Les mauvaises habitudes peuvent être difficiles à briser. Pourtant, en ce qui concerne la sécurité, une pratique obsolète est non seulement inutile, mais potentiellement dangereuse.
Briser les mauvaises habitudes et en construire de meilleurs est un voyage qui nécessite de la patience, de la conscience de soi et de la détermination. Cela est vrai que l’habitude soit personnelle ou une pratique de sécurité obsolète qui a longtemps survécu à ses besoins ou à sa fiabilité.
Votre entreprise s’appuie-t-elle sur une approche ou une technologie de sécurité qui a longtemps dépassé sa date d’expiration? Voici un aperçu de plusieurs pratiques de sécurité obsolètes qui devraient être envoyées dans l’histoire.
1. S’attendre à ce que la sécurité périmétrique soit suffisante
La majorité des environnements de travail d’aujourd’hui sont basés sur le cloud, souvent éloignés et hautement distribués, observe Amit Basu, CIO et CISO à International Seaways, un grand opérateur de pétrolier, fournissant des services de transport d’énergie pour le pétrole brut et les produits pétroliers. «L’ancienne pratique de sécuriser une frontière fixe ne s’applique tout simplement pas.»
Dans un environnement de travail hybride, axé sur le cloud, où les utilisateurs et les données résident à l’intérieur et à l’extérieur du périmètre traditionnel, la sécurité du périmètre uniquement laisse les organisations dangereusement exposées aux attaques de mouvement latéral, aux ransomwares et à l’exfiltration des données, dit Basu. Il conseille d’adopter une confiance zéro, de ne jamais faire confiance et de toujours vérifier, quel que soit le lieu.
2. Adopter une approche de sécurité axée sur la conformité
Gerchow estime que la sécurité axée sur la conformité crée un faux sentiment de protection tout en détournant les ressources de se concentrer sur les menaces réelles.
«J’ai vu de grandes équipes GRC passer leurs journées à répondre aux questionnaires des clients et à travailler sur des audits plutôt que de protéger des données, de gérer les contrôles d’accès ou de surveiller les menaces émergentes», dit-il.
Selon l’indice de confiance de la sécurité des données de Bedrock Security 2025, 82% des dirigeants de la sécurité signalent des lacunes de visibilité majeures et 65% disent qu’il faut des jours, voire des semaines pour localiser les données sensibles. «La conformité ne résout pas cela», dit-il. «Il s’agit souvent de documenter le problème.»
Gerchow dit que les entreprises doivent retourner aux principes de sécurité de base: défense des données en profondeur, zéro confiance et carta (risque adaptatif continu et évaluation de la confiance) pour une surveillance continue.
3. S’appuyer sur les VPN hérités
Les VPN hérités peuvent être inefficaces et lourds, ce qui les rend difficiles à gérer et sujets à des temps d’arrêt significatifs. «Ils ne répondent pas aux demandes du lieu de travail moderne, d’autant plus que les dirigeants recherchent un accès plus transparent et flexible aux ressources pour leurs équipes, qu’ils soient en cours ou travaillent à distance», explique Buck Bell, responsable de la stratégie de sécurité mondiale de la société de services informatiques CDW.
S’appuyer sur Legacy VPN Technologies présente un risque important, car ils ne reçoivent pas toujours des mises à jour et des correctifs réguliers, exposant potentiellement l’organisation aux cyber-états. «Il y a aussi une incapacité à évoluer avec les systèmes hérités, car (les VPN) ont du mal à répondre aux besoins de sécurité en évolution des organisations en croissance, créant des défis à mesure que la surface de l’attaque se développe», déclare Bell.
Une bien meilleure approche, dit Bell, consiste à sécuriser le service d’accès (SASE) et à adopter un état d’esprit zéro-frust. «Ces stratégies améliorent la sécurité en vérifiant chaque utilisateur et appareil tentant d’accéder aux ressources du réseau», explique-t-il. Bell ajoute que cette approche atténue les suppositions et les hypothèses sur lesquelles de nombreux VPN s’appuient. «Il facilite un accès mieux et plus sûr pour les travailleurs à distance, offrant une méthode proactive de sauvegarde des données organisationnelles.»
4. En supposant que l’EDR offre une protection suffisante
Alors que les solutions de détection et de réponse (EDR) (EDR) représentent un progrès significatif par rapport à la protection traditionnelle des antivirus, se fier uniquement à cette approche est inadéquate dans le paysage des menaces d’aujourd’hui, explique Michel Sahyoun, architecte en chef des solutions chez le fournisseur de technologies de cybersécurité Nopalcyber.
EDR excelle à surveiller et à répondre aux activités basées sur les points de terminaison, à tirer parti de l’analyse comportementale et à utiliser la chasse aux menaces pour détecter les attaques sophistiquées, déclare-t-il. Cependant, les attaquants contournent de plus en plus les paramètres de terminaison, ciblant les environnements cloud, les appareils réseau et les systèmes intégrés.
