Leçons de mot de passe : attaque de la chaîne d’approvisionnement SolarWinds

  • FrançaisFrançais



  • La pandémie de COVID-19 a bouleversé tous les aspects de la vie quotidienne au cours de la dernière année – et la chaîne d’approvisionnement ne fait pas exception.

    La sécurité est aussi forte que le maillon le plus faible.

    Par Dan DeMichele, vice-président des produits, LastPass par LogMeIn

    Lorsque les États et les nations du monde entier ont adopté des ordonnances de séjour à domicile, cela a rapidement provoqué des perturbations à grande échelle, car des limitations ont été imposées autour des opérations en personne et une demande accrue de produits spécifiques. En fait, 94 pour cent des plus grandes entreprises du monde ont signalé une perturbation de leur chaîne d’approvisionnement en raison de la pandémie. Maintenant, le monde comprend à quel point les chaînes d’approvisionnement physiques sont importantes pour notre mode de vie.

    Capitalisant sur le chaos, les cybercriminels ont cherché des moyens d’exploiter la crise du COVID-19 et ses vulnérabilités pour accéder à des informations personnelles et sensibles aux données. Ainsi, l’ensemble du réseau d’une organisation est une cible croissante pour les cyberattaques.

    Les récentes attaques catastrophiques sur le pipeline Colonial, SolarWinds et Microsoft Exchange démontrent la menace et la fréquence croissantes des attaques de la chaîne d’approvisionnement de cybersécurité sur les infrastructures critiques. Ces attaques nous rappellent pourquoi la gestion des risques liés à la cyber-chaîne d’approvisionnement est essentielle pour sécuriser efficacement les organisations et leurs réseaux. C’est aussi un rappel que le risque n’est pas singulier et que d’autres organisations au sein de votre écosystème sont également vulnérables.

    Renoncer aux pratiques de sécurité de base peut laisser les organisations de votre écosystème sans défense face aux mauvais acteurs. Lors des audiences sur l’attaque de la chaîne d’approvisionnement de SolarWinds, l’ancien PDG blâmé un stagiaire pour le mot de passe faible, « Solarwinds123 », qui a permis aux pirates informatiques russes d’espionner plusieurs agences gouvernementales fédérales. Cet événement sert de rappel massif au fait que vous disposez peut-être de la sécurité la plus robuste au monde, mais il suffit d’un événement imprudent pour décoder tout le protocole de sécurité.

    Pour atténuer ces menaces pour la chaîne d’approvisionnement, les organisations doivent comprendre pourquoi l’application d’une bonne hygiène de sécurité est essentielle pour sécuriser efficacement les clients, les partenaires fournisseurs ou les fournisseurs. Une mauvaise sécurité en place peut créer un effet domino, affectant plusieurs fournisseurs en aval de la chaîne.

    Nous l’avons vu de première main avec l’attaque SolarWinds, alors que les pirates informatiques sont entrés via une vulnérabilité de porte dérobée, ouvrant l’accès aux données d’une multitude d’agences gouvernementales. Les cybercriminels ciblent intentionnellement ces fournisseurs comme un moyen furtif de compromettre des informations, affectant un maximum de victimes avec un minimum d’effort. Ces types d’attaques peuvent arriver à tout le monde, et éliminer le maillon le plus faible est presque impossible. Au lieu de cela, les organisations doivent pratiquer une bonne hygiène de sécurité pour minimiser les risques de sécurité en jeu.

    La sécurité n’est plus une option

    La mise en œuvre d’une meilleure sécurité au sein d’organisations tierces ne doit pas être compliquée. Améliorer quelque chose d’aussi simple que le comportement d’un mot de passe peut commencer à augmenter la sécurité globale d’une organisation, en particulier lorsque 80% des violations sont liés à des mots de passe faibles. Les mots de passe jouant un rôle central dans la protection des informations commerciales et l’amélioration des efforts de sécurité globale, de nombreuses personnes et organisations continuent de négliger les meilleures pratiques, comme ne pas réutiliser les mots de passe sur des sites Web, laissant leur organisation vulnérable à une attaque.

    Pour éviter d’être victime d’une attaque de la chaîne d’approvisionnement, les bonnes pratiques suivantes en matière de mots de passe contribuent à renforcer la sécurité au sein des organisations tierces :

    • Adopter une solution de gestion des mots de passe d’entreprise – La sélection du bon gestionnaire de mots de passe offre aux organisations un lieu sûr où les employés peuvent stocker leurs mots de passe. De plus, il offre une expérience de connexion transparente à l’aide de mots de passe uniques et générés de manière aléatoire.
    • Installation de l’authentification multifacteur pour améliorer la sécurité – La mise en œuvre d’exigences de connexion supplémentaires telles que l’authentification multifacteur (MFA) permet de réduire les chances que les pirates accèdent à des informations importantes.
    • Éduquer les employés sur les meilleures techniques de mot de passe – Comprendre l’importance de la sécurité commence par l’éducation. Toutes les organisations doivent faire de la sensibilisation et de la formation à la sécurité une priorité absolue. Aider les employés à comprendre le « pourquoi » contribuera grandement à empêcher que les informations ne tombent entre de mauvaises mains.

    Vers un monde post-pandémique

    Bien que l’année ait été volatile, nous pouvons anticiper que même avec l’apaisement du chaos, les cybercriminels continueront de cibler la chaîne d’approvisionnement et les organisations tierces. Bien que la sécurité de la chaîne d’approvisionnement puisse sembler une tâche ardue, l’application de bonnes pratiques simples telles qu’une meilleure gestion des mots de passe peut aider les organisations tierces à éviter les attaques de type SolarWinds.

    dan demichele lastpass à logmein
    Dan DeMichele

    A propos de l’auteur:
    Dan DeMichele est le vice-président de la gestion des produits pour le gestionnaire de mots de passe leader du marché, LastPass chez LogMeIn. Dan a plus de 20 ans d’expérience à la tête d’équipes logicielles de développement et de gestion de produits pour de petites startups et de grandes entreprises, mettant sur le marché des technologies de rupture et obtenant un succès commercial. Avant de rejoindre LogMeIn, Dan a dirigé la gestion des produits chez IBM, créant tous les services d’analyse et de données consommables pour Watson Cloud. Il a également occupé des postes de direction produit chez Cloudant, IBM (Coremetrics), Unica, BEA et Plumtree Software.

    Source

    N'oubliez pas de voter pour cet article !
    1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
    Loading...

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée.