Six idées fausses courantes sur la cybersécurité en entreprise
La cybersécurité a un coût. Tant que les systèmes informatiques et l'infrastructure fonctionnent, il est souvent difficile d'investir les moyens nécessaires pour réduire les risques et garantir le bon fonctionnement à l'avenir, c'est-à-dire : établir une cyber-résilience. Si les entreprises sous-estiment systématiquement leur cyber-risque, c'est en raison de plusieurs hypothèses erronées. Les paragraphes suivants traitent [...].
Hypothèse 1 : de toute façon, ça ne touche que les autres
"Notre entreprise n'est tout de même pas assez intéressante pour une cyberattaque". Cette appréciation est loin d'être rare. La réalité est malheureusement tout autre. Les statistiques indiquent que 99 % de tous les cyberdommages sont dus à des attaques qui n'étaient pas du tout ciblées. En d'autres termes, la plupart des attaques sont de type "spray and spray". Les cybercriminels lancent une tentative d'attaque générale, sans objectif concret, selon le principe de l'arrosoir. Ils se contentent ensuite d'attendre de voir auprès de quelles entreprises ou organisations le mail avec le lien d'hameçonnage, par exemple, aboutira. Malheureusement, pour de nombreuses entreprises, l'obstacle à la compromission initiale de leur informatique n'est pas assez élevé pour résister à ces attaques à long terme. Cela joue en faveur des attaquants. D'autant plus si leurs intérêts sont avant tout financiers et qu'ils veulent faire chanter l'entreprise, par exemple en la chiffrant avec un crypto-trojan ou un ransomware. Dans ce cas, l'approche spray-and-pray est généralement la plus rentable pour les cybercriminels. Cela signifie que chaque entreprise est une victime potentielle. Les attaques à motivation politique se distinguent clairement de cette situation : dans ce cas, le succès n'est en fin de compte qu'une question de main-d'œuvre disponible, car dans le cas d'une attaque à motivation idéologique, les considérations monétaires en termes de coûts et de bénéfices jouent un rôle tout à fait secondaire. Dans de tels cas, les attaques zero-day, qui exploitent des failles de sécurité non encore connues publiquement dans un logiciel, sont également plus fréquentes. Avec un exploit zero-day, l'attaquant joue en quelque sorte un joker. En effet, si la nouvelle méthode d'attaque est rendue publique par son utilisation, ce vecteur d'attaque est finalement grillé, car les fabricants de logiciels déploient alors les mises à jour de sécurité correspondantes.Hypothèse 2 : les attaques provenant de la chaîne d'approvisionnement ne jouent pas un rôle important
En effet, le nombre d'attaques de la chaîne d'approvisionnement est en augmentation. Dans cette catégorie de cyberattaques, les solutions logicielles, les appareils ou les machines fournis à une entreprise et qu'elle utilise dans le cadre de ses activités servent de vecteurs d'attaque. Par exemple, la faille de sécurité Log4j, révélée en décembre 2021, était une vulnérabilité du jour zéro dans une bibliothèque de journalisation Java. Log4j sert à créer et à stocker des informations de journalisation à partir de logiciels, d'applications et d'appliances matérielles. Mais comme Log4j est parfois très profondément ancré dans de nombreuses solutions différentes, dans des milliers d'instances, une simple analyse de vulnérabilité ne suffit guère pour identifier ici toutes les instances vulnérables. En général, les logiciels open source ne sont pas non plus à l'abri de failles de sécurité. Ainsi, un professeur de l'université du Minnesota a réussi à introduire des failles dans le noyau Linux dans le cadre d'une étude. Pour ce faire, lui et l'un de ses étudiants ont prétendu mettre des corrections de bugs à la disposition de la communauté Linux. L'objectif de cette action controversée était de démontrer à quel point les projets open source peuvent également être vulnérables. Une faille de sécurité dans le noyau Linux est potentiellement si grave, car Linux est très répandu. On le trouve aujourd'hui dans les serveurs et les smartphones, mais aussi dans les dispositifs embarqués les plus divers - des voitures aux machines en passant par les maisons intelligentes. Avec la numérisation croissante de notre économie et de notre vie, les appareils connectés peuvent également devenir une porte d'entrée pour les cybercriminels. Une chaîne de supermarchés a par exemple été piratée, les pirates ayant choisi les rayons réfrigérés intelligents des magasins comme vecteur d'attaque. Les appareils connectés dans le domaine de la maison intelligente présentent le même risque. Ils constituent également des points d'attaque potentiels - un risque de réputation grave pour le fabricant ou le distributeur de l'appareil. Dans l'espace privé comme dans l'espace commercial, il est donc nécessaire d'être beaucoup plus conscient des logiciels installés et des appareils achetés. Dans