Malgré tous les discours sur la façon dont le monde du travail a été forcé de se moderniser et de s'adapter à la suite de la pandémie, beaucoup d'entre nous s'appuient encore sur des technologies dépassées sur leur lieu de travail. Des services gouvernementaux qui utilisent des systèmes obsolètes aux employés d'entreprise qui téléchargent des applications non approuvées, ces technologies non prises en charge sont partout. Et elles exposent les organisations à des risques de sécurité inutiles.
Il y a une raison simple pour laquelle l'exécution d'applications et de logiciels obsolètes ou non pris en charge est dangereuse.: ces technologies n'offrent aucune garantie de sécurité.
Les logiciels obsolètes ne peuvent pas être mis à jour ou corrigés, et les pirates savent que les applications non prises en charge sont une occasion d'introduire des fichiers ou des codes malveillants sur les appareils. Ainsi, les acteurs malveillants cibleront presque toujours les technologies non prises en charge. Du point de vue de la sécurité, c'est littéralement le maillon faible de la plupart des organisations.
Les technologies anciennes ne posent pas que des problèmes de sécurité. Dans un rapport récent publié par Virgin Media O2 Business, près d'un tiers des décideurs d'entreprise ont déclaré que les logiciels ou le matériel obsolètes constituent la plus grande menace pour l'efficacité de leur entreprise.
Par conséquent, les entreprises doivent s'assurer que toutes les technologies sur lesquelles elles s'appuient sont prises en charge, mises à jour et sécurisées. Pour certains, cette tâche peut sembler insurmontable. Par où commencer pour savoir où se trouvent les lacunes critiques en matière de sécurité au sein de ton organisation, où sont utilisés des produits qui auraient dû être retirés depuis longtemps, et comment mettre tes systèmes à jour et en conformité avec les normes de sécurité modernes à un coût raisonnable ? Malgré les défis, ce sont des questions auxquelles chaque entreprise doit répondre.
Comprendre les risques
L'exécution de logiciels obsolètes ou l'utilisation d'applications non corrigées est un cadeau pour les acteurs de la menace. L'un des exemples les plus notoires de ce phénomène est l'attentat de 2017. WannaCry attaque par ransomware, où les attaquants ont exploité une faiblesse dans les versions obsolètes de Microsoft Windows et où des centaines de milliers d'appareils ont été infectés.
Il est donc primordial de savoir quand tes logiciels ou tes applications atteindront le statut de fin de vie. Il ne suffit pas d'attendre que tes produits ne soient plus sûrs pour essayer de les patcher ou de les mettre en quarantaine le temps de faire des modifications.
Planifie à l'avance l'élimination progressive des technologies en fin de vie ou trouve des solutions de contournement sécurisées, et mets-les en œuvre bien à l'avance. Note cependant que de nombreux correctifs d'applications, contrôles alternatifs ou solutions de contournement ne devraient être que temporaires. Certains cadres réglementaires exigent même que les entreprises mettent en place des plans de remédiation à long terme lorsqu'elles utilisent des correctifs d'application afin de garantir les plus hauts niveaux de sécurité.
Connais ton infrastructure
Le lieu de travail moderne signifie que les entreprises doivent faire face à plus de technologies que jamais. De nombreuses entreprises ont mis en place des politiques BYOD, ou les employés travaillent sur plusieurs appareils., accédant à des données critiques pour l'entreprise à la maison, sur des appareils personnels ou sur des réseaux publics. Toute application personnelle téléchargée sur un appareil utilisé pour le travail doit être considérée comme une menace potentielle. Les acteurs de la menace cherchent à exploiter les applications et les outils utilisés par les organisations qui traitent d'importants volumes de données critiques, par exemple dans les domaines de la santé, du droit et de la finance.
Est-ce que ton entreprise comprend bien comment les applications sont utilisées par ses employés ?
