Qu'est-ce qui empêche les meilleurs CISO du Canada de dormir la nuit?

Par le Dr Thomas P. Keenan, FCIPS, I.S.P., ITCP en collaboration avec Ron Murch, I.S.P., IPCP – tous deux de l’Université de Calgary.

Que se passe-t-il lorsque vous mettez une douzaine des principaux responsables de la sécurité de l’information du Canada dans une salle (virtuelle) pour une discussion franche sur leurs plus grands défis?

Au cours d’une session dirigée par Derek Manky, chef de Security Insights, FortiGuard Labs (la division de recherche et de renseignement sur les menaces de Fortinet), et modérée par Bobby Singh, CTO et CISO pour le groupe TMX, des problèmes ont été soulevés, des exemples ont été donnés, des questions posées et des réponses proposées. Pour des raisons de confidentialité, les personnes et les entreprises présentes, à l’exception des présentateurs, sont omises ici. Un enregistrement de la session est disponible exclusivement pour les membres de l’Association des DSI ici..

L’IDENTITÉ. était un concept clé soulevé par Manky, qui a fait remarquer que ce n’était pas si important il y a 20 ans. « Au cours des dix dernières années, nous avons vu l’identité passer d’informations de cartes de crédit volées à des choses comme les dossiers médicaux qui ont une valeur encore plus grande sur le Web noir.”

Cependant, la gestion de l’identité et de l’accès fonctionne dans les deux sens – les « méchants » doivent « valider » à la fois leurs cibles et leurs clients pour que leurs escroqueries soient crédibles. Et les « bons » tentent constamment d’identifier la véritable identité des « méchants » pour les attraper.

“Les « méchants » ont même des programmes d’affiliation », dit-il en riant. « Chez Fortinet, nous essayons aussi de trouver les identités des cybercriminels. » Il dit : « ils ont eu un certain succès, en découvrant une organisation criminelle avec quatre groupes différents totalisant 46 employés, qui exécutaient 409 escroqueries, des escroqueries amoureuses, mais la plus grande chose était la fraude par détournement de paiement. Ils interceptaient les factures de comptes fournisseurs et falsifiaient les codes bancaires SWIFT. Ils ont réussi à voler environ 61 millions de dollars en trois mois.”

Les sociétés de services de sécurité comme Fortinet sont-elles obligées de s’adresser aux forces de l’ordre si un client les contacte ? Manky a répondu que non, bien qu’ils aient travaillé avec Interpol sur des affaires et qu’ils aient réussi à obtenir des arrestations et des poursuites.

EUX CONTRE NOUS.. Les méchants sont mus par deux motivations principales, l’argent et la réputation auprès de leurs pairs. Ils ont toutes sortes d’outils à leur disposition pour contrecarrer nos défenses. « C’est très bon marché pour les cybercriminels de faire des choses comme l’usurpation d’adresses IP, en les changeant 5 ou 10 secondes plus tard. Le blocage par les adresses IP ne fonctionne donc plus ». Il préconise une approche beaucoup plus active et note que « je ne pense pas qu’il y aura jamais de solution miracle ». Il n’y aura pas non plus d’approche unique pour tous. Le nuage a certainement compliqué davantage la gestion des identités. Manky mentionne qu’il fait partie d’un groupe de travail d’INTERPOL sur la cybercriminalité et que la coopération entre agences devient encore plus importante.

COVID-19. Permettre aux gens de travailler depuis leur domicile a toujours été un défi, d’autant plus en temps de crise – et surtout pendant la crise COVID-19, car les entreprises devaient passer à une main-d’œuvre à distance si rapidement. « Nous sommes toujours désavantagés car les cybercriminels peuvent s’adapter rapidement ». En fait, il existe des rapports sur la rapidité avec laquelle ils ont pivoté lorsque COVID-19 a frappé, profitant du fait que les gens travaillaient à domicile et pouvaient être plus sensibles à un faux courriel « s’il vous plaît envoyez un virement aujourd’hui » qui semble provenir du patron. C’est en quelque sorte du BYOD au maximum puisque certaines personnes utilisent des ordinateurs à la maison qui sont partagés avec d’autres membres de la famille, qui ne pratiquent peut-être pas une bonne cyber-hygiène. Le télétravail rend la nécessité d’une authentification multifactorielle encore plus critique.

Un participant a noté que son entreprise a « accéléré son projet de se débarrasser de son VPN », passant plutôt au SaaS. Il y a eu un consensus sur le fait que le travail du RSSI devient de plus en plus complexe – et la cybersécurité est maintenant aussi mieux reconnue au niveau du conseil d’administration comme un élément critique du risque commercial qui mérite une attention, un financement et une gestion délibérés.

L’INTELLIGENCE ARTIFICIELLE. Nous voyons maintenant des criminels utiliser des outils d’intelligence artificielle pour cibler leurs campagnes de harponnage, et aussi faire plus de phishing vocal. « Pour y répondre, nous développons des manuels de jeu à Fortinet », dit Manky, « en nous concentrant sur l’attribution des cybercriminels, jusqu’à leurs pseudos, numéros de téléphone, etc. En réponse à une question sur l’éventualité d’une solution purement technique à la cybersécurité, M. Manky a répondu : « Je ne pense pas qu’il y aura un jour une solution miracle. Il y aura toujours des personnes impliquées, mais il y a souvent des lacunes que nous pouvons trouver et essayer de combler.”

OBTENIR DE L’AIDE. Un participant a demandé si l’utilisation de connexions aux médias sociaux dans le contexte commercial avait un sens, et la réponse a été un « Non » retentissant ! Vous devez garder la gestion des identités et des accès sous le contrôle de votre entreprise. Les solutions tierces posent toutes leurs problèmes, notamment lorsqu’il s’agit de les intégrer à des logiciels existants, à des cadres de sécurité et d’identité d’autres organisations et juridictions, etc. Un participant a déclaré : « Une fois que vous avez acheté une solution, elle est coûteuse, complexe et vous devez encore la personnaliser. On ne peut pas échapper à la vérité : « la sécurité est un travail difficile » et nécessite probablement une plus grande part du budget informatique de l’entreprise et une attention particulière à la gestion des risques pour réussir.

Il est clair que des discussions franches comme celle-ci, qui, par le passé, auraient pu se dérouler autour d’une tasse de café ou d’une boisson plus forte, en personne, sont plus vitales que jamais. Nous sommes tous plus semblables que différents en termes de défis et de solutions, et le partage de la sagesse est la seule façon de s’en sortir, même à l’ère de COVID-19.

La prochaine discussion est prévue pour le 29 mai et poursuivra la discussion sur les différents aspects de l’identité.