le secteur de la production, par exemple, où une machine peut avoir un cycle de vie de plusieurs décennies, seules des mesures d'atténuation sont disponibles tôt ou tard pour réduire les risques de sécurité. En effet, les fabricants n'existent plus ou ne fournissent plus de correctifs de sécurité après quelques années. Il ne reste donc parfois plus qu'à isoler à grands frais la machine du reste du réseau et à accepter le risque résiduel. En principe, une entreprise serait négligente si elle voulait se décharger entièrement de la responsabilité de sa cybersécurité sur ses fournisseurs. Les menaces provenant de la chaîne d'approvisionnement sont réelles et font aujourd'hui partie du quotidien. Les entreprises ont donc besoin non seulement d'une conscience des risques, mais aussi d'experts qui les aident à mettre en place une cyber-résilience efficace.Hypothèse 3 : nos collaborateurs sont déjà suffisamment sensibilisés à la sécurité
Trop souvent encore, un comportement irréfléchi des collaborateurs et collaboratrices constitue une porte d'entrée commode pour les cybercriminels dans l'entreprise. Créer et maintenir une conscience des risques est un élément de la cybersécurité dont l'entreprise ne devrait jamais sous-estimer l'importance. Ce n'est que lorsqu'ils sont conscients du danger que les employés évitent systématiquement de transmettre des mots de passe par téléphone ou de cliquer sans réfléchir sur un lien douteux dans un e-mail. Parfois, le danger potentiel est aussi une conséquence directe du travail quotidien. Les employés du service des ressources humaines, par exemple, ouvrent presque tous les jours des candidatures sans savoir si le CV numérique contient ou non des codes malveillants. Il en va de même pour les PDF de factures dans la boîte de réception du service comptable. C'est pourquoi l'entreprise doit naturellement prendre des mesures techniques contre de telles attaques. Mais il est tout aussi important de réduire la probabilité de réussite des tentatives d'hameçonnage en sensibilisant aux dangers des attaques d'ingénierie sociale en général. L'ingénierie sociale signifie que les attaquants utilisent la tromperie pour obtenir des données ou un accès non autorisé. Il s'agit d'abuser des méthodes de la psychologie humaine pour manipuler les collaborateurs ou les collaboratrices et les inciter à transmettre des informations ou à effectuer certaines actions - comme le clic fatal sur le lien dans l'e-mail d'hameçonnage ou l'indication du mot de passe à de prétendus collaborateurs du support technique au téléphone.Hypothèse 4 : la portée de ce contrôle de sécurité sera déjà suffisante
La mise à l'épreuve de la cybersécurité dans l'entreprise par des tests d'intrusion est un élément important dans la construction de la cyberrésilience. Toutefois, si l'on choisit un champ d'application trop restreint pour le pentest, on n'y gagne pas grand-chose. Car il en résulte un prétendu sentiment de sécurité. Un exemple typique est l'exclusion de certains systèmes, par exemple ceux qui sont en fin de cycle de vie, car - dit-on - ils seront de toute façon bientôt arrêtés ou remplacés. Or, tant qu'ils ne sont pas désactivés, ces anciens systèmes constituent souvent le vecteur d'attaque le plus séduisant. Autre exemple : sur le serveur qui exploite une application web à contrôler, un service FTP fonctionne également, ce qui permet de compromettre complètement le serveur - mais tous les services, à l'exception de l'application web, sont exclus du contrôle. De même, il arrive qu'une institution financière, par exemple, choisisse de limiter l'étendue de son contrôle à ce qui est prescrit par la réglementation et requis officiellement. Dans ce cas également, le résultat serait une sécurité illusoire et trompeuse. Si les pentests doivent être réellement significatifs, ils ne doivent pas se concentrer uniquement sur une partie de l'informatique de l'entreprise. Ils doivent au contraire être conçus de manière holistique. En effet, l'objectif d'un test d'intrusion n'est pas simplement de donner à la direction un sentiment positif en matière de cybersécurité - il doit identifier les véritables failles de sécurité et les vecteurs d'attaque potentiels afin de pouvoir les corriger avant qu'ils ne soient exploités par des attaquants criminels.Hypothèse 5 : les tests d'intrusion peuvent être pris en charge par le service informatique à titre accessoire
