Pas une semaine ne se passe sans qu’une cyberattaque ne fasse la une des media, rappelant constamment au public que la prochaine est inévitable et qu’il ne s’agit que d’une question de temps.

Cependant, il est difficile de savoir comment ces informations sont assimilées et influent sur les habitudes des citoyens sur le long terme.

En effet, qu’il s’agisse de la loi de proximité, ou du phénomène naturel qui consiste à oublier certains souvenirs au profit de ceux plus récents ou jugés plus utiles, l’intérêt que nous portons aux actualités, ainsi que leur mémorisation, n’est pas toujours rationnel.

Selon Jean-Christophe Vitu, VP Solution Engineers EMEA, chez CyberArk, de nombreux professionnels de l'informatique, en particulier dans le secteur de la sécurité, considèrent que les individus prennent des décisions en toute logique, basées sur des données parfaitement calculées et articulées, alors qu’en réalité nous sommes tous faillibles.

« Les entreprises ne devraient pas définir de stratégies de sécurité uniquement sur la base des dernières attaques, ou des tendances, mises en avant dans la presse. 

De nouveaux outils et technologies arrivent régulièrement sur le marché de la sécurité. Des systèmes puissants riches en fonctionnalités, intelligence, et innovants sont régulièrement disponibles.

Les responsables IT déploient, par conséquent, un nombre croissant de couches de sécurité ; leur objectif est d’apporter la plus grande valeur possible – mesurée le plus souvent en termes de réduction quantifiable des risques – et ce de leur entreprise.

Or, plus le nombre de couches de sécurité augmente, plus leur gestion se complique. De plus, il ne s’agit pas toujours de technologies reconnues par les experts pour leur capacité à réduire les vulnérabilités et à renforcer efficacement la sécurité d’une entreprise.

Ainsi, l’Agence Nationale de la Sécurité des Système d’Information (ANSSI) recommande dans ses "dix règles de base de la sécurité sur Internet" de ne jamais naviguer sur le web avec un compte administrateur ; aussi appelé compte à privilèges ou à hauts pouvoirs. 

Les comptes et accès à privilèges existent dans toutes les organisations, et font partie intégrante du fonctionnement des applications et de l'infrastructure IT.

Bien que leur sécurisation soit essentielle au maintien de la sécurité, cela a longtemps été considéré comme une cyberprotection de niche ; ou comme un "petit plus" optionnel, que les organisations pourraient éventuellement adopter afin d’améliorer leur cybersécurité.

Or, dans les réglementations clés imposées par une myriade de secteurs – telles que PCI-DSS (Payment Card Industry Security Standards Council, norme obligatoire pour toute entreprise qui stocke, traite ou transmet des données de titulaires de cartes de paiement), HIPAA (Health Insurance Portability and Accountability Act, loi américaine qui concerne la santé et l’assurance maladie) ou encore NERC CIP (North American Electric Reliability Corporation, norme nord-américaine pour les organisations produisant ou transportant de l’électricité) – la protection des accès à privilèges représente souvent l’un des fondamentaux à respecter.

Mais adopter une telle stratégie ne se résume pas simplement à cocher une case en vue de satisfaire une exigence de conformité. Il s’agit bien au contraire d’une étape essentielle pour garder une longueur d’avance sur les attaquants.

De nombreux acteurs de la cybersécurité expérimentent aujourd’hui des outils de pointe, développent de nouvelles technologies et mettent en œuvre des techniques innovantes. L’objectif absolu reste de repérer toute tentative de compromission avant que le cybercriminel n’obtienne des données.

Face à des attaques de plus en plus sophistiquées, il est conseillé de se référer aux études et expertises avérées, et non de se fier à des plateformes en recherche de clics. 

En complément, les entreprises peuvent et doivent s’appuyer sur des experts du sujet à même de les renseigner en fonctions de leurs besoins spécifiques, afin de mettre en place une cyber-stratégie adéquate. »

Jean-Christophe Vitu, VP Solution Engineers, EMEA, chez CyberArk