Hier soir, nous étions ravis de participer à un panel sur la sécurité en ligne organisé par SF New Tech. Aux côtés du PDG d’Impermium, Mark Risher, le panel comprenait Joe Sullivan (Chief Security Officer, Facebook), Michael Coates (Director of Security Assurance, Mozilla), Deron McElroy (Department of Homeland Security) et était modéré par Dan Goodin d’Ars Technica.
La discussion a porté sur les besoins de sécurité des startups dans un monde en ligne de plus en plus dangereux. De nombreuses startups supposent qu’elles ne courent aucun risque, estimant que leur petite taille et leur manque relatif de popularité les rendent moins vulnérables aux attaques. Les membres du panel ont tous convenu que ce n’était tout simplement pas vrai, citant le récent rapport Verizon Data Breach Investigations Report 2013, une analyse du paysage de la sécurité en ligne basée sur plus de 47 000 incidents signalés l’année dernière. Selon le rapport:
-
Les petites organisations ont tendance à faire preuve de complaisance, estimant que les attaques ne ciblent que les organisations gouvernementales, militaires et de haut niveau. Cela les rend vulnérables aux attaques facilement évitables.
-
Les attaques ciblant les utilisateurs finaux sont des vulnérabilités majeures. L’hameçonnage, les logiciels malveillants et l’utilisation abusive des informations d’identification sont devenus de plus en plus sophistiqués. Les programmes d’hameçonnage en particulier ont évolué pour cibler des utilisateurs spécifiques tels que le personnel d’assistance à la clientèle.
-
Une violation peut ne pas être détectée pendant des mois après l’attaque. Dans 84 % des cas analysés, l’attaque proprement dite a duré moins d’une heure. Et dans 66% des cas, la brèche n’a pas été détectée pendant plusieurs mois et dans 22% des cas, il a fallu des mois pour contenir la brèche.
Ces résultats ont des implications majeures pour les besoins de sécurité Internet. Joe Sullivan de Facebook a expliqué que les ingénieurs lui demandaient souvent d’utiliser des technologies comme Evernote et Dropbox sur le réseau Facebook. Son équipe doit évaluer si ces services ou applications présentent un risque pour la sécurité des données de l’entreprise. Si une vulnérabilité potentielle apparaît, il peut travailler avec ces entreprises pour trouver un moyen de collaborer qui sécurise les données. Cette collaboration est essentielle au maintien d’un environnement sécurisé.
L’idée de petites entreprises travaillant ensemble ou en collaboration avec des entreprises plus grandes et mieux établies a émergé comme thème. Tous les membres du panel ont convenu que les startups ne devraient pas utiliser leurs ressources limitées pour développer leurs propres systèmes de gestion des identités et d’accès. Au lieu de cela, alors que toutes les entreprises ont besoin de quelqu’un prêtant attention à la sécurité des comptes, elles devraient participer aux efforts fédérés qui exploitent les ressources combinées pour augmenter la sécurité sur le Web.
Un autre thème qui a émergé, et dont nous discutons souvent ici à Impermium, est la nécessité d’équilibrer les problèmes de sécurité avec la convivialité. Michael Coates de Mozilla a expliqué qu’un produit extrêmement sécurisé que personne ne veut utiliser en raison du nombre de barrières à l’entrée (très sécurisées) n’est, en fait, pas un bon produit. L’étalon-or, et ce vers quoi nous travaillons chez Impermium, est une solution de sécurité solide pour les entreprises qui a un impact minimal sur l’expérience utilisateur.
Mark a parlé spécifiquement de notre travail chez Impermium. Il est de plus en plus admis qu’un nom d’utilisateur et un mot de passe ne sont plus des mesures de sécurité suffisantes. Les pirates informatiques sont devenus si habiles que s’appuyer sur eux n’est pas sans rappeler laisser vos clés de rechange sous le tapis de bienvenue aux voleurs. Comme nous en avons déjà parlé ici, l’authentification multifacteur n’est pas non plus une solution parfaite.
L’authentification ne doit pas être basée sur un système binaire « ouvert » ou « fermé ». Il devrait plutôt exister sur un continuum, conçu avec des droits progressifs basés sur un facteur de risque déterminé par des systèmes automatisés. Une connexion à faible risque serait autorisée à accéder sans restriction, un risque plus élevé pourrait avoir des autorisations plus faibles ou être invité à entrer un deuxième mot de passe avant d’accéder, etc. Avec un système comme celui-ci, vous pouvez lancer les méchants instantanément au lieu de les interdire. les empêcher d’accéder à l’avenir, une mesure qui n’est pas sans rappeler la fermeture de la porte de la grange une fois que le cheval s’est échappé.
Joe Sullivan a aidé à conclure en observant que si vous suivez les histoires de sécurité dans les médias, vous pourriez en sortir avec la conviction que les efforts de sécurité sur Internet sont futiles. Pourquoi essayer si les méchants sont si déterminés ? L’ensemble du panel est d’un avis contraire. Les rapports quotidiens sur les cyberattaques et les atteintes à la sécurité soulignent le besoin critique d’efforts de sécurité coordonnés, les startups et la communauté des entreprises en ligne travaillant ensemble pour assurer la sécurité des données et des utilisateurs.
Merci à SF New Tech d’avoir organisé un excellent panel et nous sommes impatients de participer aux futures discussions !
L’article Talking Online Security for Startups de SF New Tech est apparu en premier sur Impermium.
