Le mois de sensibilisation à la cyber-sécurité : besoin d’une refonte radicale et d’un coup de pouce législatif, dit ESET

 Le 1^er Octobre 2024 - Octobre 2024 marque le 21e anniversaire du mois de sensibilisation à la cyber-sécurité, CSAM. Il s'est transformé en un effort de collaboration entre le gouvernement et l'industrie pour améliorer la sensibilisation à la cyber-sécurité, encourager les actions du public pour réduire les risques en ligne et créer un débat sur les cyber-menaces à l'échelle nationale et mondiale.

« Sans jeter un œil au thème officiel du CSAM 2024, j’ai donné les conseils habituels à un collègue : utiliser des mots de passe forts et uniques, activer l’authentification multi facteur (MFA) et ne pas cliquer sur des liens de phishing. J’avais résumé presque tous les points du thème de cette année,  ‘Sécuriser notre monde’» explique Tony Anscombe, Chief Security Evangelist d’ESET.

 Avec l’abondance de conseils qui circulent chaque mois d’octobre, on pourrait penser qu’ils suffisent à créer un cyberespace sûr et sécurisé. Mais ces conseils sont-ils efficaces pour générer des changements de comportement significatifs et aider à faire face aux risques de sécurité croissants d’aujourd’hui et de demain ?

 Après une décennie de promotion des mêmes directives, il est temps de repenser, de légiférer et d’appliquer de meilleures pratiques en matière de cyber-sécurité, en particulier quand des informations personnelles identifiables (PII) ou autres données de valeur sont en jeu. Sans être partisan de résoudre des problèmes par la législation et la réglementation, actuellement on ne constate pas de progrès à la vitesse requise. Nombres de services et d’applis populaires en ligne n’offrent toujours pas l’MFA et, s’ils le font, elle n’est pas activée par défaut. Le CSAM de l’an prochain pourrait être totalement dépourvu de ce sujet si toutes les entreprises qui stockent des PII étaient obligées d’activer, par défaut, l’MFA sur tous les comptes d’utilisateurs.

L'activation par défaut de l'MFA peut poser des problèmes d'accessibilité. Si les utilisateurs ont réellement besoin de la désactiver pour une raison quelconque, ils devraient pouvoir le faire. Pour les autres, l'activation par défaut de l'MFA devrait être la norme. Tout comme de nombreux sites Web cachent actuellement l'option permettant d'activer l'MFA, ils devraient aussi cacher l'option permettant de la désactiver.

Apple a été une des entreprises courageuses imposant l’MFA à tous les utilisateurs en 2017. A-t-elle perdu des utilisateurs ? Le cours de ses actions a-t-il baissé ? S’ils n’ont pas d’autre choix, les utilisateurs adoptent une pratique de sécurité renforcée qui protège leurs données et leurs biens.

L’activation de l’MFA par défaut pour tous les utilisateurs présente également l’avantage de réduire considérablement les risques associés au recyclage des mots de passe. Un mot de passe réutilisé soutenu par l’MFA est moins susceptible de poser problème. Cela ne signifie pas qu’il est acceptable d’utiliser des mots de passe faibles ou de les réutiliser sur plusieurs sites. L’importance accordée aux mots de passe forts et uniques diminuera, car la couche supplémentaire d’MFA contribuera grandement à prévenir le vol d’informations d’identification.

Le vol d’identifiants est un problème majeur depuis si longtemps. Il faut repenser la situation. On a vu des précédents efficaces dont le Règlement Général sur la Protection des Données. L’UE a compris que sans réglementation stricte, les entreprises continueraient à suivre la voie de la facilité : collecter des données et les stocker sans chiffrement, dans une approche, style Far West, de la protection des données. La sécurité des données coûte cher et des directeurs financiers économes donnaient la priorité aux profits à court terme plutôt qu’à la sécurité à long terme. Mais le RGPD a changé cela car les lourdes amendes prévues justifient le budget consacré à des mesures appropriées.

