Devenez un MVP de la cybersécurité : la NFL et la CISA expliquent comment déjouer les défis de cybersécurité

Tomás Maldonado, RSSI de la National Football League, et Jeff Greene, directeur adjoint exécutif de la division cybersécurité de l’Agence pour la cybersécurité et la sécurité des infrastructures (CISA), ont rejoint Michael Crandell, PDG de Bitwarden, pour une discussion informelle lors de l’Open Source Security Summit afin d’aborder les bonnes pratiques de sécurité, les erreurs courantes et l’étendue des ressources disponibles pour les organisations. Ils ont également expliqué comment les particuliers et les organisations peuvent déjouer les cybercriminels grâce à des correctifs logiciels fréquents, à la sensibilisation aux techniques d’ingénierie sociale et à l’utilisation d’outils de sécurité comme l’authentification multifacteur et les gestionnaires de mots de passe.

Après plusieurs années comme professionnel de la sécurité dans de grandes entreprises financières, Maldonado a occupé un poste de RSSI dans une entreprise de fabrication chimique et possède une expérience auprès d’entreprises fortement réglementées. Maldonado a plaisanté : « La NFL m’a fait passer un Combine de cybersécurité. »

À la CISA, Greene et son équipe sont responsables de la cybersécurité, de la réduction des cybermenaces et, au bout du compte, des cyberattaques aux niveaux fédéral, civil et exécutif. Bien que chaque agence dispose de son propre RSSI, la CISA définit les politiques et a le pouvoir d’émettre des directives. Greene, qui compte 15 ans d’expérience en cybersécurité, était auparavant avocat. Avant d’occuper son poste actuel, il a travaillé dans le secteur privé et au National Institute of Standards and Technology (NIST).

Comprendre la nature et l’ampleur des cybermenaces est essentiel dans le paysage en constante évolution de la cybersécurité. Les cybercriminels affinent sans cesse leurs tactiques, ce qui impose aux équipes de sécurité de garder une longueur d’avance. Les nouvelles vulnérabilités et les problèmes récurrents comme le phishing et les rançongiciels restent des défis majeurs à mesure que de nouvelles technologies émergent.

Les cybermenaces prennent diverses formes, chacune présentant des risques spécifiques. Les logiciels malveillants, par exemple, sont des adversaires redoutables, avec des attaques de plus en plus sophistiquées et furtives. Cette catégorie comprend les virus, les vers, les rançongiciels et le cryptojacking, qui peuvent tous causer des ravages sur les systèmes et les données.

Les attaques de phishing constituent une autre menace persistante qui cible les organisations de toutes tailles. Ces attaques reposent souvent sur des e-mails ou messages trompeurs qui incitent les destinataires à révéler des informations sensibles. La formation, la sensibilisation et des mesures de sécurité robustes capables de détecter et de bloquer ces tentatives sont essentielles pour lutter contre le phishing.

Les rançongiciels, un type de logiciel malveillant qui chiffre les données et exige un paiement pour les libérer, constituent une préoccupation majeure. Les organisations doivent rester vigilantes et mettre en place des protocoles de sécurité complets afin de prévenir ces attaques et d’en atténuer l’impact.

Se préparer à ces différents types de cybermenaces est essentiel pour identifier les vecteurs d’attaque potentiels et organiser des stratégies d’atténuation efficaces. En comprenant ces menaces et en mettant en œuvre des mesures de sécurité proactives, les organisations peuvent mieux protéger leurs réseaux, leurs systèmes et leurs données sensibles contre les cyberattaques.

Depuis des années, la NFL et la CISA se réunissent 12 à 18 mois avant le Super Bowl. Alors que le Super Bowl 2025 doit se tenir à La Nouvelle-Orléans, la NFL a veillé à ce que les entreprises proposant des services pendant l’événement connaissent les services de la CISA, tels que les exercices sur table, les formations, les campagnes de sensibilisation, les analyses de vulnérabilités et les tests d’intrusion.

La NFL et la CISA collaborent également pour identifier et atténuer les menaces persistantes avancées ainsi que les cyberattaques sophistiquées et prolongées visant à voler des informations sensibles ou à saboter des opérations. Le cloud computing introduit des défis de cybersécurité spécifiques, ce qui rend indispensable la sécurisation de l’infrastructure cloud contre les mauvaises configurations et les contrôles d’accès insuffisants.

Par exemple, une boutique de donuts près du Super Bowl pourrait tirer parti d’outils tels qu’une analyse des sites web accessibles au public de la boutique, afin de s’assurer qu’aucune vulnérabilité exploitable n’est présente. La CISA peut également proposer des objectifs de sécurité de base qui donneront aux organisations des pistes pour améliorer leur sécurité.