La dépendance à l’EDR peut créer des vulnérabilités critiques, dit Sahyoun. «Bien que les points de terminaison puissent être bien protégés, les attaquants peuvent toujours fonctionner non détectés dans des environnements cloud, des infrastructures réseau ou des systèmes intégrés, l’accès à des données sensibles ou en se déplaçant latéralement sans déclencher des alertes EDR.» Il ajoute que la dépassement de l’EDR peut entraîner des violations prolongées, une exfiltration des données ou des attaques de ransomwares, tout en ne connaissant pas l’intrusion.
Sahyoun note que les adversaires peuvent exploiter les jetons OAuth pour obtenir un accès non autorisé aux plates-formes cloud, telles que Microsoft 365, Google Workspace ou AWS, sans jamais interagir avec un point de terminaison surmonté d’EDR.
«De même, les appareils réseau et les appareils IoT, qui manquent souvent de capacités de surveillance ou de législation robustes, servent de angle mort», dit-il. Pendant ce temps, les environnements cloud compliquent encore la détection en raison de l’exploitation forestière limitée, des caractéristiques de visibilité sur murs payantes et un manque de contenu de détection complet. «Cette évolution vers l’exploitation des relations de confiance, des identités et des API rend l’approche centrée sur le point final d’EDR insuffisante en soi.»
5. Utilisation de SMS SMS pour l’authentification à deux facteurs
L’authentification à deux facteurs basée sur SMS était autrefois considérée comme une amélioration significative de la sécurité par rapport à l’authentification basée sur les mots de passe seule, mais elle est désormais reconnue comme vulnérable à plusieurs vecteurs d’attaque, explique Aparna Himmatramka, responsable de l’assurance de sécurité senior chez Microsoft Security.
Malheureusement, l’infrastructure de télécommunications n’a jamais été conçue avec la sécurité à l’esprit, note-t-elle. «En plus de cela, même aujourd’hui, les réseaux cellulaires utilisent des protocoles obsolètes qui peuvent être exploités, et le processus de transfert des numéros de téléphone entre les transporteurs manque de vérification d’identité rigoureuse.»
Un autre danger lié à la cellule, dit Himmatramka, constituent des attaques d’échange de sim, une tactique que de nombreux criminels utilisent pour convaincre les transporteurs mobiles de transférer le numéro de téléphone d’une victime sur un appareil qu’ils contrôlent, leur permettant d’intercepter les codes d’authentification.
6. S’appuyant sur les siems sur site
Les outils de gestion de la sécurité et de la gestion des événements (SIEM) sur site entraînent une fatigue alerte et ne sont souvent pas conscients du cloud, explique Gerchow de Bedrock Security, qui est également membre du corps professoral de la société de conseil en sécurité IANS Research. Cela oblige les organisations à déplacer et à stocker des quantités massives de données à un coût élevé ou à risquer de laisser de côté les journaux critiques nécessaires pour sécuriser les déploiements cloud.
«Si je paie un montant exorbitant pour les journaux, je suis obligé de choisir – jouer avec ma posture de sécurité», note-t-il.
De nombreuses organisations respectent les SIEM sur site par crainte de mettre des données sensibles dans le cloud, dit Gerchow. « Mais soyons honnêtes, ce navire a navigué – il est temps de passer à autre chose. »
7. Permettre aux utilisateurs finaux d’être des participants passifs à votre culture de sécurité
La réalité est que dans tout système de sécurité, les humains sont le maillon le plus faible, explique Kevin Sullivan, consultant en technologie principale chez le fournisseur de solutions de sécurité, de cloud et de collaboration XTITIA. « Les méchants n’ont besoin que de bien faire les choses une fois, et ils peuvent cibler des millions de personnes, des processus et des systèmes en une seule attaque », observe-t-il. « Les bons gars, en revanche, doivent bien faire les choses à chaque fois, chaque jour. »
Personne ne se considère comme une victime probable d’une attaque de phishing, mais les gens leur font constamment la proie, dit Sullivan. « Vous n’avez qu’à attraper un utilisateur au mauvais moment le mauvais jour », prévient-il. «Avec des tactiques de génie social avancées tirant parti d’informations facilement disponibles via des systèmes comme LinkedIn, Facebook et une variété d’autres sources, la sophistication des attaques n’a jamais été plus élevée.»
Sullivan pense que la sécurité active est la réponse. Il est important d’avoir les bons outils et pratiques de sécurité en place, mais la formation de formation de sensibilisation à la sécurité qui éduque et permet aux utilisateurs d’être actifs à la défense des données, des systèmes et des opérations commerciales est crucial.
«Sans un engagement continu dans la poursuite de la formation, de la préparation et de la participation, les entreprises se préparent à un échec malgré des investissements importants dans les outils de sécurité, les solutions et les stratégies», dit-il. «Une base d’utilisateurs bien éduquée et bien préparée est la première ligne de défense la plus forte.»
