Le monde de la sécurité confronte les entreprises et les organisations à de nombreux défis. La récente exposition d’Efail, Meltdown et Spectre, les faibles taux d’adoption de DMARC et le toujours imminent « Pearl Harbor de la cybersécurité » devraient être un peu inquiétants. Nous prêchons constamment sur les dangers de l’ingénierie sociale et le manque de sensibilisation des utilisateurs. Nous pouvons continuer à améliorer la technologie, mais nous ne pouvons pas encore contrôler ce que les utilisateurs choisissent d’ouvrir et de cliquer.
Cela rend le mépris gratuit des meilleures pratiques en matière de cybersécurité beaucoup plus difficile à surveiller. Je me souviens que lors d’un de mes premiers emplois, le service informatique nous demandait de réinitialiser notre mot de passe sur une base mensuelle (avec un mot de passe « une majuscule, un chiffre, un symbole, etc. » dont vous ne vous souvenez jamais). J’en voulais profondément. Pourtant, à contrecœur, j’ai accepté le fait que, que je pense ou non que c’était de l’huile de serpent, cela faisait partie du plan informatique conçu pour assurer la sécurité de l’infrastructure de données et que, par conséquent, tout comme je ne veux pas que les finances entravent mes plans, je devrais le respecter.
Les organisations qui ont des plans et les membres qui s’y tiennent seront beaucoup plus en sécurité à long terme. L’ignorance volontaire, parce qu’il est trop gênant de respecter les règles, ne doit pas nécessairement entraîner un désastre, mais entraîne une augmentation spectaculaire de la probabilité d’une violation.
Lorsque nous voyons des personnes en position de direction, qu’il s’agisse d’une Clinton stockant des courriels confidentiels sur un serveur domestique non sécurisé ou d’un Trump qui dit que l’utilisation de téléphones sécurisés est « trop gênante », cela réduit considérablement l’efficacité des solutions technologiques et augmente simultanément la possibilité d’une violation, dans ces 2 cas, des menaces parrainées par l’État.
Le leadership, souvent sous la forme d’une fraude par le PDG, est une cible de grande valeur pour les cybercriminels. Certains secteurs sont associés à des cyberrisques spécifiques, qu’il s’agisse d’atteintes à la protection des données dans le domaine de la santé, d’espionnage d’entreprises dans le secteur manufacturier ou d’attaques parrainées par des États au sein du gouvernement. La fusion de cibles de grande valeur et le fait de laisser des ouvertures dans des industries vulnérables est une recette pour le désastre.
La sécurité est à la fois ascendante et descendante. La chaîne est aussi forte que son maillon le plus faible. Pour bien protéger une organisation, il n’y a pas de place pour rompre avec un plan informatique. Cela ne signifie pas qu’il doit y avoir une atteinte, mais nous ne voulons jamais faciliter la tâche des criminels.
Nous travaillons avec diligence pour produire des solutions de sécurité des courriels qui atteignent un équilibre, où nous pouvons maximiser la protection tout en minimisant les inconvénients. Nous continuons à développer des produits qui nécessitent de moins en moins d’actions de l’utilisateur pour assurer la sécurité, tout en rendant les courriels plus sûrs. Les déclencheurs automatisés, les sauvegardes, l’analyse d’URL, la défense des pièces jointes, l’apprentissage automatique, etc., ont tous créé une expérience beaucoup plus pratique et plus sûre pour votre utilisateur moyen.
Plus vous montez dans la chaîne alimentaire, plus la sécurité sera gênante (que ce soit par courriel ou physique). C’est un très petit prix à payer. Et pour l’amour de votre équipe informatique, veuillez respecter leur plan. Peu pratique ou non.
