La sécurité informatique (abréviation de sécurité des technologies de l'information ou IT) consiste à protéger les actifs informatiques d'une organisation, à savoir les systèmes informatiques, les réseaux, les appareils numériques et les données, contre les accès non autorisés, les violations de données, les cyberattaques et autres activités malveillantes.
Le champ d'application de la sécurité informatique est vaste et implique souvent un mélange de technologies et de solutions de sécurité qui se combinent pour remédier aux vulnérabilités des appareils numériques, des réseaux informatiques, des serveurs, des bases de données et des applications logicielles. Les exemples les plus couramment cités de sécurité informatique comprennent les compétences en matière de sécurité numérique telles que la sécurité des terminaux, du cloud, du réseau et des applications. Mais la sécurité informatique comprend également des mesures de sécurité physique (verrous, cartes d'identité, caméras de surveillance) nécessaires pour protéger les bâtiments et les appareils qui abritent des données et des actifs informatiques.
La sécurité informatique est souvent confondue avec la cybersécurité, une discipline plus étroite qui est techniquement un sous-ensemble de la sécurité informatique. Alors que la cybersécurité se concentre principalement sur la protection des organisations contre les attaques numériques, telles que les ransomwares, les logiciels malveillants et les escroqueries par hameçonnage, la sécurité informatique concerne l'ensemble de l'infrastructure technique d'une organisation. Celle-ci comprend les systèmes matériels, les applications logicielles et les terminaux, tels que les ordinateurs portables et les appareils mobiles, ainsi que le réseau de l'entreprise et ses différents composants, tels que les centres de données physiques et basés sur le cloud computing.
Prenez le contrôle de la cyber-résilience de votre organisation grâce à ces actions recommandées d’IBM Security®.
Les cyberattaques et les incidents de sécurité peuvent entraîner des pertes considérables en termes de chiffre d'affaires, de réputation, d'amendes réglementaires et, dans certains cas, d'extorsion et de vol d'actifs.
Par exemple, le rapport Cost of a Data Breach 2023 d'IBM a porté sur plus de 550 entreprises ayant subi une violation de données entre mars 2022 et mars 2023. Le coût moyen d'une violation de données pour ces entreprises était de 4,45 millions de dollars, soit une augmentation de 2,3 % par rapport aux résultats d'une étude similaire réalisée un an plus tôt, et de 15,3 % par rapport à une étude réalisée en 2020. Les facteurs contribuant à ce coût sont multiples : notification des clients, des dirigeants et des autorités de régulation, amendes réglementaires, pertes de revenus pendant les temps d'arrêt et pertes définitives de clients.
Certains incidents de sécurité sont plus coûteux que d'autres. Les attaques par ransomware chiffrent les données d'une organisation, rendant les systèmes inutilisables, et exigent le paiement d'une rançon coûteuse pour obtenir une clé de déchiffrement permettant de débloquer les données. En outre, elles exigent de plus en plus souvent une deuxième rançon pour empêcher le partage des données sensibles avec le public ou d'autres cybercriminels. Selon le guide IBM Security Definitive Guide to Ransomware 2023, les demandes de rançons ont atteint des montants à 7 et 8 chiffres et, dans des cas rares, jusqu'à 80 millions de dollars américains.
Comme on pouvait s'y attendre, les investissements dans la sécurité informatique continuent d'augmenter. Le cabinet d'analyse Gartner prévoit qu'en 2023, les entreprises dépenseront 188,3 milliards de dollars en ressources et services de sécurité de l'information et de gestion des risques, et que le marché continuera de croître dans les années à venir, pour atteindre près de 262 milliards de dollars d'ici à 2026, grâce à un taux de croissance annuel composé de 11 % à compter de 2021.1
La sécurité du cloud concerne les cybermenaces externes et internes qui pèsent sur l'infrastructure, les applications et les données d'une organisation basées sur le cloud. La sécurité du cloud fonctionne selon le modèle de la responsabilité partagée : d'une manière générale, le fournisseur de services cloud (CSP) est responsable de la sécurisation de l'infrastructure avec laquelle il fournit des services cloud, et le client est responsable de la sécurisation de tout ce qu'il exécute sur cette infrastructure. Cela dit, les modalités de cette responsabilité partagée varient en fonction du service cloud.