Dans la plupart des entreprises, les pentests ne peuvent pas être une tâche interne. En effet, les administrateurs informatiques ont avant tout une chose à faire : ils doivent veiller à ce que les systèmes de l'entreprise fonctionnent de manière fiable. En règle générale, l'équipe d'administration est déjà occupée à 100 %, voire à 120 %, par ses tâches opérationnelles. De plus, les tests d'intrusion exigent des connaissances techniques très spécialisées et très actuellesIl s'agit d'une ressource dont le département informatique ne dispose généralement pas. Il est important que la direction comprenne qu'un pentest n'est pas quelque chose que l'on peut faire en passant. En même temps, les collaborateurs et collaboratrices de l'informatique interne doivent comprendre que l'objectif d'un audit de sécurité n'est jamais de discréditer leur propre travail en matière de cybersécurité, mais de le renforcer. Un test d'intrusion pertinent ne serait même pas réalisable avec des ressources internes, car le savoir-faire et le temps manquent. Il n'en va autrement que si l'entreprise est suffisamment grande pour s'offrir sa propre équipe rouge dédiée - les attaquants - pour des pentests plus ou moins continus. Cette équipe Red est alors confrontée à une équipe Blue dédiée avec les défenseurs. Mais même une équipe Red dédiée peut parfois bénéficier grandement du soutien externe d'Ethical Hacker.Hypothèse 6 : Nos sauvegardes nous sauvent en cas d'urgence
Il y a un peu plus de cinq ans, cette affirmation était peut-être encore vraie. Aujourd'hui, elle ne l'est plus, pas dans tous les cas. Il faut se rendre compte que la qualité des logiciels malveillants a considérablement augmenté. Les crypto-trojans qui chiffrent les données des entreprises à des fins d'extorsion ne le font plus immédiatement. Il existe désormais des ransomwares qui s'installent d'abord dans les sauvegardes d'une entreprise et les détruisent peu à peu. Ce n'est que des mois plus tard, lorsque la sauvegarde est devenue inutilisable, que le crypto-trojan se met à chiffrer les données de l'entreprise - et le chantage proprement dit commence. D'où l'importance aujourd'hui Sauvegardes d'abord avec des concepts de protection appropriés contre les logiciels malveillants et ensuite en les contrôlant régulièrement. En cas d'urgence, on ne peut compter que sur une sauvegarde qui peut effectivement être mise en place. Les entreprises devraient donc tester, pratiquer et expérimenter régulièrement leur reprise après sinistre. Et si une entreprise crypte sa sauvegarde pour des raisons de sécurité : La clé de sauvegarde elle-même est un point d'attaque potentiel, car les cybercriminels peuvent bien sûr aussi chiffrer la clé de sauvegarde de l'entreprise. La sauvegarde serait alors à son tour inutilisable et la tentative d'extorsion par le chiffrement des données de l'entreprise pourrait commencer. C'est pourquoi il est important que les entreprises conservent hors ligne leurs clés de cryptographie pour la sauvegarde et qu'elles documentent également hors ligne leur formation d'urgence en matière de reprise après sinistre.Conclusion : de la cybersécurité à la cyberrésilience
Le risque de cyberattaque n'a pas diminué, bien au contraire. Si une entreprise voulait déduire d'un passé sans problème qu'elle sera toujours à l'abri de la cybercriminalité à l'avenir, ce serait peut-être l'erreur la plus grave de toutes. La fiabilité opérationnelle de l'informatique n'est possible que si l'entreprise établit, maintient et développe sa cyber-résilience avec des concepts et des mesures holistiques appropriés. Cela vaut la peine de se pencher sur la question, car en cas d'urgence, les dommages financiers pèsent bien plus lourd que l'investissement prévoyant dans la cybersécurité. Comme en médecine, il vaut mieux prévenir que guérir en matière de cybersécurité. Auteurs : Michael Niewöhner et Daniel Querzola sont tous deux managers et testeurs d'intrusion chez Ventum Consulting, MunichCet article est paru initialement sur m-q.ch - https://www.m-q.ch/de/sechs-gaengige-fehlannahmen-zur-cybersecurity-im-unternehmen/
Juste à la mi-saison, un mot qui ne pourrait pas être plus approprié se glisse dans notre vocabulaire : semi. L'état actuel du secteur ? Semi. Les travaux des collègues de la branche lors des jurys ? Semi. Les propositions des juniors pour le prochain pitch ? Semi ! Ce sont surtout les jeunes de la branche qui ont mis le mot en circulation. Lorsque les anciens racontent leurs exploits passés depuis longtemps, la génération Z ne lève même plus les yeux au ciel, mais regarde le monde avec perplexité. De quoi parlent-ils ? Elle trouve cela semi-drôle ou semi-intéressant. Le préfixe "semi" qui, en tant que déterminant, atténue ou coupe en deux à l'origine les adjectifs ou les substantifs, a cependant pris son indépendance depuis longtemps. Probablement parce que, sans mot de base, il laisse ouvert ce qu'il désigne exactement. Ni remarquable, ni mauvais. Ni innovant ni oldschool. Simplement semi. Cela sonne plus positif que "so lala" ou "geht so" et plus contraignant que "interessant", mais surtout beaucoup plus motivant. Ce qui nous amène au thème de la génération Z. Alors que les "anciens" - et par là les boomers et les millennials - sont habitués à commenter les événements actuels avec une demi-distance intellectuelle, les membres de la génération Z font toujours all-in.
