L’Australie a récemment déclaré qu’elle adopterait une approche radicale des cyberattaques et des rançongiciels, dans le cadre de laquelle il interdirait aux entreprises de payer des rançons pour récupérer leurs informations. L’idée est d’adopter une ligne « absolument sans tolérance » avec les pirates.
Nous avons parlé à Kevin Bocek, vice-président, stratégie de sécurité et intelligence des risques chez Venafi, une entreprise de professionnels de la cybersécurité qui a récemment publié une nouvelle étude de recherche sur le désir des entreprises de payer des rançons, et dans la partie 1 de cet article, Kevin a expliqué pourquoi la culture du paiement des rançons était apparue en premier lieu, et pourquoi, bien qu’elle n’élimine peut-être pas la menace des rançongiciels, le choix australien pourrait encore être utile pour mettre le problème directement devant les conseils d’administration et les obliger à y faire face.
Pendant que nous l’avions à la tête, nous avons interrogé Kevin sur les implications utiles d’interdire légalement aux conseils d’administration de payer une rançon en cas de cyberattaque.
THQ :
Pensez-vous que les conseils supporteront ce genre de législation pour leur interdire de payer des rançons ?
KB :
Je serais Je pense que cela les altérera, certainement, en raison du fait qu’il sera plus difficile pour les cyberattaquants de réussir, peu importe ce qu’ils essaient, de réussir. C’est la véritable intention de mouvements comme celui-ci – ils ne visent pas à punir les entreprises ou les conseils d’administration, d’ailleurs, ils sont là pour informer les conseils d’administration de l’importance d’un problème.
Des délocalisations comme celle-ci sont le véritable début d’une nouvelle action – que l’entreprise soit cotée à la bourse de Londres, à Paris, à Francfort, à New York ou à Sydney – cela devrait les inciter à signaler les cyberattaques dans le cadre de leurs rapports annuels, et exposent le niveau de leur cyberexposition. Cela modifiera très probablement les cartes, mais il suffit de les modifier pour les rendre plus efficaces dans la lutte contre les attaques de ransomwares. Il n’est pas prévu d’être une délocalisation anti-entreprise, et cela ne devrait pas conduire les conseils d’administration au point de rupture.
THQ :
Ainsi, la restriction de paiement ne pousse pas les entreprises entre deux coups et un endroit juridiquement difficile? Cela déplace simplement l’attention de la suite C, de sorte qu’elle traite cette préoccupation aussi sérieusement qu’elle le devrait ?
KB :
C’est exactement. Et je pense que c’est pourquoi cette focalisation doit être utilisée universellement, certainement dans les pays occidentaux. Idéalement, cela entraînera une standardisation dans les pays occidentaux sur la façon dont nous abordons cela.
THQ :
C’est la prochaine action logique, n’est-ce pas ? Voir si cela fonctionne et comment cela fonctionne, et quelles en sont les retombées et les impacts ? Et après cela pour juger si c’est une méthode intéressante à utiliser plus largement ?
KB :
Je pense qu’elle sera utilisée plus largement. Et je crois que c’est une excellente occasion de passer à l’action. En discutant avec des spécialistes de la cybersécurité en Australie, leur défi a toujours été d’attirer l’attention de la direction et du conseil d’administration sur les cyberattaques et la cybersécurité. Par exemple, en Australie, il existe des règles de sécurité des données. Cependant, le point de vue des spécialistes de la cybersécurité a toujours été que ces règles de protection des données n’ont en fait pas de mordant. Et cela commence à apporter un point de vue différent, entraînant une action favorable.
Et je pense que c’est également la raison pour laquelle ces directives australiennes seront invité par des experts internationaux en cybersécurité.
THQ :
Cela a toujours été une attitude dans le service, n’est-ce pas ? Certes, les cyberattaques sont possibles, nous devons donc faire tout ce que nous pouvons pour nous en protéger. Cependant, en fin de compte, la possibilité d’une cyberattaque est une dépense pour faire des affaires.
Nous avons récemment parlé à des gens de la cyberassurance, qui déclarent qu’en raison de la limite de danger croissante des cyberattaques, ils découpent silencieusement la défense contre les ransomwares hors de leurs polices de cyberassurance, ou exigent que de nombreuses mesures de cybersécurité strictes soient suivies avant même de composer des polices pour les entreprises.
