Défense anti-phishing avec COBIT 2019 & CMMI
Les attaques par hameçonnage et par courrier électronique constituent un problème énorme pour de nombreuses entreprises. Or il faut bien l’admettre, elles sont en nette augmentation.
Pour ceux qui ne sont pas familiers avec l’hameçonnage (phishing en anglais) commençons par rappeler ce dont il s’agit. Le phishing consiste à utiliser le courrier électronique comme moyen d’attaque. Cela comprend, par exemple, les tentatives frauduleuses d’obtention d’informations confidentielles (par exemple, les coordonnées de carte de crédit). L’hameçonnage c’est aussi un moyen de véhiculer des programmes malveillants. C’est aussi un moyen de tromper les utilisateurs en leur faisant divulguer leur nom d’utilisateurs ou leur mot de passe. Ces tentatives peuvent apparaître comme venant d’un expéditeur digne de confiance. L’objectif est de rendre le succès plus probable.
Pour mieux comprendre en quoi consiste l’hameçonnage, je vous invite à relire les articles suivants de ce blog :
Un constat plus qu’inquiétant
L’Internet Crime Complaint Center (IC3) du FBI révélait en juillet 2018 que les pertes mondiales consécutives aux attaques de phishing financières dépassaient 12 milliards de dollars. Leur taux d’expansion a été de 136% entre décembre 2016 et mai 2018. Et encore, les données du FBI ne concernent qu’un sous-ensemble d’attaques d’hameçonnage : les attaques contre les mails business (BEC) et les attaques contre les comptes de messagerie (EAC). Ces deux types d’attaques ont un objectif commun. Il s’agit de la fraude financière sur internet en utilisant l’hameçonnage comme principal véhicule.
Le phishing dans son ensemble, incluant tous les types de cyber-attaques par hameçonnage, est beaucoup plus important. Par exemple, le rapport d’enquête 2018 de Verizon sur les violations de sécurité révèle que 92,4% des logiciels malveillants sont transmis par courrier électronique. En outre, le rapport ISTR (Internet Security Threat Report) 2018 de Symantec indique qu’à la fin de 2017, l’utilisateur de messagerie électronique moyen recevait environ 16 messages électroniques malveillants par mois.
Pour quelle raison les cyber-criminels utilisent-ils si souvent les techniques phishing? Pour la simple raison que ces techniques fonctionnent bien. C’est ailleurs ce que corroborent les données du FBI. Pourquoi les utilisateurs de messagerie continuent-ils de faire l’objet d’attaques de phishing? Et ce en dépit des efforts considérables déployés et des budgets que beaucoup d’entreprises ont investi (et continuent d’investir) pour réduire le risque lié à l’hameçonnage? La question est posée.
Etat des lieux de la lutte anti-hameçonnage
L’ISACA vient de publier les résultats d’une enquête réalisée au niveau mondial. Les répondants ont indiqué que les contrôles antiphishing qu’ils déploient le plus souvent visent à sensibiliser les employés. Soixante et onze pour cent des entreprises interrogées ont recours à la formation de leurs employés. Parmi eux, 64% ont recours à des solutions de formation en ligne et 63% à des newsletters par courrier électronique pour mieux faire connaître le phishing et atténuer les menaces d’hameçonnage dans le cadre de leur stratégie anti-phishing.
Une amélioration continue insuffisante
Si les entreprises mesurent les résultats de leurs actions, peu sont celles qui ont confiance en leur stratégie. Soixante-quinze pour cent des entreprises mesurent et communiquent régulièrement l’efficacité de leurs programmes de sensibilisation au phishing. Le niveau de confiance dans l’efficacité des programmes mesurés et sur lesquels il était rendu compte est toutefois faible. Seuls 45% des répondants sont soit totalement confiants, soit très confiants dans leur capacité à évaluer avec précision l’efficacité des efforts de sensibilisation au phishing. 12% seulement des personnes interrogées sont totalement confiantes.
