Par le Dr Thomas P. Keenan, FCIPS, I.S.P., ITCP en collaboration avec Ron Murch, I.S.P., IPCP – tous deux de l’Université de Calgary.

Certains des principaux responsables de la sécurité de l’information au Canada ont passé une heure à discuter des problèmes de plus en plus délicats de la gestion des identités.

Au cours d’une session dirigée par Derek Mankey, chef de Security Insights, Fortiguard Labs, et modérée par Bobby Singh, CTO et CISO pour le groupe TMX, un groupe de CISO a abordé les derniers problèmes de la gestion des identités, dont beaucoup ont été soulignés par COVID-19.

LE PASSAGE À UN ENVIRONNEMENT DE TRAVAIL DISTRIBUÉ. Mankey a noté que le passage soudain au travail à domicile a créé de nouveaux types d’attaques et a estimé que de nombreuses entreprises “n’étaient pas correctement configurées pour les modèles d’entreprises distribuées”. Les attaques vont de la vente de faux médicaments COVID-19 et d’EPI contrefaits à la tentative de voler des données aux sociétés biomédicales et pharmaceutiques.

Parmi les autres escroqueries, citons les fausses offres d’emploi, les logiciels malveillants intégrés dans les CV et les leurres pour rejoindre des réseaux de mules financières visant les personnes qui ont perdu leurs revenus à cause de la pandémie.

Sans les enveloppes de cybersécurité fournies dans les environnements de travail centralisés, de nombreuses organisations ont dû se battre pour protéger au mieux leurs employés éloignés, alors qu’elles passaient rapidement à des arrangements de travail à domicile distribués.

SÉCURITÉ DU COURRIER ÉLECTRONIQUE. Un CISO a observé que tout le monde devient plus paranoïaque à propos des courriers électroniques et que parfois les courriers légitimes sont traités comme suspects. Plusieurs entreprises ont fait remarquer qu’elles signalent les courriels qui proviennent de l’extérieur de leur organisation, bien que cela puisse faire l’objet d’un piratage si les malfaiteurs sont assez rusés pour altérer, par exemple, l’Active Directory d’une organisation.

La question de la réalisation de sondages à l’aide de SurveyMonkey a suscité beaucoup d’intérêt, car le renforcement des règles relatives aux courriers électroniques, tant sur le plan humain que technique, peut amener les gens à douter de leur authenticité. L’une des solutions proposées consiste à placer des liens vers les sondages sur un intranet d’entreprise. Vous pouvez également utiliser des courriers électroniques vérifiés pour avertir les employés qu’un sondage va être réalisé.

LES ESCROQUERIES PAR HAMEÇONNAGE.  Les campagnes de test de phishing sont de plus en plus populaires, avec un retour d’information approprié aux personnes qui cliquent sur les mauvais liens. Une entreprise a signalé que si quelqu’un échoue à son test de phishing, “nous verrouillons son compte et le forçons à changer son mot de passe, ce qui a modifié le comportement de l’utilisateur”.

Les avocats sont une cible particulière du harponnage, car ils fournissent généralement des informations personnelles très détaillées et des coordonnées sur leurs principaux sites web. Il est ainsi plus facile de créer des courriels qui semblent provenir d’un associé ou d’un collaborateur de leur cabinet. Il existe également des vulnérabilités lorsqu’ils traitent avec des clients allant des attaques de l’homme du milieu aux compromis de destination, par exemple à “cette société de cannabis qui n’a pas un bon département informatique”.

Une entreprise dispose d’un point d’approbation unique (le directeur financier) pour tous les virements, idéalement appuyé par un appel téléphonique.

CE QUI CONSTITUE L’IDENTITÉ. On suppose souvent que l’identité est associée à un être humain. Cependant, elle peut être associée à d’autres types d’entités – une organisation, un acheteur qui n’est pas encore identifié, ou construite à partir de données anonymes. La cible a construit une identité pour les clients en commençant par “nous venons de voir cette carte de débit que nous n’avions jamais vue auparavant” jusqu’à demander l’adresse du domicile, suivre l’historique des achats, etc. Cela a conduit au célèbre (et controversé) article du New York Times “Target knows teenage girl is pregnant before her father”. Les annuaires d’entreprises sur un site web sont une mine d’or pour obtenir des données sur l’identité et la structure des entreprises, et les publications sur LinkedIn peuvent mener les méchants à la personne qui peut autoriser un paiement. Faites attention à ce que vous révélez.

CONTRE-MESURES. On a demandé à Derek s’il utilisait des sites qui surveillent ou mettent sur liste noire le trafic et s’ils en valaient la peine. Il a répondu : “nous avons des services de réputation et nous faisons de l’inspection de contenu ainsi que de l’apprentissage machine, de l’analyse humaine et des jetons de canari” et que “cela vaut la peine de faire des frais généraux si vous avez la bonne infrastructure”.

LA GESTION DE L’ACCÈS AUX PRIVILÈGES.  . Il y a quelques facteurs subtils qui entrent en jeu ici, comme les licences basées sur le cloud où l’entreprise ne veut pas payer pour plusieurs sièges. Cela peut conduire à un partage d’identité de compte qui peut alors causer des problèmes. Avec le passage au cloud, et les fournisseurs de services distribués, l’identité s’éloigne de l’AMF sur site pour se rapprocher de l’authentification basée sur le cloud, par exemple l’application Microsoft Authenticator. Les mots de passe disparaissent, mais pas encore.

Une entreprise a déclaré qu’elle se livrait à un “exercice d’identité” dans le cadre duquel elle essayait d’identifier les clients, les vendeurs, les sociétés sœurs et sa politique d'”identité zéro”, par exemple un client qui entre par un panier d’achat avant de fournir des informations d’identité pour exécuter la vente.

Un autre problème est celui de la propriété des données. Selon un participant, “nous avons rencontré trois cas où une partie d’un contrat avec un tiers permet à cette société de revendre des analyses de notre base de données”.

La biométrie suscite certainement un intérêt, par exemple certaines banques américaines vous permettent d’utiliser votre téléphone et votre visage comme “preuve” d’identité lors de la création ou de l’accès à des comptes.

L’EMBAUCHE DE PIRATES INFORMATIQUES ‘WHITE HAT’. Le consensus est qu’ils ont leur place, mais vous devez faire attention à qui vous embauchés. Parfois, vous avez des simples ‘pentesters’ qui utilisent Metasploit et s’ils ne sont pas éthiques, cela peut poser un problème. Qui surveille les gardiens ? Kevin Mitnick, qui se dit “l’ancien hacker le plus célèbre du monde”, a un bon livre sur le sujet, Ghost in the Wires.

De bonnes idées, des expériences et des histoires ont été échangées, et tout le monde étaient d’accord que la gestion de l’identité sera une source permanente d’emploi et de préoccupation pour les CISO pour les années à venir.

La prochaine discussion est prévue pour le 12 juin et permettra de poursuivre la discussion sur les différents aspects de l’identité.