Le piratage a contribué à mettre en évidence la vulnérabilité des 32 millions de petites entreprises, dont beaucoup n’ont pas les moyens d’embaucher des sociétés de cybersécurité et qui s’appuient principalement sur les fonctionnalités de sécurité intégrées des sociétés de logiciels et de matériel, des géants comme Google , Microsoft et Pomme . Bien que les entreprises aient fait des progrès et que le problème ne soit pas nouveau, il existe toujours des vulnérabilités, en particulier dans les e-mails et autres logiciels, y compris les systèmes d’exploitation, qui ont été conçus bien avant la vague actuelle de cybercriminalité et de cyberespionnage.

“(La société) demande aux petites entreprises d’aller contre les nations, les groupes criminels organisés et les jeunes de 16 ans dans leur sous-sol”, déclare Rotem Iram, l’un des fondateurs de la start-up de cyberassurance At-Bay. “La pile technologique pour laquelle ils paient continue de leur faire défaut, et la pile n’assume aucune responsabilité.”

Iram, un ancien officier du renseignement israélien, affirme que les grandes sociétés de logiciels devraient améliorer leurs programmes prêts à l’emploi pour repousser les attaquants avant qu’ils n’atteignent les petites et moyennes entreprises.

“Oui, les valeurs par défaut comptent”, déclare Brian Krebs, qui dirige le site Web de cybersécurité KrebsOnSecurity. “Les valeurs par défaut sont importantes car très peu d’utilisateurs modifient les paramètres par défaut, au-delà peut-être d’un mot de passe.”

Chaque fois que de grandes sociétés de logiciels ont modifié les paramètres par défaut ou apporté des changements généraux en tenant compte de la cybersécurité, souligne-t-il, la cybercriminalité a diminué de manière mesurable.

“Lorsque les fabricants de navigateurs ont commencé à ajouter des avertissements aux sites Web qui n’utilisaient pas de certificats SSL, nous avons constaté une adoption massive de HTTPS:// sur la plupart des sites Web en un rien de temps”, a déclaré Krebs.

Microsoft a un pouvoir particulier sur une poignée de marchés où il détient une énorme part de marché, y compris la messagerie d’entreprise. Le courrier électronique, bien qu’il s’agisse d’une technologie ancienne, est toujours utilisé dans de nombreux ransomwares et attaques de phishing qui commencent par quelqu’un cliquant sur un lien ou téléchargeant un logiciel. Microsoft domine le marché du traitement de texte/messagerie d’entreprise, avec plus de 86 % de part de marché, selon le cabinet de recherche technologique Gartner. Google a près de 13 %.

Dans le passé, Microsoft a apporté des modifications, notamment l’activation des mises à jour automatiques du système d’exploitation, la livraison d’un produit antivirus intégré et l’activation du pare-feu par défaut. “Mais il a fallu de nombreuses années à Microsoft pour voir l’intérêt commercial de faire cela et le cas de sécurité pour ses utilisateurs”, a déclaré Krebs.

La “vieillesse” des e-mails est un problème

De nombreux problèmes liés à la pile technologique actuelle proviennent du fait que certaines parties de celle-ci ont été développées bien avant que les cybercriminels ne deviennent un tel problème. “Le courrier électronique est un produit sclérosé”, a déclaré Mallory Knodel, directeur de la technologie du Center for Democracy & Technology, un groupe non partisan qui promeut les droits numériques. Certains de ses donateurs sont de grandes entreprises technologiques.

Au lieu d’intégrer des fonctionnalités de sécurité par défaut aux logiciels de base, les grandes entreprises qui dominent l’espace ont généralement laissé le soin au marché de la cybersécurité de se superposer à la sécurité, ce qui a entraîné une croissance énorme dans une nouvelle catégorie d’entreprises, comme FouleStrike et Mandiant, récemment acquis par Alphabet.

Mais Knodel dit que l’ajout de plus de contrôles ou de filtres aux e-mails, en particulier, pourrait soulever des problèmes de confidentialité numérique. “Je peux voir des gens dire : “Je ne veux pas que Google lise mes e-mails.”‘

Dans les produits complexes, a-t-elle ajouté, de nouvelles mesures de sécurité peuvent être contre-productives. “Avec des couches de sécurité, il peut y avoir des compromis et certains peuvent aller à contre-courant.”