Le développement du contenu et des outils du programme anti- hameçonnage est soit totalement externalisé (développé par un partenaire ou un fournisseur de services), soit une combinaison de l’entreprise avec des ressources externes. Seules 38% des entreprises interrogées élaborent leurs supports de sensibilisation à la sécurité de manière totalement interne. C’est-à-dire qu’elles utilisent des ressources internes pour développer des supports de sensibilisation.
Une approche mixte
Une fois le matériel développé, la gestion du programme de sensibilisation à la sécurité est envisagée. La majorité des entreprises gèrent leurs programmes de sensibilisation à la sécurité en interne. Elles utilisent souvent des matériels développés par, ou avec, d’autres personnes externes. Cependant, un peu plus du quart (28%) des entreprises interrogées sont en train de transférer la gestion du programme de sensibilisation à la sécurité à un fournisseur externe ou envisagent de le faire.
L’efficacité n’est pas optimale
Dans l’ensemble, l’élaboration de matériels et la collaboration en matière de gestion de programme constituent un modèle qui ressemble, d’une certaine manière, à l’utilisation de fournisseurs de cloud dans un contexte technologique. C’est-à-dire que l’entreprise utilise des ressources et des principes de gestion internes pour son fonctionnement et une gouvernance interne. Les structures de supervision des éléments de sécurité opérationnelle sont développés par des ressources externes. Semblables aux déploiements dans le nuage, les stratégies anti-phishing et les programmes de sensibilisation requièrent une responsabilité partagée pour présenter une efficacité optimale. C’est le manque de confiance dans l’évaluation de l’efficacité des programmes de phishing et la faiblesse relative de leur capacité à mesurer et à rendre compte de leur efficacité qui handicape le succès des programmes anti-phishing.
Améliorez votre défense contre l’hameçonnage
Les données de l’enquête révèlent une implication intéressante concernant le phishing. Les mécanismes qui valident de manière empirique la performance des efforts de sensibilisation (par exemple, l’évaluation des connaissances et la simulation d’hameçonnage) sont utilisés moins fréquemment que les contrôles pour accroître la sensibilisation au phishing. Une focalisation accrue sur la validation empirique pourrait aider les équipes de sécurité à mieux calibrer leurs efforts au fil du temps. Long et bien établi, un cycle vertueux de mesures et d’amélioration est un principe fondamental de bonne gouvernance. Il peut donc potentiellement apporter une valeur ajoutée en aidant à établir une boucle de rétroaction.
Appuyez-vous sur des partenaires externes
Une stratégie prometteuse consisterait donc à exploiter de manière sélective et stratégique les relations avec des fournisseurs de services. Cette stratégie est convaincante. En effet, les fournisseurs de services externes présentent des avantages en termes de spécialisation et d’économies d’échelle qui ne sont pas accessibles aux équipes internes.
L’environnement des attaquants évolue en permanence. C’est aussi le cas de leurs motivations et de leurs vecteurs d’attaque. La compréhension et l’adaptation à ces changements nécessite des efforts continus. Or ceux-ci dépassent généralement la capacité d’une équipe interne . A l’inverse, une équipe externe fiable et avec un personnel adéquat peut se concentrer sur l’évolution des activités des attaquants et de leurs méthodes de fonctionnement. C’est similaire aux spécialistes externes en sécurité qui peuvent se concentrer plus efficacement sur les économies d’échelle et les exploiter lorsqu’ils recherchent des logiciels malveillants ou des vulnérabilités «zero-day».
Intégrer les expertises internes et externes
Attention cependant à ne pas tout externaliser. Il ne faut pas croire que les entreprises n’ont aucun rôle à jouer dans les stratégies anti-phishing. Le personnel interne connaît l’activité et les employés de l’entreprise mieux que quiconque. En conséquence, le personnel interne est le mieux à même de comprendre les besoins de ses utilisateurs, toutes les exigences de formation propres à l’entreprise et les méthodes les plus efficaces pour atteindre chaque groupe d’utilisateurs. Étant donné que les fournisseurs de services externes peuvent se spécialiser, ce qui s’avère difficile pour les équipes internes alors que celles-ci ont une meilleure compréhension de l’entreprise et des besoins de ses employés, les stratégies combinées qui exploitent les deux forces peuvent présenter des avantages.
