(précaire est une chronique hebdomadaire qui aborde le sujet en pleine actualité de la cybersécurité.
Contenu
- Le problème
- Tout cela nous ramène au phishing
Comme pour la sécurité domestique, les gens préfèrent souvent ne pas penser à la cybersécurité une fois qu’ils l’ont payée. Ils préfèrent payer et prier.
Mais comment savoir si le logiciel d’une entreprise de sécurité fonctionne? Alors que des milliards de dollars sont consacrés à notre protection et à celle de nos entreprises en ligne, pourquoi les piratages semblent-ils augmenter en fréquence et en dégâts ?
Nous avons parlé avec Oren J. Falkowitz, un ancien cadre supérieur de la NSA et du Cyber Command des États-Unis, qui a une idée radicale sur la manière dont les entreprises de cybersécurité devraient gagner de l'argent.
Le problème
Notre fiasco moderne en matière de cybersécurité a de nombreuses causes. C’est peut-être un manque de financement et de réglementation du gouvernement. Ce sont peut-être les grandes entreprises technologiques qui ne se soucient pas suffisamment de la vie privée. Il s’agit peut-être simplement d’éduquer le public et d’expliquer en termes simples les enjeux.
« Les entreprises dépensent environ 93 milliards de dollars en cybersécurité, et on ne voit pas la fin… »
Falkowitz a un point de vue différent. Il estime que le véritable problème est que les bénéfices de la cybersécurité ne sont pas liés aux performances. « Pour nous, cela signifie une cybersécurité basée sur la performance et un paiement pour les résultats, et non pour un échec », a-t-il déclaré à Digital Trends. « Les entreprises ne devraient payer pour la cybersécurité que lorsque et si elle fonctionne comme prévu. »
Ce n’est pas comme ça que ça marche aujourd’hui. Les experts en cybersécurité, les entreprises et les logiciels antivirus sont présentés et achetés comme un plan d'assurance. Vous payez mensuellement et espérez que rien de grave n’arrive. Si c’est le cas, ils vous aideront à recoller les morceaux – et essaieront peut-être de vous vendre davantage de sécurité.
Zone 1 Sécurité, la propre société de cybersécurité de Falkowitz, adopte l’approche inverse. La zone 1 souligne le fait que les gens « s’engagent sur des contrats de sécurité d’une durée de trois à cinq ans, dépensant six ou sept chiffres. Mais ils n’en ont toujours pas pour leur argent. » Falkowitz estime que les clients ne devraient payer que pour les tentatives de délits qui sont stoppées. C’est une idée similaire aux programmes de bug bounty, qui encouragent les pirates informatiques à trouver – puis à divulguer – les vulnérabilités.
C'est toujours du phishing
« Les entreprises dépensent environ 93 milliards de dollars pour la cybersécurité, sans aucune fin en vue et, pire encore, sans fin dans la gravité ou la fréquence des cyberattaques », a déclaré Falkowitz. « Une cybersécurité responsable et basée sur la performance garantira que les résultats seront le moteur des innovations futures et des résultats positifs des modèles commerciaux. »
Vous vous demandez peut-être comment une entreprise pourrait rester en activité si elle devait constamment prouver à ses clients que les attaques sont stoppées. Area 1 Security le fait fonctionner en concentrant ses efforts sur un aspect particulier de la cybersécurité: le phishing.
Tout cela nous ramène au phishing
"Le phishing est l'attaque qui déclenche l'attaque, c'est la cause première de 95 pour cent de tous les dommages", a déclaré Falkowitz. « La clé d’une cybersécurité basée sur la performance consiste à arrêter le phishing. »
« Le phishing est une attaque d’ingénierie sociale qui repose sur l’authenticité pour échapper à la détection. »
Le phishing est devenu le fléau de l’existence d’Internet. Des logiciels malveillants aux données volées, le phishing est souvent le point d’entrée des pires cyberattaques que nous ayons vues. Il s’agit généralement d’un courrier électronique frauduleux, envoyé à une victime sans méfiance sous le couvert d’une entreprise ou d’une organisation officielle.
L’e-mail invitera ensuite le lecteur à cliquer sur un lien – et une fois qu’il le fera, le piège de l’attaquant sera déclenché. Bien que simple, les pirates ont utilisé le phishing pour tout, depuis le La débâcle des courriels de la campagne Clinton au dévastateur Attaque du ransomware WannaCry en 2017.
"Le phishing est une attaque socialement conçue qui repose sur l'authenticité pour échapper à la détection", a expliqué Falkowitz. « Il est conçu pour ne se laisser attraper par personne! C’est pourquoi cela fonctionne si bien. En plus d’être efficace, il est également incroyablement bon marché. C’est en partie pourquoi il est si avantageux, économiquement, d’être un méchant sur Internet. Si vous êtes un attaquant et que vous possédez quelque chose qui fonctionne, contre lequel la plupart des entreprises ne peuvent pas se défendre, pourquoi ne pas continuer à l’utiliser ?
Le système d’Area 1 Security prétend arrêter 99,99 % de toutes les attaques de phishing, ce qui leur permet de conserver un journal des attaques qu’ils empêchent. Sa philosophie n’est pas de traquer les criminels sur Internet, mais plutôt d’arrêter ceux qui frappent déjà à nos portes.
« Jusqu’à ce que nous retirons le phishing comme arme des attaquants, nous continuerons sur cette trajectoire de plus en plus dangereuse et coûteuse. »
Il est peut-être temps d’exiger davantage des entreprises qui prétendent nous protéger. Après tout, désarmer les méchants semble être un bien meilleur plan que d’attendre qu’ils attaquent.
Améliorez votre style de vieDigital Trends aide les lecteurs à garder un œil sur le monde en évolution rapide de la technologie avec toutes les dernières nouvelles, des critiques de produits amusantes, des éditoriaux perspicaces et des aperçus uniques.