Le temps de la cyberattaque appartenir au coût de faire des affaires est terminé, n’est-ce pas ?
KB :
C’est certainement terminé. Au Royaume-Uni, nous entrons sans aucun doute dans la plus longue récession de mémoire d’homme. Donc, avoir une cyberattaque en plus de cela n’est pas ce dont vous avez besoin sur votre marge. Donc, attirer l’attention de la suite C sur le fait que la cybersécurité est leur obligation partagée semble être la clé même de la survie pendant cette période à venir.
Il y a un devoir partagé entre le groupe de sécurité, qui comprend déjà son rôle ce faisant, le conseil d’administration, qui doit changer pour assumer son rôle en même temps, et même des investisseurs, dont l’argent pourrait bien être pillé par la cybernégligence, pour s’assurer qu’il y a au moins un membre du conseil d’administration qui a une réelle expérience en cybersécurité, de sorte que lorsque le gardien en chef rend compte de leur état de préparation, il y a un membre du conseil qui comprend ce qu’ils impliquent – et peut, si nécessaire, le décrire au reste du conseil, à son propre niveau. Tout cela doit être un cycle. Ce n’est pas une réparation du jour au lendemain, mais c’est le bon type de progrès.
THQ :
Cela finira par changer la composition des planches, n’est-ce pas, pour que les planches du la prochaine génération est beaucoup plus informée sur l’importance de la préparation aux cyberattaques ?
KB :
Elle doit le faire, définitivement. Normalement, votre conseil d’administration compte un membre qui est généralement un économiste, un spécialiste de la vérification, quelqu’un qui peut avoir une compétence et une compréhension approfondies du travail. Ils sont tous là parce que leur compétence est jugée essentielle au bon fonctionnement de l’entreprise. La même chose doit se produire avec la cybersécurité.
THQ :
Nous ne savons pas précisément comment cela va se dérouler, mais nous prévoyons que les cyberattaquants iront ailleurs et tenter d’autres choses pour monétiser leurs attaques. Vraisemblablement, nous réglons ce problème sur la route et le traitons lorsque nous en comprenons plus ?
KB :
Dans notre étude de recherche uniquement, moins de 20 % des attaques étaient simples « Nous faites crypter vos informations, et si vous nous payez, nous vous les renverrons » attaques de rançongiciels. Plus de 80%, étaient des variations sur ce style, consistant à aller après les clients. C’est une chance que nous voyons de plus en plus. Tout cela va donc continuer à progresser, d’autant plus que les services se déplacent de plus en plus vers le cloud. #
Il s’agit donc d’un domaine où les cyberattaques doivent être prises plus au sérieux au niveau du conseil d’administration, car alors que le CIO, le PDG ou le CMO pensent qu’une entreprise native du cloud offre une dextérité nécessaire au 21e siècle , et c’est le cas, il apporte également de nouvelles vulnérabilités. Vous n’avez plus de serveurs dans un centre d’information que vous pouvez supprimer si vous en avez vraiment besoin. Être natif du cloud est vraiment, extrêmement varié. C’est très probablement l’une des manières dont nous commencerons à voir ces types d’attaques se développer. Si vous essayez de trouver notre prédiction de l’avenir, la nôtre est que nous verrons davantage d’attaques centrées sur le cloud.
Imaginez quelqu’un tenant votre cloud contre rançon.
Ou quelqu’un se faisant passer pour votre cloud, même pour un court laps de temps, prenant le contrôle de réseaux entiers d’objets. Vous comprenez, aujourd’hui, les rançongiciels doivent généralement contaminer un système à la fois. Dans un monde d’appareils liés, qu’il s’agisse de votre cloud ou de gadgets IoT liés, si je peux prétendre être le cloud, vous pouvez envoyer toutes sortes de commandes et d’applications logicielles, et c’est beaucoup plus fiable que avoir à contaminer un ordinateur à la fois. Ce sont donc les emplacements qui verront les attaques progresser.
THQ :
Nous avons récemment parlé à un professionnel des appareils IoT, qui a mis en garde précisément contre cela : la facilité et rapidité de l’infection d’un appareil à l’autre jusqu’au cloud.