“Microsoft prend la sécurité des e-mails très au sérieux”, a déclaré Girish Chander, responsable de Microsoft Defender pour Office, dans une déclaration à CNBC. Il a déclaré que la stratégie de l’entreprise pour lutter contre les attaques par e-mail repose sur trois principes : l’innovation de produits basée sur la recherche, la lutte contre les attaquants en éliminant les réseaux d’attaque et en se concentrant sur l’aide aux organisations pour améliorer leur posture et la résilience des utilisateurs.

Chaque mois, Microsoft Defender pour Office 365 détecte et bloque près de 40 millions d’e-mails contenant des compromis de messagerie professionnelle, ou BEC, bloque 100 millions d’e-mails contenant des liens de phishing d’informations d’identification malveillants et détecte et déjoue des milliers d’activités de compromis d’utilisateurs.

Les données de l’entreprise mettent en évidence le nombre d’attaques qui ont lieu quotidiennement, dans le monde entier, ainsi que la façon dont les géants de la technologie sont également devenus des acteurs de la cybersécurité. L’acquisition de Mandiant par Google a été évaluée à 5,4 milliards de dollars. Microsoft est à la fois fournisseur de logiciels et vendeur de services pour le protéger, via son Microsoft Defender for Office.

Les attaques et les primes d’assurance cyber augmentent

Iram, qui a co-fondé At-Bay en 2016, dit qu’il est prêt à prendre un peu de chaleur pour sa critique de Microsoft, y compris un appel téléphonique qu’il dit avoir reçu de Microsoft en réponse à sa critique publique de l’entreprise. (Grâce à sa branche capital-risque, Microsoft est également un investisseur dans At-Bay).

Il a souligné les 18 années qu’il a fallu à Microsoft pour modifier un paramètre par défaut dans Microsoft Excel – comme le courrier électronique, un autre programme qui est resté pratiquement inchangé pendant des années – pour repousser les attaquants. Les piratages de Microsoft entraînent des réclamations auprès d’At-Bay, qui a 25 000 politiques en vigueur, plus souvent que Google, qui inclut certaines protections contre les escrocs que Microsoft n’a pas, a déclaré Iram, y compris un grand drapeau rouge vous avertissant de l’ouverture ou de l’envoi d’e-mails à des personnes extérieures à votre réseau.

Mais les experts en cybersécurité affirment que la modification des paramètres par défaut pour des paramètres plus sécurisés peut irriter les clients et entraîner un contrecoup.

En réponse à une question de CNBC sur les macros Excel, Microsoft a souligné un article de blog de février de cette année dans lequel il écrivait sur le fait de faire du changement de sécurité un paramètre par défaut. Il annulé temporairement la modification en réponse aux plaintes des utilisateurs.

At-Bay est l’un des nombreux cyber-assureurs qui voient les pressions sur leurs activités augmenter à mesure que le nombre d’attaques augmente. Dans le pire des cas, les assureurs avertissent que la cybersécurité pourrait devenir “non assurable”, même par rapport au changement climatique et aux pandémies.

At-Bay a des primes émises brutes de 350 millions de dollars sur une base annualisée, a levé 292 millions de dollars et a une valorisation de 1,35 milliard de dollars, selon la société. Comme d’autres dans l’industrie, At-Bay a plus que doublé ses primes l’année dernière alors que le nombre de violations de données et d’attaques de ransomwares augmentait. L’un de ses arguments de vente – comme ceux d’une poignée d’autres cyber-assureurs, tels que Embroker et Coalition – est que son assurance s’accompagne d’une surveillance active des risques.

Au cours des trois à cinq dernières années, certaines entreprises de cybersécurité axées sur le marché des petites entreprises, notamment Huntress et SolCyber, ont été lancées, mais elles atteignent généralement des entreprises comptant au moins 10 employés. Le vaste univers des petites entreprises est plus petit que cela; environ 23 millions des 32 millions de petites entreprises du pays n’ont qu’un seul employé, le propriétaire, bien que beaucoup puissent avoir des sous-traitants réguliers et donc des problèmes de sécurité.

Un expert du FBI en cybersécurité a récemment déclaré à CNBC que la grande majorité des victimes en milliards de dollars perdus dans les cyberattaques suivies par le FBI en 2021 étaient de petites entreprises.

“Une petite entreprise confrontée à ce type d’attaque n’a pas les moyens (financiers ou technologiques) de riposter ou d’en absorber le coût”, a déclaré Jonas Edgeworth, le CTO d’Embroker, par e-mail.

Comment la sécurité automobile peut éclairer la réglementation de la sécurité en ligne

Les préoccupations vont au-delà des petites entreprises. Dans une société hautement connectée, les vulnérabilités d’une entreprise, même les plus petites, peuvent se propager à une autre. Dans le cas de la grande violation de Microsoft Exchange, un enquête NPR a conclu que les pirates chinois ciblaient les entreprises américaines dans le cadre d’un effort visant à collecter des données sur les consommateurs américains, dans un but inconnu.

