Archives de catégorie : Cybersécurité

Actualités liées à la CyberSecurité.

Cybersécurité, Entreprise

Cybersécurité et crise de l’eau

L’Agence américaine de protection de l’environnement (EPA) demande aux États d’inclure la cybersécurité dans leurs audits des systèmes publics de distribution d’eau, une mesure destinée à faire face à une vague d’attaques dans ce secteur.

De plus en plus d’entreprises, spécialisée dans l’eau et sa gestion, seraient ciblées par des cyberattaques aux USA. Bilan, dans un mémorandum publié vendredi, les responsables de l’Agence américaine de protection de l’environnement (EPA) indiquent que plusieurs systèmes publics de distribution d’eau n’ont pas adopté les meilleures pratiques en matière de cybersécurité, ce qui les expose à de dangereuses attaques numériques.

« Les cyberattaques contre les infrastructures critiques, y compris les systèmes d’eau potable, sont en augmentation, et les systèmes publics d’eau sont vulnérables. Les cyberattaques peuvent contaminer l’eau potable, ce qui menace la santé publique« , a déclaré Radhika Fox, administratrice adjointe de l’EPA.

L’EPA a mis en garde contre l’augmentation des cyberattaques visant les installations de distribution d’eau (des pirates « basics », des cybercriminels d’État ou encore d’employés mécontents).

Parmi les attaques repérées : arrêt des processus de traitement de l’eau, verrouillage des réseaux de systèmes de contrôle (ransomwares) ou encore désactivation des communications utilisées pour surveiller et contrôler l’infrastructure du système de distribution, comme les stations de pompage. (CSIS)

Apple, Bitcoin, Cybersécurité

Un pirate utilise Final Cut Pro pour installer des crypto mineurs

Vous utilisez une version piratée de Final Cut Pro ? Votre ordinateur Apple est peut-être manipulé par des hackers malveillants qui minent des cryptomonnaies via votre machine.

Selon un rapport diffusé par la société Jamf, un pirate informatique utilise des versions piratées du logiciel de montage vidéo Final Cut Pro pour installer un outil de crypto minage sur les appareils Apple.

Jaron Bradley, directeur principal des détections MacOS de la société basée à Minneapolis, a déclaré que les logiciels malveillants déguisés ou intégrés à l’intérieur d’applications piratées sont un problème depuis les premiers jours du piratage de logiciels. « Les pirates y voient une opportunité facile lorsqu’ils n’ont pas à convaincre les utilisateurs d’exécuter leur logiciel malveillant, mais plutôt que les utilisateurs viennent à eux, prêts à installer quelque chose qu’ils savent illégal« .

Parmi les outils repérés, XMRig. Ce logiciel peut être utilisé légitimement pour miner de la crypto-monnaie sur ses propres appareils, il a été adapté par les pirates.

Les versions piégées ont été récupérés via torrent. Le diffuseur est connu pour être un professionnel de la diffusion de copies d’outils Apple.
macOS Ventura bloque la tentative malveillante. (jamf)

cyberattaque, Cybersécurité

Medusa ransomware, le groupe de pirates aux dents longues

Le jeune groupe de hackers Medusa, spécialise de la prise d’otage d’entreprise, montre un appétit et des cibles de hauts niveaux !

Voilà qui est inquiétant, et étonnant. Le jeune groupe de pirates informatiques du nom de Medusa est apparu « publiquement » début janvier 2023.

Ce groupe de malveillants affiche déjà plus de 25 entreprises victimes, menacées et/ou dont les informations internes, sensibles ont été diffusées dans le darkweb et sur des messageries sécurisées.

Parmi les victimes, L’Institut des Technologie de l’Espace du Pakistan, l’Autorité des aéroports du Kenya, la Banque d’Afrique, l’entreprise indonésienne PetroChina, le Casino Eureka de Las Vegas, ou encore, Tonga Communication et, ce 7 mars, l’école publique de Minneapolis.

Les demandes de rançons peuvent dépasser plusieurs centaines de milliers de dollars. Ils diffusent les informations exfiltrées en cas de non paiement aprés un compte à rebours pouvant atteindre une dizaine de jours.

Pour la casino de Las Vegas, par exemple, plus de 12 ans de données internes, dont l’analyse des joueurs !