Imaginez que l’an prochain, des leçons sur la sécurité de base telle que les mots de passe forts et uniques et l’MFA ne fassent plus partie du CSAM. Après des années à taper sur ce clou, le débat pourrait enfin évoluer. L’attention pourrait se porter sur les escroqueries généralisées qui volent l’argent durement gagné des victimes. Certains de ces sujets sont abordés aujourd’hui, mais souvent, ils se perdent dans la masse.

Il est donc temps de changer de cap et de légiférer sur ce que certains dans le secteur n’ont pas réussi à mettre en œuvre afin que l’éducation cruciale sur les véritables problèmes de cyber-sécurité puisse faire la une des journaux.

A PROPOS d’ESET                                                                                                                                                                                        ESET® offre une sécurité de pointe pour prévenir les attaques avant qu'elles ne se produisent. Avec la puissance de l'IA et l'expertise humaine, ESET conserve une longueur d'avance sur les menaces connues et émergentes, en sécurisant les  mobiles, ses solutions et services basés sur l’IA et axés cloud sont efficaces et faciles à utiliser. La technologie ESET comprend une détection et une réponse robustes, un cryptage ultra-sécurisé et une authentification multi facteur. Avec une défense en temps réel 24/7 et un solide support local, ESET assure la sécurité des utilisateurs et des entreprises sans interruption. Un paysage numérique en constante évolution exige une approche progressive de la sécurité : ESET dispose d’une recherche de classe mondiale et d’une puissante intelligence des menaces, soutenues par des centres de R&D ainsi qu’un réseau mondial de partenaires. Plus d'infos : www.eset.com ou  LinkedIn, Facebook, X et https://www.eset.com/be-fr/.   

Catherine d’Adesky / Louise Biron
+32 (0)475 48 62 68
catherine@keycommunications.be

Cybersecurity Awareness Month heeft radicale herziening nodig en een stimulans van wetgevers, zegt ESET

 

In oktober 2024 wordt de 21e editie van de Cybersecurity Awareness Month (CSAM) gevierd. In de loop der jaren is dit uitgegroeid tot een gezamenlijke inspanning van de overheid en de industrie om het cybersecuritybewustzijn te vergroten, het publiek aan te moedigen om online risico's te verminderen en discussie te genereren over cyberbedreigingen op nationale en wereldwijde schaal.

 “Zonder naar het officiële thema van deze editie van CSAM te kijken, gaf ik vorige week het gebruikelijke advies aan een collega: gebruik sterke en unieke wachtwoorden, schakel multi-factor authenticatie (MFA) in en vermijd het klikken op phishing-links. En ja hoor, dit zijn bijna alle belangrijke punten van “Secure Our World”, het officiële thema van dit jaar” aldus Tony Anscombe, ESET Chief Security Evangelist.

 Door de overvloed aan dergelijke richtlijnen die elke oktober circuleren, zou men denken dat dit genoeg zou moeten zijn om een ​​veilige en beveiligde cyberspace te creëren. Maar is dit advies efficiënt geweest in het aanzetten tot zinvolle gedragsverandering en het helpen aanpakken van de toenemende veiligheidsrisico's van vandaag en morgen?

 Na een decennium waarin dezelfde richtlijnen werden gepromoot, is het tijd voor de industrie om te heroverwegen, wetten te maken en betere cybersecuritypraktijken af ​​te dwingen, vooral waar persoonlijk identificeerbare informatie (PII) of andere waardevolle gegevens op het spel staan. “Ik ben geen fan van het oplossen van problemen met wet- en regelgeving, maar de vooruitgang die we nodig hebben is er niet”, zegt Tony Anscombe. Veel populaire onlinediensten en apps bieden nog geen MFA, en als ze het wel doen, is het niet standaard ingeschakeld. CSAM zou volgend jaar dit onderwerp volledig kunnen weglaten als alle bedrijven die PII opslaan, verplicht waren MFA standaard in te schakelen op alle gebruikersaccounts.

