent pas Dashlane.
Vous souhaitez garder une longueur d'avance sur les menaces d'identifiants avec des outils de sécurité proactifs des identifiants que vous pouvez définir, oublier et faire confiance ? En savoir plus sur la façon de commencer.
Q : Il y a beaucoup de discussions sur la façon dont l'IA augmente les risques de cybersécurité. Que suggérez-vous de faire aux entreprises pour se défendre ?
FR : À court terme, je vois deux risques principaux liés à l'utilisation malveillante de l'IA :
- Des attaques de phishing plus personnalisées et sophistiquées, alimentées par l'IA. La contre-attaque consiste à se déplacer vers les identifiants non phishables tels que les clés d'identification. Dashlane prend en charge les clés d'accès sur toutes les plates-formes et offre même une solution sans mot de passe maître pour que les consommateurs deviennent plus résistants au phishing.
- La propriété intellectuelle ou les fuites de données via les outils d'IA. Ce risque est difficile à atténuer, car il est très facile aujourd'hui de créer un compte personnel sur une plate-forme telle que ChatGPT et de commencer à l'alimenter en données de travail privées. Aller de l'avant : Choisissez la plate-forme d'IA qui sera vérifiée par votre entreprise et que les employés seront formés et encouragés à utiliser. Cela le rend pratique pour les employés d'utiliser les outils d'IA approuvés plutôt que les plates-formes d'IA informatiques d'ombre.
Q : Comment les entreprises peuvent-elles construire une culture de la sécurité dans laquelle les employés ont l'impression de jouer un rôle clé dans la sécurité ?
FR : Tout le monde est responsable de la sécurité de l'entreprise. Tout employé peut devenir un lien faible et la source d'un incident de sécurité. Cela doit être un rappel constant du PDG à l'ensemble de l'entreprise et renforcé par des formations et des exercices réguliers, tels que les simulations de phishing. Vous pouvez également illustrer l'impact des incidents de sécurité en partageant les leçons des failles de sécurité qui sont arrivées à vos concurrents.
En tant que responsable de la sécurité, votre rôle est également de configurer, installer les garde-fous de sécurité et les protections structurelles qui minimisent le risque pour les employés de faire des erreurs. Par exemple, si un employé n'a pas besoin d'accéder aux données confidentielles spécifiques sur les clients pour leur travail, ne leur donne pas accès. Ce principe de « moindre privilège d'accès » vous assure de limiter les risques et l'exposition, au cas où l'employé serait piraté.
Q : Il y a toujours un nouveau titre effrayant sur les risques de sécurité ou les failles de sécurité. Qu'est-ce qui vous donne de l'espoir sur l'état de la cybersécurité aujourd'hui et demain ?
FR : Si vous m'autorisez les comparaisons, la cybersécurité est comme la santé. C'est juste la santé numérique, plutôt que la santé physique. Avec le temps, nous avons été en mesure d'inventer des vaccins et des remèdes et de rendre l'humanité plus saine en général. C'est un long voyage, avec malheureusement des pas en arrière et de nouvelles maladies, mais nous avons fait des progrès dans l'ensemble.
La cybersécurité est la même. Les systèmes et les humains sont généralement plus sécurisés en ligne aujourd'hui qu'ils ne l'étaient, mais les risques et les besoins ont également augmenté. Nous avons donc encore beaucoup de travail devant nous pour obtenir notre vie numérique dans un état plus sain.
À l'avenir, le voyage vers un avenir numérique plus sécurisé nécessitera de la résilience, de l'adaptabilité et de la collaboration. En investissant dans les mesures proactives aujourd'hui, que ce soit à travers les pratiques de sécurité fondamentales, la gestion des identifiants ou l'éducation à la sécurité, nous ferons tous de notre lieu de travail et de notre secteur d'activité un endroit plus sûr.
À mesure que les équipes de sécurité, les employés et les dirigeants se concentrent sur la vigilance et la responsabilité, nous pouvons constamment élever la barre et construire un monde numérique où la sécurité et la confiance sont la norme et les risques sont minimisés. La route vers un écosystème numérique plus sain et plus sécurisé peut être longue, mais chaque pas en avant nous rapproche.
Sécurisez le présent et l'avenir numériques de votre entreprise avec la sécurité des identifiants proactive. En savoir plus sur la façon de commencer aujourd'hui.
Inscrivez-vous pour connaître toute l'actualité de Dashlane
