Views
5 days ago

ICTjournal 07/2021

  • Text
  • Wwwnetzmediench
  • Contre
  • Solutions
  • Gestion
  • Selon
  • Technologies
  • Netzmedien
  • Faire
  • Entreprises
  • Suisse
  • Partage

Publireportage Pas de

Publireportage Pas de cyberdéfense sans des employés formés Grâce à la formation Security Awareness, les entreprises s’assurent en permanence que leurs employés reçoivent en temps opportun la bonne formation en matière de sécurité, faisant d’eux une solide dernière ligne de défense contre les cyberattaques. Avec les formations PE-SAT et PSAT, Proofpoint propose des solutions optimales pour toutes les tailles d’entreprise. L’écrasante majorité des cyberattaques ciblées commencent par un mail: 94 % selon le «Data Breach Investigations Report 2019» de Verizon. Il est donc d’autant plus important que tous les collaborateurs traitant des messages soient attentifs aux risques liés à la manipulation du courrier électronique. Pour ce faire, ils doivent être formés de manière approfondie contre les cyberdangers, non pas une seule fois, mais de manière continue et répétée. Les campagnes de phishing utilisées pour ces attaques se présentent en effet toujours sous un nouvel habillage plus personnalisé, et les courriels de phishing ont l’air de plus en plus réels. Une formation en matière de sécurité est requise régulièrement Une seule formation de sécurité ne suffit pas pour contrer l’évolution constante des cyberattaques. Les spécialistes de la sécurité proposent donc des solutions de formation Security Awareness, grâce auxquelles des campagnes de formation automatisées peuvent être définies et réalisées. Dans ce processus, chaque collaborateur reçoit une formation et est entraîné à la réaction correcte aux campagnes de phishing au moyen de courriels de phishing simulés. Les unités de formation qui ne sont pas réussies sont répétées automatiquement. Des modules de formation individuels peuvent être définis pour tous les collaborateurs ou pour chaque département. À la fin de chaque module de formation, les connaissances acquises sont testées sous forme d’un quiz. Dans le cadre de campagnes de phishing simulées, le comportement des collaborateurs peut également être testé. Les collaborateurs formés peuvent ainsi former une véritable ligne de défense contre les cyberattaques. Formation Security Awareness pour les grandes entreprises et les PME Le spécialiste de la sécurité de la messagerie Proofpoint propose avec la formation PSAT (Proofpoint Security Awareness Training) une plateforme de formation à la sensibilisation à la sécurité qui a fait ses preuves pour les entreprises de 150 à plusieurs milliers d’employés. L’offre s’est vue enrichie récemment de la solution PE-SAT (Proofpoint Essentials Security Awareness Training) spécialement adaptée aux PME. Avec des modules de formation courts et, grâce à des éléments tels que des démonstrations, des jeux et autres concours divertissants sur tous les aspects importants de la cybersécurité, les deux plateformes apportent une formation complète de sensibilisation à la sécurité. Les utilisateurs suivent une formation sur des sujets tels que les mots de passe sécurisés, les pièces jointes dangereuses, les URL non sécurisées ou les demandes de divulgation de données sensibles. En outre, des simulations de phishing sophistiquées basées sur des modèles réalistes et continuellement mis à jour, permettent de tester et d’entraîner la réaction adéquate aux campagnes de phishing. Les modèles peuvent être adaptés pour une image particulièrement réaliste ou créés de toutes pièces – par exemple, pour s’entraîner à recevoir de faux mails correspondant à l’identité institutionnelle (CI) de l’entreprise. Si un utilisateur tombe dans le piège d’un courriel de phishing, il reçoit immédiatement des informations pertinentes sur ce qui s’est passé. Il peut ainsi mieux évaluer les dangers d’une attaque réelle. Lors de la définition de la campagne de phishing, il est également possible de préciser que les utilisateurs concernés doivent suivre certaines formations supplémentaires. Les formations PSAT et PE-SAT fournissent également des informations sur les points faibles et les comportements des collaborateurs. Les rapports correspondants sont accessibles de manière interactive via une interface web et montrent les progrès individuels des utilisateurs en fonction de leurs réactions aux simulations de phishing et des résultats des modules de formation. Les informations obtenues peuvent être transmises aux responsables respectifs, exportées et analysées en détail, et comparées à d’autres incidents de sécurité en fonction de chiffres clés. Une situation win-win pour les PME et les partenaires Adaptée aux PME, la formation PE-SAT convient aux entreprises comptant d’un à environ 200 utilisateurs de messagerie électronique et peut être utilisée seule ou en complément de la solution de sécurité de la messagerie Proofpoint Essentials. La solution est basée sur la même technologie de base que la formation PSAT. La PME typique ne dispose pas des ressources nécessaires pour mettre en place un programme de formation détaillé. En général, le soutien d’un fournisseur spécialisé, d’un spécialiste de la sécurité ou d’une entreprise de systèmes est nécessaire. La formation PE-SAT est une solu tion SaaS multi-tenant qui permet aux partenaires informatiques d’assister individuellement leurs clients dans la mise en place de la plateforme pour leur entre prise, la planification et la définition des campagnes de formation et la conception des simulations de phishing. BOLL Engineering SA En Budron H15 | 1052 Le Mont-sur-Lausanne Tél. 021 533 01 60 | vente@boll.ch www.boll.ch