Chaque entreprise devrait avoir une visibilité complète sur les appareils utilisés par tous les employés. Cela signifie savoir combien d'appareils sont utilisés pour accéder aux données de l'entreprise et comprendre quels systèmes d'exploitation et quelles applications sont utilisés et installés sur ces appareils. On ne saurait trop insister sur l'importance d'instituer une politique solide de gestion des actifs. En fait, pour de nombreux professionnels de la cybersécurité, la gestion des actifs devient un indicateur clé de la bonne santé cybernétique des organisations. Le gouvernement britannique Cyber Essentials souligne également l'importance d'une bonne gestion des actifs.
Lorsque tu regardes comment les applications sont utilisées par tes employés et dans l'ensemble de ton entreprise, réfléchis aux risques – s'il y en a – que tu es prêt à prendre.
De nombreuses entreprises mettent en place des politiques qui interdisent le téléchargement d'applications sideloadées, par exemple. Lors de l'enregistrement des appareils, les entreprises pourraient installer une suite préapprouvée d'applications provenant de fournisseurs officiels qu'elles ont jugées sûres ou appropriées pour l'entreprise. En tirant parti de la puissance de l'inscription sans contact d'Android, les applications peuvent être installées avant même que les appareils ne soient entre les mains des utilisateurs. C'est un moyen efficace de garantir la cohérence des applications entre tous les nouveaux appareils et de s'assurer que ton entreprise sait exactement ce qui est installé, et sur quel appareil. La tenue d'un registre à jour s'en trouve simplifiée et rationalisée.
Et avec des inventaires d'applications en place, les entreprises peuvent garder un œil actif sur les protections de sécurité des différentes applis et sur les dates de sortie de leurs correctifs.
Test, test, test
Maintenant, ton entreprise sait exactement qui utilise quoi au travail, et tes logiciels et applications fonctionnent avec les versions les plus récentes. Et maintenant ? La sécurité de ces technologies doit être mise à l'épreuve.
Lorsque l'on examine l'ensemble du paysage des menaces, il peut être accablant pour les chefs d'entreprise de déterminer celles qui posent le plus de risques et qui doivent être corrigées. Quelles sont les vulnérabilités les plus critiques pour ton secteur et ton entreprise ? Où se trouvent les plus grandes menaces ? Si tu dois investir dans des protections de cybersécurité, ou dans des versions plus récentes de logiciels ou de matériel, où réaliseras-tu les gains de sécurité les plus importants ?
La validation continue de la sécurité est un moyen essentiel pour les entreprises de se tenir au courant des menaces vivantes et émergentes.
Ce n'est qu'en mettant activement tes défenses de sécurité à l'épreuve que tu comprendras où sont les lacunes et où ton entreprise doit concentrer ses efforts de remédiation. La validation continue de la sécurité et les tests de pénétration qui examinent spécifiquement les applications mobiles utilisées par ton personnel peuvent révéler les vulnérabilités présentes dans ces applications, de sorte que tes équipes informatiques sont immédiatement informées lorsqu'une application est jugée risquée.
Si ton entreprise s'appuie sur des produits obsolètes ou non pris en charge, l'objectif ultime devrait être de les retirer ou de les remplacer. En attendant, donne la priorité à la gestion des risques en maintenant une visibilité complète sur toutes les applications et tous les systèmes utilisés par ton personnel, et mets les défenses de sécurité de tes systèmes à l'épreuve.
Les entreprises ne seront jamais totalement exemptes de risques, mais il est essentiel de prendre des mesures pour les atténuer afin de préserver la sécurité de tes données, de tes appareils et de tes utilisateurs. Il n'y a aucune raison de confier des informations commerciales essentielles à un système d'exploitation non pris en charge ou à une application vulnérable.
Steve Whiter est directeur à Appurity
Tu pourrais aussi lire :
Tes employés sont-ils le maillon faible de la lutte contre la cybercriminalité ?:
___________________________________________________________________________________________
Si tu aimes ce site Web et que tu utilises l'annuaire complet des fournisseurs de services (plus de 6 500), tu peux obtenir un accès illimité, y compris la série exclusive de rapports approfondis sur les directeurs, en souscrivant à un abonnement Premium.
- Individuel £5 par mois ou £50 par an. S'inscrire
- Multi-utilisateurs, entreprises & ; comptes de bibliothèque disponibles sur demande
Renseignements sur la cybersécurité : Capturé Organisé & ; Accessible