La sécurité des terminaux protège les utilisateurs finaux et les terminaux, tels que les ordinateurs de bureau, les ordinateurs portables, les téléphones mobiles et les serveurs, contre les cyberattaques. Elle protège également les réseaux contre les cybercriminels qui tentent d'utiliser les terminaux pour lancer des cyberattaques contre leurs données sensibles et d'autres actifs.
Elle s’articule autour de trois objectifs principaux : empêcher l’accès non autorisé aux ressources du réseau, détecter et neutraliser les cyberattaques et les violations de sécurité en temps réel, et veiller à ce que les utilisateurs autorisés puissent accéder en toute sécurité aux ressources du réseau dont ils ont besoin, au moment où ils en ont besoin.
La sécurité des applications fait référence aux mesures prises par les développeurs lors de la création d'une application afin de remédier aux vulnérabilités potentielles et de protéger les données des clients et leur propre code contre le vol, les fuites ou la compromission.
La sécurité Internet protège les données et les informations sensibles transmises, stockées ou traitées par les navigateurs ou les applications. Elle implique une série de pratiques et de technologies de sécurité qui contrôlent le trafic Internet entrant pour y détecter les logiciels malveillants et autres contenus malveillants. Les technologies dans ce domaine comprennent les mécanismes d'authentification, les passerelles web, les protocoles de chiffrement et, surtout, les pare-feu.
La sécurité de l'Internet des objets (IoT) vise à empêcher les capteurs et les appareils connectés à l'Internet, par exemple, les caméras installées sur les sonnettes, les appareils intelligents, les automobiles modernes, d'être contrôlés par des pirates ou d'être utilisés par des pirates pour s'infiltrer dans le réseau d'une organisation. La sécurité des technologies opérationnelles (OT) se concentre plus spécifiquement sur les dispositifs connectés qui surveillent ou contrôlent les processus au sein d'une entreprise. Les capteurs d'une chaîne de montage automatisée, par exemple.
Chaque organisation est exposée aux cybermenaces internes et externes. Ces menaces peuvent être intentionnelles, comme dans le cas des cybercriminels, ou non intentionnelles, comme dans le cas des employés ou des sous-traitants qui cliquent accidentellement sur des liens malveillants ou téléchargent des logiciels malveillants.
La sécurité informatique vise à répondre à ce large éventail de risques de sécurité et à tenir compte de tous les types d'acteurs de la menace et de leurs motivations, tactiques et niveaux de compétence variables.
Les malwares sont des logiciels malveillants qui peuvent rendre les systèmes infectés inopérants, détruire des données, voler des informations et même effacer des fichiers essentiels au système d'exploitation.
Les types de logiciels malveillants bien connus comprennent :
Le ransomware est un logiciel malveillant qui verrouille les données ou l’appareil d’une victime et menace de le garder verrouillé, ou pire, à moins que la victime ne paie une rançon au pirate. Selon l'IBM Security X-Force Threat Intelligence Index 2023, les attaques par ransomware représentaient 17 % de l’ensemble des cyberattaques en 2022.
Un cheval de Troie est un logiciel malveillant qui incite les gens à le télécharger en se déguisant en programme utile ou en se cachant dans un logiciel légitime. Un cheval de Troie d’accès à distance (RAT) crée une porte dérobée secrète sur l’appareil de la victime, tandis qu’un cheval de Troie injecteur installe des logiciels malveillants supplémentaires sur un appareil une fois qu’il s’y est implanté.
Les logiciels espions recueillent secrètement des informations sensibles, telles que les noms d'utilisateur, les mots de passe, les numéros de carte de crédit et d'autres données personnelles, et les transmettent au pirate.
Un ver est un logiciel malveillant qui se reproduit de lui-même et qui peut se propager automatiquement entre les applications et les appareils.