Les données de l’enquête ISACA révèlent une grande dépendance vis-à-vis des fournisseurs de services pour l’élaboration du contenu et des outils des programmes. Mais les entreprises sont plus susceptibles de gérer en interne leurs programmes de sensibilisation à la sécurité. Plus précisément, seulement 4% des entreprises interrogées externalisent toutes les activités de gestion des actions de sensibilisation et 12% utilisent une approche combinée, impliquant des ressources internes et externes.
Tirer parti des de l’expertise externe
Les entreprises peuvent toutefois bénéficier de l’expertise des fournisseurs de services. Les entreprises peuvent faire appel aux fournisseurs de services de différentes façons.
Utilisation de fournisseurs externes à des fins de validation uniquement
Un ou plusieurs fournisseurs de services valident l’efficacité de la modification du comportement de l’utilisateur. Ces services incluent la simulation de phishing. Ils testent le comportement des utilisateurs via l’utilisation d’e-mails similaires à ceux de phishing pour évaluer la résistance des utilisateurs au phishing et réalisent l’évaluation de l’utilisateur basée sur les connaissances.
Utilisation de fournisseurs externes pour le développement de matériel de sensibilisation
Un ou plusieurs fournisseurs de services développent du matériel de formation, des supports de sensibilisation (affiches, notifications par courrier électronique et des économiseurs d’écran) ainsi que d’autres artefacts spécifiques conçus pour soutenir le programme.
Utilisation de fournisseurs externes pour la gestion
Un ou plusieurs fournisseurs de services gèrent, suivent, mesurent et rendent compte de la participation des utilisateurs avec des supports de sensibilisation à la sécurité (par exemple, participation à des cours ou à une formation et suivi des e-mails d’informations aux utilisateurs) et gèrent des campagnes de validation au fil du temps.
Approche de fournisseur de services clé en main (entièrement externalisée
Un fournisseur de services unique gère entièrement le programme de défense anti-hameçonnage. En général il s’agit de sensibilisation à la sécurité.
Chaque modèle présente des avantages et des inconvénients potentiels. De même, chaque modèle nécessite une exécution solide et un soutien du management à utiliser de manière optimale. Pour évaluer si l’utilisation des fournisseurs de services génère la valeur attendue, la capacité de tester et de gérer leur travail est primordiale, y compris les éléments individuels anti-phishing du programme (par exemple, le matériel de formation ou de sensibilisation individuel) et la gestion et la gouvernance globales. du programme.
L’amélioration de votre défense repose sur votre management
La construction des meilleures défenses contre le phishing et la mise en place d’une meilleure gestion de ces défenses varie d’une entreprise à l’autre. En effet, votre stratégie est fonction de nombreux facteurs. Et la plupart d’entre eux sont spécifiques à votre entreprise. Par exemple, les entreprises ont un appétit du risque, une cultures et des types d’employés différents. De plus, elles exercent leurs activités dans différents secteurs.
Malgré ces différences, une gestion, une mesure et une validation améliorées ont un impact positif presque universel sur la défense anti-hameçonnage.
Pourquoi la maturité est importante
Cet impact positif arrive à maturité, pour deux raisons:
- Les processus plus matures sont plus susceptibles de disposer de mécanismes déjà en place qui permettent de mesurer et d’améliorer les performances de ces processus.
- Le niveau de maturité a une incidence sur l’endroit et la manière dont les améliorations sont les mieux apportées. Un retour sur investissement plus important est probablement réalisé en ciblant des zones spécifiques plus basses dans l’échelle de maturité. Le temps pour réaliser de améliorations dans une zone immature sera moindre. Les efforts et de dépenses seront moins importants par rapport aux zones à maturité supérieure. La maturité globale du programme de défense anti-hameçonnage comprend divers processus. Certains d’entre eux peuvent être gérés par l’entreprise. D’autres peuvent l’être par des fournisseurs de services. L’entreprise peut être mature dans certains domaines. A l’inverse, un fournisseur de services peut être immature dans ces mêmes domaines. Ce sont là des domaines dans lesquels l’entreprise peut améliorer la maturité globale du programme. Elle le fera en affinant de manière sélective les éléments immatures.