La CISA dispose de conseillers en cybersécurité dans chaque État, qui peuvent échanger avec les entreprises confrontées à des menaces potentielles. Même si le type de menace auquel une entreprise du secteur de l’énergie peut être confrontée est probablement plus grave que celui visant une boutique de donuts, même une telle boutique est susceptible de traiter de grandes quantités d’informations personnelles et peut bénéficier d’analyses de vulnérabilités. La CISA met aussi fortement l’accent sur l’aide aux entreprises pour prévenir les attaques par rançongiciel et y répondre rapidement. Greene a déclaré : « Si nous pensons qu’une entreprise est actuellement attaquée ou ciblée, nous la contacterons directement et lui recommanderons les mesures de lutte contre les cyberattaques sur lesquelles elle devrait se concentrer. »

Les gestionnaires de mots de passe contribuent à protéger contre les rançongiciels en permettant aux utilisateurs de générer des mots de passe forts et uniques pour chaque site qu’ils visitent. Cela réduit le risque de réutilisation des mots de passe et évite que les personnes ne choisissent par défaut des mots de passe plus faibles simplement parce qu’ils sont faciles à retenir, ce qui diminue la probabilité de vol d’identifiants.

Défis de cybersécurité liés à la gestion des données sensibles

Les entreprises qui fonctionnent comme une « organisation d’organisations » font face à de nombreux défis de cybersécurité uniques. La NFL supervise 32 clubs, chacun exploitant ses propres activités complémentaires.

« Les pratiques, protocoles et programmes de sécurité que nous avons conçus sont alignés sur les recommandations de cybersécurité du NIST. Bien sûr, nous veillons également à tirer parti des services proposés par la CISA. Les clubs individuels comprennent comment la ligue peut les aider et comment ils peuvent aussi bénéficier localement des services gouvernementaux de cybersécurité. » - Tomás Maldonado

Les clubs individuels collaborent souvent étroitement avec des entreprises et services locaux, et transmettent les bonnes pratiques de sécurité qu’ils observent aux fournisseurs de leur chaîne d’approvisionnement.

La prévention des cyberattaques exige une approche globale pour atténuer les risques et protéger les données sensibles. Les entreprises doivent investir dans des solutions qui protègent leurs systèmes contre les menaces internes comme externes.

Les gestionnaires de mots de passe peuvent aider les utilisateurs à générer et stocker des mots de passe complexes en toute sécurité. Encourager l’utilisation de mots de passe forts et uniques, et développer une culture de la cybersécurité, peut empêcher les cybercriminels d’accéder aux systèmes et doter les employés des outils et ressources nécessaires pour identifier et signaler les menaces potentielles. La mise en œuvre de l’authentification multifacteur (2FA) ajoute une couche de sécurité supplémentaire en obligeant les utilisateurs à fournir deux formes d’identification avant d’accéder aux systèmes, réduisant ainsi le risque d’accès non autorisé, même si les mots de passe sont compromis. Le chiffrement des données sensibles garantit qu’elles ne peuvent pas être lues sans la clé de déchiffrement, même si elles sont interceptées. La configuration d’alertes en cas d’activité suspecte ou malveillante permet aux équipes de sécurité de réagir rapidement aux menaces potentielles. En investissant dans ces solutions et en adoptant les bonnes pratiques, les entreprises peuvent réagir efficacement aux cyberattaques et protéger leurs données sensibles contre toute compromission.

« Depuis [SolarWinds], nous avons accompli des progrès incroyables dans le déploiement de la détection et de la réponse sur les terminaux dans plus de 60 agences fédérales. Nous pouvons désormais analyser les cybermenaces et relier entre eux les points, pour ainsi dire, entre les agences. Nous avons pu utiliser nos ressources pour détecter des activités malveillantes qui avaient échappé à nos technologies de détection sur les terminaux, car en rassemblant tous les éléments, nous avons compris que quelque chose n’allait pas. Nous avons pu arrêter ce que nous considérons comme des attaques de nouvelle génération. » - Jeff Greene

En passant de la sécurité en entreprise et des opportunités et défis qu’elle présente, Crandell a souligné que, malgré nos technologies de sécurité sophistiquées, l’erreur humaine reste l’une des principales causes de violations. Il a interrogé Maldonado et Greene sur les stratégies et pratiques pouvant être adoptées pour encourager de meilleurs comportements.

« J’essaie de renforcer la sensibilisation et la formation de mon équipe aux types de menaces auxquels nous sommes confrontés en tant qu’organisation », a déclaré Maldonado. « Je me concentre également sur les menaces de sécurité auxquelles les gens peuvent être confrontés dans leur vie personnelle. Même si certains peuvent considérer leur personnel comme le maillon le plus faible, je préfère voir les choses sous l’angle de notre personnel comme notre plus grand atout. Si j’ai 15 000 personnes dans mon organisation, j’ai potentiellement 15 000 évangélisateurs de la sécurité. »

« Si je parviens à les toucher et à les rendre mieux informés en cybersécurité, ils peuvent devenir de bonnes sentinelles ou des évangélisateurs de certains contrôles de sécurité… Au final, les gens sont bien intentionnés et veulent faire ce qu’il faut. » - Tomás Maldonado

Maldonado a également indiqué que les gens s’appuient encore fortement sur les noms d’utilisateur et les mots de passe. Il a déclaré que la NFL avait tenté de passer des mots de passe aux phrases de passe, car il estime que cela les rendra plus difficiles à craquer pour les adversaires, tout en les rendant plus faciles à mémoriser pour les individus.