Souvent appelée « piratage humain », l'ingénierie sociale manipule les victimes pour qu'elles prennent des mesures qui exposent des informations sensibles, compromettent la sécurité de leur organisation ou menacent sa situation financière.
L'hameçonnage est le type d'attaque d'ingénierie sociale le plus connu et le plus répandu. Les attaques par hameçonnage utilisent des e-mails, des SMS ou des appels téléphoniques frauduleux pour inciter les gens à partager des données personnelles ou des identifiants d'accès, à télécharger des logiciels malveillants, à envoyer de l'argent à des cybercriminels ou à prendre d'autres mesures qui pourraient les exposer à la cybercriminalité. Les types spécifiques d'hameçonnage sont les suivants
Le harponnage est une attaque très ciblée qui vise à manipuler une personne spécifique, en utilisant souvent les détails de ses profils publics sur les réseaux sociaux pour rendre la ruse plus convaincante.
Le Whaling : le harponnage ciblé par des dirigeants d’entreprise ou des personnes fortunées.
Compromission des e-mails professionnels (BEC) : les cybercriminels se font passer pour des dirigeants, des fournisseurs ou d’autres partenaires de confiance pour inciter les victimes à transférer de l’argent ou à partager des données sensibles.
Une autre tactique d'ingénierie sociale, le tailgaiting, est moins technique mais n'en constitue pas moins une menace pour la sécurité informatique : elle consiste à suivre (ou « filer ») une personne ayant un accès physique à un centre de données (par exemple, une personne munie d'une carte d'identité) et à se faufiler littéralement derrière elle avant que la porte ne se referme.
Une attaque DoS submerge un site web, une application ou un système avec des volumes de trafic frauduleux, le rendant trop lent pour être utilisé ou totalement indisponible pour les utilisateurs légitimes. Une attaque par déni de service distribué (DDoS) utilise un réseau d'appareils connectés à l'internet et infectés par des logiciels malveillants, appelé « botnet », pour paralyser ou faire tomber en panne l'application ou le système cible.
L'exploitation d'une faille de sécurité inconnue ou pas encore corrigée dans un logiciel, un matériel ou un microprogramme informatique est un exploit de type « zero-day ». Le terme « Zero day » fait référence au fait que le fournisseur de logiciels ou d'appareils n'a pas eu le temps de corriger la faille, car des pirates peuvent d'ores et déjà l'utiliser pour accéder à des systèmes vulnérables.
Les menaces internes sont le fait d'employés, de partenaires et d'autres utilisateurs disposant d'un accès autorisé au réseau. Qu'elles soient involontaires (par exemple, un fournisseur tiers piégé pour lancer un logiciel malveillant) ou malveillantes (par exemple, un employé mécontent désireux de se venger), les menaces internes ne sont pas à négliger. Un rapport récent de Verizon (lien externe à ibm.com) révèle que si la menace externe moyenne compromet environ 200 millions d'enregistrements, les menaces impliquant un acteur interne ont exposé jusqu'à 1 milliard d'enregistrements.
Lors d'une attaque MITM, un cybercriminel intercepte une connexion réseau et transmet des messages entre deux parties afin de voler des données. Les réseaux Wi-Fi non sécurisés sont des terrains de chasse idéaux pour les pirates qui aiment lancer des attaques MITM.
Alors que les menaces de cybersécurité ne cessent de gagner en férocité et en complexité, les organisations déploient des stratégies de sécurité informatique qui combinent une série de systèmes, de programmes et de technologies de sécurité.
Sous la supervision d'équipes de sécurité expérimentées, ces pratiques et technologies de sécurité informatique peuvent contribuer à protéger l'ensemble de l'infrastructure informatique d'une organisation et à éviter ou à limiter l'impact des cyberattaques connues et inconnues.
Étant donné que de nombreuses cyberattaques, telles que les attaques par hameçonnage, exploitent les vulnérabilités humaines, la formation des employés est devenue une ligne de défense efficace contre les menaces internes.