« Pour déterminer où se situent les différents éléments d’un programme dans l’éventail des échéances, l’entreprise peut analyser systématiquement les éléments du programme de la même manière qu’elle analyse d’autres ensembles de contrôles de sécurité ou tout autre processus de l’entreprise. »
COBIT 2019 et CMMI peuvent vous aider
Les entreprises ont tendance à évoluer sur l’échelle de maturité au fil du temps. Les améliorations apportées à la focalisation, aux investissements ou au soutien du personnel ont tendance à augmenter la maturité. A l’opposé, la réduction de ces mêmes ressources réduit la maturité. Il est tentant de voir cela comme une progression dans laquelle une entreprise devient plus mature avec le temps. Attention, ce n’est pas toujours le cas. Des forces extérieures hors du contrôle direct de l’entreprise peuvent influer sur la maturité. Il peut s’agir par exemple de la perte de personnel et/ou de budgets. Et le passage d’un fournisseur de services à un autre peut entraîner une augmentation ou une diminution de la maturité. Celle-ci dépendra des aptitudes des fournisseurs sélectionnés.
La maturité doit être évaluée sur toute la chaîne
Pour déterminer où se situent les différents éléments d’un programme dans l’éventail des échéances, l’entreprise peut analyser systématiquement les éléments du programme. Elle doit le faire de la même manière qu’elle analyse d’autres ensembles de contrôles de sécurité ou tout autre processus de l’entreprise. Toute méthodologie permettant un examen systématique de la maturité peut être utilisée. On peut par exemple s’appuyer sur COBIT 2019 ou CMMI. Mais il est particulièrement important de prendre en compte diverses relations cofinancées ou externalisées dans le cadre de cette évaluation. Si des fournisseurs de services sont utilisés, les rapports et les instruments fournis par ceux-ci doivent être clairement compris. Dans la mesure où les fournisseurs de services améliorent leur maturité, l’entreprise doit tirer pleinement parti de toute intégration technique qu’ils peuvent fournir. Cela peut par exemple être des fonctionnalités de personnalisation permettant aux utilisateurs d’être mieux impliqués et aux flux de travail d’être automatisés.
Mise en oeuvre des améliorations dans votre défense anti-hameçonnage
Les données de l’enquête ISACA suggèrent plusieurs méthodes pour améliorer la gestion et la gouvernance des stratégies de défense anti-hameçonnage. Notez que ces méthodes ne sont pas les seules étapes pouvant être suivies pour réaliser une amélioration. Elles peuvent toutefois présenter des avantages pour un certain nombre d’entreprises.
Intégrer la validation des campagnes de phishing
Si une entreprise ne valide pas encore les performances, elle peut améliorer les performances en s’assurant qu’elle dispose de cette capacité. Elle peut, par exemple, réaliser une simulation de phishing. Si une entreprise a mis en place ces mesures, elle doit être en mesure de mettre en corrélation les données relatives à ces performances et les informations relatives à l’engagement de l’utilisateur. Ceci, que leur développement soit en interne ou via un fournisseur de services. Cette corrélation permet à l’entreprise d’évaluer les performances des supports de sensibilisation les uns par rapport aux autres.
Supposons qu’une entreprise sache que les utilisateurs lisent des bulletins électroniques de sensibilisation sur le spear phishing. Mais dans le même temps, les efforts de validation suggèrent que les utilisateurs continuent à cliquer sur des e-mails simulés de phishing. Dans ce cas, les e-mails de sensibilisation peuvent ne pas avoir l’effet souhaité. Cela fournit à l’entreprise des informations importantes sur lesquelles elle peut agir. Elle pourra par exemple proposer une formation «juste à temps». À mesure que les entreprises suivent ces informations, elles pourront optimiser les activités de sensibilisation au phishing au fil du temps. Elles peuvent ainsi déterminer les stratégies les plus efficaces pour leur population d’utilisateurs.
