Roger Grimes (KnowBe4) : Des moyens simples pour protéger votre entreprise contre les cyber-attaques

"L'ingénierie sociale provoque 70 à 90 % des attaques", déclare Roger Grimes, White Hat Hacker chez KnowBe4. Dans cette interview, il donne aux professionnels de la finance de nombreux conseils pour se protéger contre la plupart des cyber-attaques.

Pouvez-vous nous raconter votre histoire en quelques mots ?

Je travaille dans le secteur de la sécurité informatique depuis 34 ans. Pendant des décennies, j'ai exercé tous les métiers du secteur, tels que technicien de réseau PC, gestionnaire de réseau, consultant et testeur de pénétration. J'ai également supervisé les initiatives technologiques des entreprises en tant que vice-président de l'informatique. En parallèle, j'ai écrit 30 livres et plus de 1200 articles de magazine sur mon expérience depuis 1997.

"Ce décalage fondamental entre la façon dont elles sont attaquées et la façon dont les sociétés se défendent avantage les pirates et les logiciels malveillants."

Que conseilleriez-vous aux professionnels de la finance pour protéger efficacement leur entreprise ?

Mon livre "Data driven computer defense" apporte de nombreux conseils. Je recommande d’abord de trouver comment votre entreprise va être attaquée, puis d'élaborer la manière la plus efficace de se défendre. 4 actions principales peuvent prévenir 90 à 99% des attaques. La plus importante consiste à éviter l'ingénierie sociale, responsable de 70 à 90% des attaques, en éduquant les employés contre ce phénomène. Les entreprises peuvent également obliger leurs collaborateurs à utiliser de longs mots de passe complexes et à les changer pour chaque site ou service utilisé. Troisièmement, je conseille de mettre des correctifs à leurs logiciels, car 20 à 40 % des attaques impliquent un logiciel non corrigé, exploité par l'attaquant. Enfin, les professionnels peuvent se doter d'une bonne forme d'authentification multifactorielle non fongible (MFA). Outre le peu d’attention des organisations sur ces 4 points, les entreprises consacrent, en moyenne, moins de 5 % de leur budget informatique à l'application de ces quatre conseils. Ce décalage fondamental entre la façon dont elles sont attaquées et la façon dont elles se défendent avantage les pirates et les logiciels malveillants.

Pouvez-vous nous faire part d'une étude de cas qui a eu un impact sur les professionnels de la finance au cours des derniers mois ?

Une grande partie de l'AMF peut être exploitée si vous n'informez pas vos employés. Le plus souvent, ces derniers révèlent leur authentification par manque d’instruction de la part de leur entreprise. Une récente attaque par ransomware aux États-Unis a entraîné le versement d'une rançon de 10 milliards de dollars et l'indisponibilité de l’entreprise pendant des semaines. L'origine de l'attaque provient du cadre de l'entreprise qui a accepté plusieurs fois de se connecter par le biais d'un message provenant de Russie, même s'il n'essayait pas réellement de s'authentifier sur une plateforme. Son manque de formation contre ce type d'attaque explique pourquoi il a approuvé plus de 50 fois la même demande. Si vous utilisez déjà l'authentification multifactorielle, veillez à former vos employés aux différents types d'attaques potentielles. La clé pour éviter les cyber-attaques reste la formation des employés.