La formation de sensibilisation à la sécurité apprend aux employés à reconnaître les menaces qui pèsent sur la sécurité et à adopter des habitudes de travail sécurisées. Les sujets abordés comprennent souvent la sensibilisation à l'hameçonnage, la sécurité des mots de passe, l'importance d'effectuer des mises à jour régulières des logiciels et les questions de confidentialité, comme la protection des données des clients et d'autres informations sensibles.
L’authentification multifacteur nécessite un ou plusieurs identifiants de connexion en plus d’un nom d’utilisateur et d’un mot de passe. La mise en œuvre de l'authentification multifactorielle peut empêcher un pirate d'accéder aux applications ou aux données du réseau, même s'il est en mesure de voler ou d'obtenir le nom d'utilisateur et le mot de passe d'un utilisateur légitime. L'authentification multifactorielle est essentielle pour les organisations qui utilisent le Single Sign-On, qui permet aux utilisateurs de se connecter à une session une seule fois et d'accéder à plusieurs applications et services connexes au cours de cette session sans avoir à se connecter à nouveau.
La réponse aux incidents, parfois appelée réponse aux incidents de cybersécurité, fait référence aux processus et technologies d'une organisation pour détecter et répondre aux cybermenaces, aux violations de la sécurité et aux cyberattaques. L'objectif de la réponse aux incidents est de prévenir les cyberattaques avant qu'elles ne se produisent, et de minimiser les coûts et les perturbations de l'activité résultant des cyberattaques qui se produisent.
De nombreuses organisations élaborent un plan formel de réponse aux incidents (IRP) qui définit les processus et les logiciels de sécurité (voir ci-dessous) qu'elles utilisent pour identifier, circonscrire et résoudre les différents types de cyberattaques. Selon le rapport Cost of a Data Breach 2003, dans les organisations qui créent et testent régulièrement un IRP formel, le coût d'une violation de données était inférieur de 232 008 dollars à la moyenne (4,45 millions de dollars).
Aucun outil de sécurité ne peut à lui seul prévenir complètement les cyberattaques. Néanmoins, plusieurs outils peuvent jouer un rôle dans l'atténuation des cyberrisques, la prévention des cyberattaques et la minimisation des dommages en cas d'attaque.
Les logiciels de sécurité courants qui permettent de détecter et de déjouer les cyberattaques sont les suivants :
Les outils de sécurité de la messagerie électronique, notamment les logiciels anti-hameçonnage basés sur l’IA, les filtres antispam et les passerelles de messagerie sécurisées
Les logiciels antivirus peuvent neutraliser les logiciels espions ou malveillants utilisés par les pirates pour pirater la sécurité du réseau ciblé afin de mener des recherches, d’espionner des conversations ou de prendre le contrôle des comptes de messagerie
Les correctifs de système et logiciel peuvent corriger les vulnérabilités techniques couramment exploitées par les pirates
Les passerelles Web sécurisées et autres outils de filtrage Web bloquent les sites Web malveillants auxquels renvoient les e-mails de hameçonnage
Les solutions de détection et de réponse aux menaces utilisent l'analyse, l'intelligence artificielle (IA) et l'automatisation pour aider les équipes de sécurité à détecter les menaces connues et les activités suspectes, et à prendre des mesures pour éliminer la menace ou minimiser son impact. Ces technologies comprennent l’orchestration, l’automatisation et la réponse aux incidents de sécurité (SOAR), la gestion des incidents et événements de sécurité (SIEM), la détection et réponse des terminaux (EDR), la détection et réponse du réseau (NDR) et la détection et réponse étendues (XDR).
La sécurité offensive, ou « OffSec », fait référence à des stratégies de sécurité proactives qui utilisent des tactiques hostiles, les mêmes que les cybercriminels pour renforcer la sécurité du réseau plutôt que de la compromettre.
