Personne dans le secteur des médias ne peut se permettre de négliger le risque de cyberattaques.
Des petites maisons d'édition et des journaux locaux aux grands conglomérats internationaux, les pirates informatiques s'en prennent aux entreprises de médias de toutes tailles et de toutes formes.
Ces crimes en ligne, qu'IBM définit comme "des tentatives malvenues de voler, d'exposer, d'altérer, de désactiver ou de détruire des informations par un accès non autorisé à des systèmes informatiques", ne se contentent pas de perturber les activités, ils peuvent aussi entraîner d'énormes pertes financières. Les coûts liés à la cybercriminalité augmentent de 15 % par an et devraient atteindre 10,5 billions de dollars d'ici 2025.
Il est inquiétant de constater que les organisations de médias sont de plus en plus confrontées à des cybermenaces ces jours-ci. Macmillan, l'un des cinq grands éditeurs mondiaux, a récemment été piraté, ce qui l'a contraint à fermer temporairement ses bureaux et à manquer des commandes. Cet incident fait suite aux attaques très médiatisées dont a fait l'objet News Corp de Rupert Murdoch, ainsi qu'Amedia, qui a laissé l'éditeur norvégien dans l'incapacité de mettre ses journaux sous presse.
Dans l'ensemble, les médias - y compris les télécommunications, les organes de presse, les éditeurs et les productions cinématographiques - ont été le dixième secteur le plus attaqué l'année dernière, selon l'indice IBM Security X-Force Threat Intelligence.
Comment les éditeurs réagissent-ils ?
Il n'est pas surprenant qu'en réponse à l'intensification des menaces, certaines organisations dépensent beaucoup pour renforcer leurs défenses numériques. Selon McKinsey & Company, les dépenses en cybersécurité devraient atteindre 101,5 milliards de dollars d'ici 2025.
Beaucoup se tournent vers le stockage de sauvegarde immuable : Les données contenues dans un stockage immuable ne peuvent pas être manipulées, supprimées ou modifiées, ce qui réduit le risque d'attaque. C'est une façon de prévenir les ransomwares, une forme de logiciel malveillant qui prend en otage les données d'une victime. "Les pirates de ransomware savent que si vous pouvez restaurer vos systèmes à partir de sauvegardes, il est peu probable qu'ils puissent vous extorquer une rançon", explique un expert en cybersécurité à Digital Journal. La solution est complexe mais très efficace et vaut l'investissement.
Bien entendu, peu d'éditeurs - voire aucun - disposent de ressources illimitées pour résoudre ce problème. Cela dit, voici deux outils de cybersécurité dont la mise en œuvre ne nécessite pas une équipe de consultants ou un grand service informatique :
- Authentification multi-facteurs : Tout le monde a probablement rencontré l'authentification multifactorielle à un moment ou à un autre. Il s'agit d'un système qui exige des utilisateurs qu'ils vérifient leur identité à l'aide d'au moins deux justificatifs, comme les distributeurs automatiques de billets où vous devez insérer votre carte de débit et fournir un code PIN. Pour un éditeur, cela peut signifier que les utilisateurs doivent saisir leur mot de passe et un code envoyé à leur appareil mobile depuis deux appareils distincts pour accéder à un système.
- Logiciel anti-malware : La plupart des menaces en ligne proviennent de logiciels malveillants, qui sont conçus pour détruire ou accéder à des systèmes logiciels. Ils s'installent souvent sur les appareils après qu'un utilisateur a cliqué accidentellement sur un lien ou un fichier. Les cybercriminels ont souvent recours à des attaques par hameçonnage, c'est-à-dire qu'ils se font passer pour quelqu'un d'autre - un collègue ou un contact bancaire, par exemple - afin d'inciter les utilisateurs à répondre à des courriels bidon. Les logiciels anti-malware sont là pour détecter tout logiciel malveillant, le supprimer et (si possible) réparer les dégâts.
Même si des améliorations relativement simples de la sécurité peuvent être très utiles, il est important que les éditeurs ne perdent pas de vue le fait que les personnes sont la première, la dernière et la meilleure source de défense contre les cyberattaques. Il convient d'investir beaucoup de temps et d'efforts dans ce que nous appellerons l'élément humain de la cybersécurité.