Le Festival littéraire de Zurich, présenté par Kaufleuten Kultur et Literaturhaus Zürich, se déroulera la semaine prochaine pour la 10e fois dans l'ancien jardin botanique. Pour ce jubilé, avec un nouveau design et une 
Dans la vie de tous les jours au bureau, plus les loisirs du soir, nous passons environ huit heures en position assise. Sur une décennie, cela représente tout simplement quatre années de "prison". Le LimbicChair ergonomique veut offrir une solution à cet emprisonnement statique. Les deux coques d'assise soutiennent le corps dans sa posture presque en apesanteur, tandis que les bras et les jambes peuvent bouger librement. Le LimbicChair a été développé entre autres par le médecin et neuroscientifique suisse Dr Patrik Künzler au MIT et doit être un bienfait pour le système limbique - et donc pour la mémoire, la motivation et la créativité.
"Le lien entre la posture et le mouvement du corps avec le bien-être et la performance est prouvé", explique le CEO de Limbic-Life, M. Künzler. "Le LimbicChair est l'essence de cette connaissance. Il est évident que la communication autour de ce siège innovant doit être de première classe. Pour le positionnement complet & le lancement de la marque, nous avons donc trouvé en la vision de CD Matthias Kadlubsky et son équipe Salz & Water les partenaires parfaits".
Le showroom de Muntagnard est situé en pleine nature et présente des vêtements entièrement biodégradables. Les deux fondateurs de Muntagnard, Dario Grünenfelder et Dario Pirovino, veulent souligner par cette action qu'il est également possible d'agir de manière durable et dans le sens de l'économie circulaire dans le secteur textile. "Nous sommes très fiers de n'avoir dans notre assortiment que des produits que nous pouvons laisser sans crainte dans la nature. Bien sûr, les vêtements ne devraient jamais être jetés dans la nature. Mais dans notre cas, nous pouvons garantir que nos produits ne pollueront pas inutilement l'environnement", explique Dario Grünenfelder, responsable de la marque.
L'idée du showroom biodégradable est née d'une collaboration avec BrinkertLück Creatives. Cette agence germano-suisse est spécialisée dans la communication pour les marques qui agissent dans le sens de l'harmonie entre l'écologie, l'économie et la responsabilité sociale. Outre les lignes Legna - roman pour le bois - et Mangola - roman pour le coton -, la ligne Lana - roman pour la laine - sera également exposée. 
Le groupe cible de la campagne était composé à 80% d'hommes intéressés par les montres de luxe. De plus, un ciblage géographique a été utilisé pour atteindre les personnes qui se déplacent dans la zone de chalandise du nouveau magasin. Grâce à la diffusion programmatique de la campagne, le groupe cible a pu être atteint de manière très précise à l'aide d'un ciblage d'audience sans cookie et d'un ciblage environnemental sur les environnements Finance & Business. Le ciblage de l'audience comprenait entre autres les personnes ayant le pouvoir d'achat le plus élevé ainsi que les personnes occupant des postes de niveau C. Grâce au ciblage d'audience sans cookie, la portée a pu être élargie, en particulier sur les appareils mobiles, plus fortement que cela n'est possible avec les segments de ciblage d'audience traditionnels basés sur les cookies. La campagne a été optimisée de manière dynamique pendant sa durée. Le budget de la campagne a été alloué entre les appareils, les audiences et les environnements de manière à obtenir la meilleure performance possible. Cela a conduit à une forte augmentation mesurable des visites sur le site web et à des taux de clics jusqu'à 3 fois supérieurs à l'indice de référence.