Les opérations de sécurité offensives sont souvent menées par des pirates éthiques, c’est-à-dire des professionnels de la cybersécurité qui utilisent leurs compétences pour détecter et corriger les failles des systèmes informatiques. Les méthodes de sécurité offensives les plus courantes sont les suivantes :
Analyse des vulnérabilités : utilisation des mêmes outils que ceux utilisés par les cybercriminels pour détecter et identifier les failles et les vulnérabilités de sécurité exploitables dans l'infrastructure et les applications informatiques d'une organisation.
Test d'intrusion : lancement d'une cyberattaque fictive pour découvrir les vulnérabilités et les failles des systèmes informatiques, des workflows de réponse et de la sensibilisation des utilisateurs à la sécurité. Certaines réglementations relatives à la confidentialité des données, telles que la norme de sécurité des données du secteur des cartes de paiement (PCI-DSS), spécifient la réalisation régulière de tests d'intrusion en tant qu'exigence de conformité.
Red teaming : autoriser une équipe de pirates éthiques à lancer une cyberattaque simulée et ciblée sur l'organisation.
La sécurité offensive complète les logiciels de sécurité et les autres mesures de sécurité défensives. Elle permet de découvrir des voies ou des vecteurs de cyberattaques inconnus que les autres mesures de sécurité risquent d'ignorer, et elle fournit des informations que les équipes de sécurité peuvent utiliser pour renforcer leurs mesures de sécurité défensives.
Les termes « sécurité informatique », « sécurité de l'information » et « cybersécurité » sont souvent (et à tort) utilisés de manière interchangeable, car ils se recoupent largement. Ils diffèrent principalement par leur portée.
- La sécurité de l'information est la protection des fichiers et des données numériques d'une organisation, des documents papier, des supports physiques et même de la parole humaine contre tout accès, toute divulgation, toute utilisation ou toute modification non autorisés. La sécurité de l'information a le champ d'application le plus large des trois : comme la sécurité informatique, elle concerne la protection des actifs informatiques physiques et des centres de données, mais aussi la sécurité physique des installations de stockage des dossiers papier et d'autres supports.
- La cybersécurité se concentre sur la protection des données et des actifs numériques contre les cybermenaces, qu'il s'agisse d'actions malveillantes menées par des acteurs externes ou internes ou de menaces accidentelles posées par des personnes négligentes internes à l'entreprise. Bien qu'il s'agisse d'une mission gigantesque, la cybersécurité a le champ d'application le plus étroit des trois en ce sens qu'elle ne concerne pas la protection des données papier ou analogiques.
Sécurisez les terminaux contre les cyberattaques, détectez les comportements anormaux et remédiez à la situation en temps quasi réel grâce à une automatisation intelligente et facile à utiliser qui ne nécessite que peu ou pas d'interaction humaine.
Protégez votre infrastructure et votre réseau contre les menaces de cybersécurité sophistiquées grâce à une expertise éprouvée en matière de sécurité et à des solutions modernes de détection et de prévention des intrusions, de gestion de la sécurité des terminaux, etc.
Protégez l'ensemble de votre réseau contre les menaces avancées et les logiciels malveillants, grâce à des solutions de sécurité réseau de nouvelle génération qui reconnaissent intelligemment les menaces, même inconnues, et s'adaptent pour les prévenir en temps réel.
Soyez mieux préparé face aux violations de données en maîtrisant les causes et les facteurs qui augmentent ou réduisent les coûts de ces violations. Bénéficiez de l’expérience de plus de 550 organisations affectées par une violation de données.
La solution SIEM (gestion des informations et des événements de sécurité) est un logiciel qui aide les organisations à reconnaître et à traiter les potentielles menaces et vulnérabilités de sécurité avant qu’elles ne puissent interrompre les opérations métier.
Connaître les menaces pour mieux les vaincre : obtenez des connaissances exploitables pour comprendre comment les acteurs de menaces mènent leurs attaques et comment protéger votre organisation de manière proactive.
Notes de bas de page
1Cybersecurity spending on pace to surpass $260B by 2026 (lient externe à ibm.com), Cybersecurity Dive, 16 octobre 2022