Pourquoi les éditeurs ne doivent pas ignorer l'élément humain de la cybersécurité
Selon le rapport Verizon 2022 Data Breach Investigations Report, 82 % des violations de données impliquent un élément humain, par exemple un utilisateur qui clique sur un lien dans un courriel de phishing.
Cela signifie qu'il ne suffit pas de construire une "barrière numérique" avec des outils technologiques. Les éditeurs ont également besoin que leurs employés soient en alerte et pratiquent une bonne hygiène numérique, qui englobe une série de directives et de bonnes pratiques. En voici quatre à garder à l'esprit :
- Utilisez des mots de passe forts avec un gestionnaire de mots de passe
- Mettre régulièrement à jour les logiciels
- Sauvegardez fréquemment vos appareils
- Ne cliquez jamais sur un lien ou n'ouvrez jamais un fichier si vous n'êtes pas sûr de la source.
Mais comment les éditeurs s'assurent-ils que les employés suivent toutes les bonnes pratiques et fassent preuve de prudence ?
3 étapes à suivre pour une stratégie de cybersécurité axée sur les personnes
La prévention est le meilleur remède aux cyberattaques, et les employés sont en mesure d'agir en tant que gardiens des systèmes et des données. Par conséquent, les éditeurs doivent investir du temps et de l'énergie pour créer une stratégie de cybersécurité axée sur les personnes.
Voici trois étapes pour créer une stratégie de cybersécurité axée sur les personnes :
1. Fournir une formation et des ressources : Quelques courriels à l'échelle de l'entreprise ou un diaporama de cinq minutes ne suffisent pas, mais l'étendue de la formation et des ressources nécessaires varie selon les cas. Il est bon de cibler une formation spécifique à la sécurité sur les rôles à haut risque, par exemple. On constate une augmentation de 53 % du nombre total d'heures que les employés consacrent annuellement à la formation en cybersécurité depuis 2019 - mais une formation ennuyeuse n'est pas efficace.
Heureusement, il existe des moyens de contrer les idées que les employés peuvent avoir sur le fait que la formation est ennuyeuse ou même une perte de temps. "La formation de sensibilisation à la sécurité doit être convaincante et mémorable pour entraîner un changement sérieux", selon les experts en cybersécurité Osterman Research. "Les organisations devraient rechercher des fournisseurs qui proposent des quiz, des expériences de micro-apprentissage et d'autres types amusants de gamification qui maintiendront l'engagement des utilisateurs."
2. S'assurer que la direction donne le bon exemple : La direction montre toujours l'exemple. Les éditeurs doivent donc s'assurer qu'une fois qu'ils ont émis des directives en matière de cybersécurité, tous les niveaux d'employés sont engagés. La loyauté est généralement compromise lorsque la direction ne fait pas preuve du comportement qu'elle demande aux autres.
3. Testez, testez, testez : Il est courant que les services informatiques testent les logiciels et le matériel pour détecter les vulnérabilités avant que les pirates n'aient l'occasion de les découvrir. Cependant, il est au moins aussi important de tester également les employés. Par exemple, effectuez régulièrement des tests de phishing pour voir comment les différentes équipes se comportent. Utilisez les résultats pour informer les futures sessions de formation et éviter de nouvelles erreurs.
La prochaine étape ? Ne pas baisser la garde
Chez Lineup, nous avons constaté de visu qu'il est payant de se concentrer autant sur les éléments techniques que sur les éléments humains de la cybersécurité.
Nous introduisons constamment de nouvelles façons d'engager et d'éduquer nos équipes sur la menace de la cybersécurité, et sur ce qu'elles peuvent faire pour s'en protéger. En parallèle, nous innovons continuellement dans nos mesures techniques, comme l'introduction récente d'une solution de sauvegarde immuable pour ajouter une ligne de défense supplémentaire pour les données de nos clients.
Notre pourcentage de risque de phishing (PPP) chez Lineup - une mesure de la probabilité que nos employés cliquent sur un lien ou un e-mail suspect - est de 0,5 %. La moyenne dans tous les secteurs et entreprises ? 37,9 %, selon le rapport 2020 Phishing by Industry Benchmarking Report.
Cependant, notre succès ne signifie pas que nous pouvons nous reposer sur nos lauriers - et les éditeurs non plus. La menace de cyberattaques est toujours présente et n'oubliez pas que, quelle que soit la qualité de la formation de votre personnel et la mise à jour de votre technologie, une cyberattaque n'est jamais loin d'un mauvais clic.