cybersécurité supply chain logicielle 29 Les entreprises gèrent mal leurs dépendances open source La gestion des dépendances open source au cœur d’applications en production est souvent négligée. Cette tâche est toutefois cruciale contre les attaques à la supply chain logicielle. Il convient de garantir l’installation des versions de composants non vulnérables. Yannick Chavanne Fin 2020, l’opération de cyberespionnage Sunburst a fait les gros titres et souligné les risques inhérents à la supply chain logicielle. Cette attaque avait permis à des pirates de s’introduire dans les systèmes d’environ 18 000 organisations en exploitant un fichier de mise à jour corrompu de la solution Orion de Solarwinds. Quelques semaines plus tard, l’éditeur Codecov révélait que son outil DevOps utilisé par des dizaines de milliers d’entreprises contenait une porte dérobée depuis des mois. Ces deux incidents largement médiatisés ne sont pas du tout des cas isolés. Et le nombre d’attaques à la supply chain logicielle augmente de façon exponentielle (+650% en une année), indique un récent rapport de l’éditeur Sonatype. 128 dépendances open source en moyenne La gestion des risques posés par cette multitude de bouts de code disparates est un défi immense. Les applications modernes sont en effet constituées de nombreuses briques logicielles développées de façon isolée mais interdépendantes. Selon les chiffres de Sonatype, une application moderne contient en moyenne 128 dépendances open source. Un projet open source publie en moyenne une dizaine de mises à jour par année. Mais pour certains projets, il peut s’agir de 8000 publications annuelles. Les vulnérabilités ne sont pas rares, puisque près d’un tiers des projets les plus populaires en contiennent au moins une. Plus le projet open source est populaire, plus il recèle de failles identifiées. Mais cette différence reflète surtout le fait que les chercheurs en cybersécurité se focalisent davantage sur les projets populaires, nuancent les auteurs du rapport. Tâche chronophage et ingrate Alors que les architectes et ingénieurs logiciels prennent des décisions au niveau macro (choix des projets open source), les développeurs doivent ensuite prendre des décisions critiques au niveau micro, expliquent les auteurs du rapport. A ce niveau, il convient de déterminer au quotidien s’il faut ou non mettre à jour les dépendances existantes lorsque de nouvelles versions sont disponibles. Faire en sorte de garder à jour toutes les bibliothèques open source qu’ils utilisent est une tâche que les développeurs savent importante. Mais ils la jugent également chronophage et ingrate. La dernière version n’est pas souvent la meilleure La gestion des dépendances est ainsi souvent lacunaire. En se basant sur l’étude de 100 000 applications Java et 4 millions de migrations de composants, les chercheurs de Sonatype ont constaté que seul un quart des bibliothèques utilisées dans les applications en production sont activement gérées. En outre, les décisions de migration de composants ne sont la plupart du temps pas optimales. En cause? Bien souvent, les développeurs ne parviennent simplement pas à identifier la meilleure version de composant pour une mise à niveau. Et ceux qui se contentent d’installer la dernière version sans se poser de question ne sont pas dans le juste, prévient Sonatype. Car d’après son analyse, la meilleure mouture précède en moyenne de 2,7 versions la mise à jour la plus récente d’un composant. Il est ainsi fortement déconseillé de faire appel à des outils de mise à jour automatique. Pour réduire les risques liés à des failles dans des dépendances open source, les auteurs de la recherche conseillent en particulier d’agir au niveau macro. Notamment en standardisant les critères de sélection de projets, afin d’implémenter uniquement ceux susceptibles de fournir un accès fiable aux nouvelles versions des composants. Une application moderne contient en moyenne 128 dépendances open source. Image: Jan Canty / Unsplash.com www.ictjournal.ch © netzmedien ag 07 / 2021