KB :
Je suis tout à fait d’accord avec ce point de vue sur les appareils liés à l’IdO. Cependant, nous avons également des appareils liés fonctionnant dans le cloud. Ainsi, avec une entreprise native du cloud exécutant Kubernetes, il y a aussi la possibilité d’infecter ou de prendre le contrôle de ceux-ci, et la vitesse de cette infection est tout simplement aussi rapide ou beaucoup plus rapide que ma capacité à prendre le contrôle d’un réseau d’objets.
La société s’est beaucoup concentrée sur l’identité des individus, qu’il s’agisse de clients ou de membres d’équipe. On s’est moins concentré sur l’identité de l’appareil, et je pense que ce sera le prochain obstacle à mesure que nous passerons aux ransomwares et aux cyberattaques centrés sur le cloud.
Nous aurons besoin de savoir si les directives proviennent du cloud, ou un service cloud ou un appareil IoT – l’identité de celui-ci est à bien des égards aussi importante que l’identité d’un individu. Cette prise de conscience de l’identité de la machine a en fait augmenté récemment, et elle deviendra de plus en plus importante à mesure que le risque de ransomware évolue.
THQ :
Il s’agit essentiellement d’une course aux armements entre les entreprises et les cyberattaquants , n’est-ce pas ?
KB :
Vous pourriez dire cela. Nous construisons plus de sécurités, et les cybercriminels évolueront aussi. Ils évoluent constamment. C’est une certitude.
Cependant, si nous sommes vraiment sérieux quant à la protection de notre entreprise, alors nous faisons notre travail. Oui, il y aura des événements, même dans les services les mieux protégés. Vous serez beaucoup mieux préparé, et donc vous réagirez beaucoup mieux. Le cyber-risque ne disparaît pas. Cependant, si vous êtes sévère, si vous avez la défense qui gère votre capacité de réaction, et que votre entreprise concurrente ne le fait pas, où les agresseurs vont-ils réussir ?
Et par rapport à cela, où sont vont-ils se concentrer ? Ce sera dans les endroits qui ne sont pas protégés. Certes, avec l’appui du gouvernement fédéral, comme le proposent les Australiens, cela devient un problème de compétitivité. Il ne s’agit pas seulement de savoir si nous protégeons les infrastructures vitales, c’est une simple question de compétitivité. Prenez la cybersécurité plus au sérieux que vos concurrents et vous êtes le service le plus compétitif.
THQ :
C’est comme cette histoire de deux personnes face à un lion. L’un porte des chaussures de course et l’autre dit « Vous ne dépasserez jamais un lion, même avec celles-ci ». Et alors que le premier individu noue ses lacets, il se tourne vers son copain, l’air confus, et déclare « Je n’ai qu’à te distancer ». Les organisations sont instantanément rendues plus compétitives simplement en étant mieux préparées aux cyberattaques.
KB :
Bien ?
THQ :
Enfin , la méthode australienne a été le résultat de deux attaques assez massives qui ont en fait frappé à la maison et étaient très publiques. Qu’est-ce qui persuade les gouvernements du reste du monde occidental de faire cela ? En l’absence d’attaques aussi massives, espérons-le.
KB :
Je pense que le faire quelque part est un début. Un pays prenant une mesure commencera à en prendre conscience. Les entreprises multinationales auront une entreprise en Australie et comprendront que cela signifie qu’elles doivent obéir aux directives australiennes. Et si vous devez le faire pour vendre l’Australie, pourquoi vous abstenir de le faire dans toute l’entreprise, quelles que soient les directives nationales. Cela suscitera beaucoup de sensibilisation et d’action sur cette question. Oui, les cyberattaques efficaces stimulent la prise de conscience parce que l’attention est concentrée dessus. Je crois en la base, il y a une prise de conscience croissante.
Je pense que cela prédit l’avenir. Quoi qu’il en soit, il y aura plus d’action du gouvernement fédéral, plus d’exigences du gouvernement fédéral. C’est un domino qui continue de conduire l’action. Si quelqu’un agit comme un cynique, déclarant qu’en Europe occidentale, aux États-Unis et au Canada, nous n’allons pas voir ce type d’action, je pense qu’il serait tout à fait incorrect.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