 In 2017 was Apple een van de dappere bedrijven die MFA voor alle gebruikers afdwong. Hebben ze gebruikers verloren? Is hun aandelenkoers gedaald? "Nee". Als ze geen alternatief hebben, zullen gebruikers een verbeterde beveiligingspraktijk aannemen en zo hun gegevens veilig houden.

 Een ander voordeel van het standaard inschakelen van MFA voor iedereen is dat het de risico's gepaard aan het hergebruiken van wachtwoorden, aanzienlijk zou verminderen. Een hergebruikt wachtwoord ondersteund door MFA, veroorzaakt minder snel problemen. Dit wil niet zeggen dat het acceptabel is om zwakke wachtwoorden te gebruiken of wachtwoorden op meerdere sites te hergebruiken. De nadruk op sterke en unieke wachtwoorden zal afnemen, omdat de toegevoegde MFA-laag diefstal van inloggegevens aanzienlijk zal helpen voorkomen.

 Als diefstal van inloggegevens al zo lang een groot probleem is, is het tijd om erbij stil te staan. We hebben hiervoor efficiënte precedenten gezien, zoals de AVG (Algemene Verordening Gegevensbescherming). De EU realiseerde zich dat bedrijven zonder strenge regelgeving de weg van de minste weerstand zouden blijven kiezen: gegevens verzamelen en deze zonder encryptie opslaan, wat een Far West-benadering van gegevensbescherming was. Het kost geld om dingen veilig te houden, maar zuinige Chief Financial Officers zouden kortetermijnwinst boven langetermijn-beveiliging kiezen. De AVG veranderde dit, daar forse boetes het budget rechtvaardigen voor goede gegevensbeveiligingsmaatregelen.

 Als sterke en unieke wachtwoorden en MFA worden gebruikt, wordt volgend jaar tijdens CSAM niet meer gepredikt over basisbeveiligingspraktijken. Na jaren hierop te hebben gehamerd, zou het gesprek eindelijk kunnen evolueren. De aandacht zou naar de wijdverbreide praktijken kunnen gaan waarbij mensen opgelicht worden en hun zuurverdiende geld kwijt spelen. Een deel hiervan wordt vandaag al behandeld, maar te vaak raakt het gewoon in de vergetelheid.

 Het is dus tijd om het onderwerp te verleggen en wetten te maken over wat sommige bedrijven in de sector niet hebben geïmplementeerd, zodat de cruciale educatie over echte cybersecurityproblemen de krantenkoppen worden.

OVER ESET

ESET® biedt geavanceerde digitale beveiliging om aanvallen te voorkomen voor ze plaatsvinden. Door de kracht van AI en menselijke expertise te combineren, blijft ESET bekende en opkomende cyberdreigingen een stap voor, zodat bedrijven, kritieke infrastructuur en individuen beveiligd zijn. Gaat het om endpoint-, cloud- of mobiele bescherming, de ESET AI-native, cloud-first oplossingen en diensten blijven zeer efficiënt en gebruiksvriendelijk. De technologie van ESET biedt robuuste detectie en respons, ultraveilige encryptie en meervoudige authenticatie.

De 24/7 real time verdediging en sterke lokale ondersteuning zorgt ervoor dat gebruikers veilig zijn en dat bedrijven zonder onderbrekingen kunnen blijven draaien. Een digitaal landschap in constante evolutie vereist een progressieve benadering van de beveiliging: ESET zet zich in voor onderzoek van wereldklasse en krachtige informatie over dreigingen, ondersteund door R&D-centra en een sterk partnernetwerk op wereldvlak. Ga voor meer informatie naar www.eset.com. of volg ons op LinkedIn, Facebook, X en https://www.est.com/be-nl/

Catherine d’Adesky / Louise Biron
+32 (0)475 48 62 68
catherine@keycommunications.be