Évaluer les relations existantes d’impartition ou de co-sourcing
Déterminez les informations fournies par les fournisseurs de services. Et comprenez comment l’entreprise les utilise pour s’améliorer au fil du temps. L’entreprise utilise des éléments développés par des partenaires extérieurs? Alors, vérifiez si ces derniers fournissent des informations permettant de suivre l’engagement. Si ce n’est pas le cas, déterminez les étapes qui peuvent être négociées avec le fournisseur pour remédier à cette situation. L’entreprise utilise un fournisseur externe pour la simulation de phishing? Déterminez si l’entreprise met en corrélation les résultats avec des campagnes de sensibilisation menées en interne ou par le fournisseur. Une analyse et un examen systématiques de ces relations aident à déterminer si l’entreprise peut collecter des informations insuffisantes ou des informations erronées, ou ne pas mettre en corrélation les informations en sa possession pour tirer des conclusions.
Fixez-vous des objectifs d’amélioration clairs et suivez-les
Par exemple, si l’entreprise souhaite améliorer la résilience des utilisateurs face aux attaques par hameçonnage, définissez un objectif (par exemple, une augmentation de 15% pour le trimestre) et mesurez les améliorations. Avoir une cible permet de se focaliser sur des résultats spécifiques. Cela permet également de comprendre dans quelle mesure des changements spécifiques apportés sont bénéfiques ou néfastes. Et enfin, cela permet de justifier le retour sur investissement pour les parties prenantes.
Établir ou améliorer les structures de gouvernance utilisées pour les rapports et les mesures
Les données de l’enquête suggèrent que les entreprises sont en dessous du niveau optimal dans ce domaine. L’augmentation de la capacité de collecte de données sur l’exécution de campagnes de sensibilisation et la performance de ces campagnes grâce à des tests empiriques apportera probablement une valeur significative aux entreprises les moins avancées. Un moyen d’améliorer ce domaine consiste à incorporer la collecte de mesures et la production de rapports dans le développement de campagnes de sensibilisation. Par exemple, à mesure que les entreprises développent des campagnes de sensibilisation et créent le matériel à l’appui de cette campagne, elles peuvent s’assurer de pouvoir mesurer l’engagement de l’utilisateur avec ce matériel.
Une entreprise peut utiliser une formation utilisateur en ligne ou en personne sur le phishing. Elle doit alors s’assurer de pouvoir suivre, gérer un enregistrement et signaler la présence des utilisateurs. Si une entreprise envoie des e-mails de rappel, elle peut s’assurer de suivre le taux d’ouverture par les utilisateurs. Ces informations sont utiles. Elles permettent aux entreprises de déterminer les méthodes les plus efficaces vis à vis de leurs utilisateurs.
Conclusion
L’enquête ISACA montre qu’on peut grandement améliorer la gouvernance et la gestion de la défense anti-hameçonnage. Cela nécessite de meilleures mesures et à de meilleurs rapports. De même, les relations de sous-traitance et de prestataire de services peuvent améliorer directement et substantiellement les performances des défenses. Encore faut-il qu’elles soient utilisées et gérées de manière appropriée. Les données suggèrent un degré élevé de soutien des fournisseurs de services externes pour le développement de contenus et d’outils de programmes de sensibilisation au phishing. On note également une tendance croissante à utiliser des fournisseurs externes pour la gestion de programmes de phishing. La capacité à suivre et à mesurer les performances des fournisseurs affecte directement la capacité de défense contre le phishing.
L’entreprise doit comprendre la maturité inhérente aux processus existants. Elle doit aussi comprendre et évaluer systématiquement les relations avec les fournisseurs intervenant dans le programme de défense anti-hameçonnage. C’est en suivant la performance de tous ces efforts , qu’une entreprise peut apporter des améliorations. Cela lui permettra de suivre les progrès au fil du temps pour assurer une gestion vertueuse d’un cycle d’amélioration continue. Et, finalement, elle pourra aller vers une amélioration des défenses de phishing plus matures