Les utilisateurs de Bitwarden à la recherche d’une alternative aux mots de passe composés de caractères générés aléatoirement peuvent également tirer parti des phrases de passe. Les phrases de passe peuvent être créées à l’aide du générateur de phrases de passe Bitwarden ou de la fenêtre contextuelle de création d’élément dans le coffre.

« Si vous apprenez aux gens à protéger leurs informations personnelles, qu’il s’agisse de coordonnées de carte bancaire ou de données de compte bancaire, ils transféreront ces compétences, presque automatiquement, à leur vie professionnelle », a déclaré Greene. « Mais tout cela se concentre sur le problème à court terme, alors qu’il existe un problème fondamental à plus long terme… Nous ne devrions pas vivre dans un environnement où une erreur momentanée peut permettre à un cybercriminel de vider un compte bancaire, de voler des secrets de sécurité nationale ou de mettre hors service des infrastructures critiques. Cela arrive parce que les logiciels et technologies sur lesquels nous comptons sont conçus de manière non sécurisée. »

« À court terme, nous devons faire tout ce dont nous avons discuté, et à long terme, nous devons changer la manière dont cette technologie est conçue. Elle doit être extrêmement robuste dès le départ. Nous avons besoin de la sécurité dès la conception. » - Jeff Greene

Voici quelques exemples de sécurité dès la conception :

• Utiliser l’authentification multifacteur.

• Signaler les vulnérabilités connues.

• Disposer d’un système de détection des vulnérabilités.

• Veiller à ce qu’aucun appareil ni système ne soit fourni avec un nom d’utilisateur et un mot de passe par défaut.

Les organisations doivent immédiatement remplacer les noms d’utilisateur et mots de passe par défaut par des mots de passe ou des phrases secrètes forts et uniques, de préférence gérés et sécurisés par un gestionnaire de mots de passe chiffré de bout en bout comme Bitwarden.

Greene encourage également tout le monde à consulter le site web de la CISA pour en savoir plus sur l’engagement officiel « Secure by Design ».

Alors que les cybermenaces continuent d’évoluer et de gagner en sophistication, le rôle de l’IA et du machine learning en cybersécurité devient de plus en plus important. Il est essentiel que les entreprises adoptent des technologies capables de détecter les cybermenaces et d’y répondre en temps réel, ce qui réduit considérablement le risque de violations de données et d’autres cyberattaques. Grâce à la détection des menaces en temps réel, les algorithmes d’IA et de machine learning peuvent analyser rapidement d’immenses volumes de données, en identifiant des schémas et anomalies susceptibles d’indiquer une cybermenace. En analysant les données historiques, l’IA peut prédire les futures cybermenaces et aider les organisations à se préparer à d’éventuelles attaques.

« À mesure que l’IA se généralise, les professionnels de la sécurité doivent mieux comprendre les risques de sécurité potentiels posés par l’IA générative et la manière dont nous pouvons appliquer les principes de sécurité dès la conception pour établir des bases solides en matière de sécurité des données », a déclaré Maldonado. Il estime que les principes de sécurité dès la conception doivent être intégrés tôt, lorsque les futurs développeurs apprennent à écrire du code. « Les développeurs sont incités à apprendre à coder très rapidement afin de pouvoir lancer un produit sur le marché le plus vite possible », a déclaré Maldonado.

« Nous devons passer d’une logique qui récompense les entreprises lançant rapidement des produits à une logique qui récompense celles qui accordent une véritable priorité à la sécurité et l’intègrent dès le départ. Les entreprises peuvent atteindre leurs objectifs commerciaux tout en protégeant les utilisateurs contre la compromission de leurs données. » - Tomás Maldonado

Cette approche proactive permet aux équipes de sécurité de garder une longueur d’avance sur les cybercriminels et d’atténuer les risques avant qu’ils ne se concrétisent. Les systèmes pilotés par l’IA peuvent répondre automatiquement aux menaces détectées, en les neutralisant avant qu’elles ne causent des dommages importants. Cela réduit la charge des équipes de sécurité et garantit une réponse rapide et efficace aux cyberattaques. En exploitant l’IA et le machine learning, les organisations peuvent renforcer leur posture de cybersécurité et mieux protéger leurs données contre les menaces émergentes.

« Nous avons tous les moyens d’améliorer la sécurité de nos vies numériques et de nos entreprises. Aussi effrayant que cela puisse paraître, la plupart des cyberattaques ne sont pas sophistiquées, et la plupart des attaquants sont paresseux. Si, en tant que particulier ou petite entreprise, vous appliquez les mesures simples — installer les correctifs et mises à jour, disposer d’outils de sécurité tels que des gestionnaires de mots de passe et utiliser l’authentification multifacteur —, vous aurez une longueur d’avance sur la plupart des cybercriminels. » - Jeff Greene

Prêt à devenir un champion de la cybersécurité grâce à la gestion des mots de passe ? Commencez par un essai de 7 jours gratuit pour les entreprises, ou créez un compte individuel gratuit.