Alors que les attaques deviennent plus courantes contre les petites et moyennes entreprises qui n’ont pas les ressources nécessaires pour se prémunir contre les attaques ou s’en remettre, les régulateurs gouvernementaux pourraient devoir intervenir, a déclaré Iram.

Il a comparé la situation actuelle à la route longue et régulière qui a progressivement rendu les voitures plus sûres, alors que les compagnies d’assurance, les fabricants et le gouvernement fédéral ont modifié les normes pour lesquelles les dispositifs de sécurité étaient inclus dans les véhicules.

“Imaginez que vous achetiez une voiture qui n’était pas sûre et que le constructeur vous dise que vous auriez dû la télécharger et la corriger vous-même”, a-t-il déclaré. “Imaginez maintenant qu’il y a 50 pièces. Et maintenant, vous devez embaucher un mécanicien à plein temps pour l’entretenir. … C’est ce que nous demandons aux petites entreprises de faire.”

C’est un exemple que la directrice de CISA, Jen Easterly, a également récemment utilisé dans une interview avec “Tech Check” de CNBC.

“Nous nous laissons prendre à appeler cela la cybersécurité, mais c’est vraiment une question de cybersécurité, de sécurité des consommateurs”, a déclaré Easterly. “Les entreprises technologiques qui, depuis des décennies, créent des produits et des logiciels fondamentalement non sécurisés doivent commencer à créer des produits sécurisés dès la conception et sécurisés par défaut avec des fonctionnalités de sécurité intégrées”, a-t-elle déclaré. “Vous pouvez y penser comme l’automobile. … C’est ce dont nous avons besoin en tant que consommateurs pour exiger de notre technologie. … Nous avons en quelque sorte normalisé le fait que nous avons accepté que les logiciels et les produits technologiques viennent avec des dizaines, des centaines , des milliers de failles et de défauts, et a normalisé le fait que la cybersécurité pèse sur les consommateurs, qui sont les moins à même de comprendre la menace.”

Iram a mis en évidence trois domaines où la technologie existe pour accroître la sécurité, mais n’est pas la valeur par défaut.

Exiger que les logiciels d’entreprise aient une identification multifacteur lors des connexions. Actuellement, le gouvernement fédéral a décidé de réglementer les signatures dans les sociétés financières et les entreprises d’infrastructures essentielles.

Mise à jour des paramètres par défaut du logiciel de messagerie. Par example, analyse automatiquement les attaques par virement bancaire et vérifie automatiquement la réputation ou l’historique de l’e-mail d’envoi.

Forcer les fournisseurs à résoudre les problèmes plus rapidement. Le problème de Microsoft Excel persistant depuis 18 ans étant un exemple qu’il a cité.

Mais parmi les propres partisans d’Iram, on se méfie de ses critiques des géants de la technologie. Shlomo Kramer, le fondateur de Logiciel de point de contrôle , et investisseur d’amorçage dans AtBay ainsi que dans de nombreuses autres sociétés de cybersécurité, se méfie des attaques de son investisseur contre Microsoft. “Vous devriez acheter auprès d’entreprises en qui vous avez confiance”, a-t-il déclaré. “De nombreuses entreprises internationales auxquelles vous devriez faire confiance”, a déclaré Kramer.

Le gouvernement américain a jusqu’à présent adopté une approche prudente – une porte-parole de la US Cybersecurity Infrastructure Agency a déclaré qu’elle ne réglementait pas les logiciels des petites entreprises, pointant plutôt vers un article de blog avec des conseils visant à aider les entreprises suffisamment grandes pour avoir un responsable du programme de sécurité et un responsable informatique.

Les National Institutes of Standards & Technology ont publié un cadre complexe sur ce que les entreprises devraient faire, volontairement, pour se protéger des cybercriminels. Il appelle à cryptage et contrôle des connexionsce qui serait probablement difficile pour une petite entreprise dans un secteur à fort chiffre d’affaires, comme le commerce de détail, ou qui ne compte que quelques employés, dont beaucoup travaillent à distance sur leurs propres ordinateurs.

“En tant qu’entreprise, nous continuons à nous concentrer davantage sur l’adaptation à la réglementation que sur la lutte contre celle-ci et cherchons des moyens de répondre de manière proactive aux attentes accrues”, a déclaré un porte-parole de Microsoft par e-mail.