Le mois de sensibilisation à la cyber-sécurité : besoin d’une refonte radicale et d’un coup de pouce législatif, dit ESET

 Le 1^er Octobre 2024 - Octobre 2024 marque le 21e anniversaire du mois de sensibilisation à la cyber-sécurité, CSAM. Il s'est transformé en un effort de collaboration entre le gouvernement et l'industrie pour améliorer la sensibilisation à la cyber-sécurité, encourager les actions du public pour réduire les risques en ligne et créer un débat sur les cyber-menaces à l'échelle nationale et mondiale.

« Sans jeter un œil au thème officiel du CSAM 2024, j’ai donné les conseils habituels à un collègue : utiliser des mots de passe forts et uniques, activer l’authentification multi facteur (MFA) et ne pas cliquer sur des liens de phishing. J’avais résumé presque tous les points du thème de cette année,  ‘Sécuriser notre monde’» explique Tony Anscombe, Chief Security Evangelist d’ESET.

 Avec l’abondance de conseils qui circulent chaque mois d’octobre, on pourrait penser qu’ils suffisent à créer un cyberespace sûr et sécurisé. Mais ces conseils sont-ils efficaces pour générer des changements de comportement significatifs et aider à faire face aux risques de sécurité croissants d’aujourd’hui et de demain ?

 Après une décennie de promotion des mêmes directives, il est temps de repenser, de légiférer et d’appliquer de meilleures pratiques en matière de cyber-sécurité, en particulier quand des informations personnelles identifiables (PII) ou autres données de valeur sont en jeu. Sans être partisan de résoudre des problèmes par la législation et la réglementation, actuellement on ne constate pas de progrès à la vitesse requise. Nombres de services et d’applis populaires en ligne n’offrent toujours pas l’MFA et, s’ils le font, elle n’est pas activée par défaut. Le CSAM de l’an prochain pourrait être totalement dépourvu de ce sujet si toutes les entreprises qui stockent des PII étaient obligées d’activer, par défaut, l’MFA sur tous les comptes d’utilisateurs.

L'activation par défaut de l'MFA peut poser des problèmes d'accessibilité. Si les utilisateurs ont réellement besoin de la désactiver pour une raison quelconque, ils devraient pouvoir le faire. Pour les autres, l'activation par défaut de l'MFA devrait être la norme. Tout comme de nombreux sites Web cachent actuellement l'option permettant d'activer l'MFA, ils devraient aussi cacher l'option permettant de la désactiver.

Apple a été une des entreprises courageuses imposant l’MFA à tous les utilisateurs en 2017. A-t-elle perdu des utilisateurs ? Le cours de ses actions a-t-il baissé ? S’ils n’ont pas d’autre choix, les utilisateurs adoptent une pratique de sécurité renforcée qui protège leurs données et leurs biens.

L’activation de l’MFA par défaut pour tous les utilisateurs présente également l’avantage de réduire considérablement les risques associés au recyclage des mots de passe. Un mot de passe réutilisé soutenu par l’MFA est moins susceptible de poser problème. Cela ne signifie pas qu’il est acceptable d’utiliser des mots de passe faibles ou de les réutiliser sur plusieurs sites. L’importance accordée aux mots de passe forts et uniques diminuera, car la couche supplémentaire d’MFA contribuera grandement à prévenir le vol d’informations d’identification.

Le vol d’identifiants est un problème majeur depuis si longtemps. Il faut repenser la situation. On a vu des précédents efficaces dont le Règlement Général sur la Protection des Données. L’UE a compris que sans réglementation stricte, les entreprises continueraient à suivre la voie de la facilité : collecter des données et les stocker sans chiffrement, dans une approche, style Far West, de la protection des données. La sécurité des données coûte cher et des directeurs financiers économes donnaient la priorité aux profits à court terme plutôt qu’à la sécurité à long terme. Mais le RGPD a changé cela car les lourdes amendes prévues justifient le budget consacré à des mesures appropriées.

Imaginez que l’an prochain, des leçons sur la sécurité de base telle que les mots de passe forts et uniques et l’MFA ne fassent plus partie du CSAM. Après des années à taper sur ce clou, le débat pourrait enfin évoluer. L’attention pourrait se porter sur les escroqueries généralisées qui volent l’argent durement gagné des victimes. Certains de ces sujets sont abordés aujourd’hui, mais souvent, ils se perdent dans la masse.

Il est donc temps de changer de cap et de légiférer sur ce que certains dans le secteur n’ont pas réussi à mettre en œuvre afin que l’éducation cruciale sur les véritables problèmes de cyber-sécurité puisse faire la une des journaux.

A PROPOS d’ESET                                                                                                                                                                                        ESET® offre une sécurité de pointe pour prévenir les attaques avant qu'elles ne se produisent. Avec la puissance de l'IA et l'expertise humaine, ESET conserve une longueur d'avance sur les menaces connues et émergentes, en sécurisant les  mobiles, ses solutions et services basés sur l’IA et axés cloud sont efficaces et faciles à utiliser. La technologie ESET comprend une détection et une réponse robustes, un cryptage ultra-sécurisé et une authentification multi facteur. Avec une défense en temps réel 24/7 et un solide support local, ESET assure la sécurité des utilisateurs et des entreprises sans interruption. Un paysage numérique en constante évolution exige une approche progressive de la sécurité : ESET dispose d’une recherche de classe mondiale et d’une puissante intelligence des menaces, soutenues par des centres de R&D ainsi qu’un réseau mondial de partenaires. Plus d'infos : www.eset.com ou  LinkedIn, Facebook, X et https://www.eset.com/be-fr/.   

Catherine d’Adesky / Louise Biron
+32 (0)475 48 62 68
catherine@keycommunications.be