Les pirates informatiques de Medusa filment leurs infiltrations et les diffusent sur le web.

Cybersécurité

Failles de sécurité sur le site Booking.com

Des chercheurs ont identifié des vulnérabilités chez Booking.com qui auraient pu permettre à des acteurs malveillants dusurper des comptes dutilisateurs, dexfiltrer des données de comptes privées, dannuler ou deffectuer des réservations, ainsi que dautres actions à la place de lutilisateur.

De nombreuses failles de sécurité ont été découvertes par des chercheurs sur le site Booking.com. Ces failles, décelées dans limplémentation du protocole Open Authorization (OAuth) utilisé par Booking.com, étaient susceptibles daffecter les utilisateurs se connectant au site depuis leur compte Facebook. Les erreurs de configuration de la fonctionnalité OAuth auraient ainsi pu mener à des usurpations massives de comptes clients (ATO), mais également à la compromission des serveurs, avec notamment les conséquences suivantes :

●      Manipulation des utilisateurs de la plateforme en vue de prendre le contrôle total de leurs comptes (ATO)

●      Fuite dinformations personnelles (PII) et autres données sensibles stockées en interne par les sites

●      Exécution dactions à la place de lutilisateur, par exemple une réservation ou une annulation, ou encore la réservation dun moyen de transport

Lanalyse des vulnérabilités a été conduite et remise par Salt Labs, le laboratoire de recherche de Salt Security à lorigine de la découverte, qui met par ailleurs à disposition du public un forum sur la sécurité des API.

Connexion via un compte de réseau social

Cest au sein de la fonctionnalité de connexion via un compte de réseau social, utilisée par booking.com et implémentée au moyen du protocole standard nommé « OAuth », que les chercheurs ont identifié les failles. Populaire sur les sites et services web, OAuth permet aux utilisateurs de se connecter à dautres sites via leurs comptes de réseaux sociaux, le tout en un clic, ce qui représente un gain de temps par rapport à la méthode « classique » consistant à sinscrire et à sauthentifier avec un identifiant et un mot de passe.

Si OAuth offre lavantage dune expérience simplifiée sur les sites web, la fonctionnalité présente en contrepartie un back-end technique complexe pouvant donner lieu à des failles exploitables. Cest le constat établi par les chercheurs de Salt Labs après avoir manipulé la séquence OAuth sur le site Booking.com, ce qui leur a permis de pirater des sessions et dusurper des comptes dans le but de subtiliser des données et dagir à la place des utilisateurs.

Dès lors quil se connecte via Facebook, nimporte quel utilisateur de Booking.com est donc susceptible den faire les frais. Etant donné la popularité de loption « Se connecter avec Facebook », le nombre de victimes potentielles se compte rapidement en millions. Mais la liste des utilisateurs à risque ne sarrête pas là : le site Kayak.com (détenu par la même société, Booking Holdings Inc.) permet en effet à ses utilisateurs de se connecter à laide de leurs identifiants Booking.com, les exposant logiquement aux mêmes manœuvres.

Après cette découverte, les chercheurs de Salt Labs ont suivi un protocole strict visant à transmettre leurs conclusions à Booking.com. Résultat de cette action coordonnée : les failles ont été rapidement corrigées, et rien nindique à ce jour quelles ont été exploitées.

« OAuth sest rapidement imposé comme la norme dans le secteur, et des centaines de milliers de services lutilisent chaque jour à travers le monde », déclare Yaniv Balmas, VP Recherche, Salt Security. « En conséquence de quoi les erreurs de configuration dOAuth peuvent avoir des répercussions majeures sur les entreprises et les clients en raison de lexposition de données précieuses. Aucun site web nest infaillible, et leur rapide expansion cache à de nombreuses organisations la multitude de risques de sécurité qui affaiblissent leurs plateformes. »

backdoor, Cybersécurité

La Bulgarie, le pays le plus e.secure ?

Une étude de l’Union Européenne indique que 22% des entreprises de plus de 10 employés ont connu des incidents de cyber sécurité.

En 2021, dans l’Union Européenne, 22,2% des entreprises (comptant au moins 10 salariés et indépendants) de l’économie marchande ont connu des incidents de cyber sécurité des TIC entraînant différents types de conséquences, telles que l’indisponibilité des services Technologies de l’Information et de la Communication (TIC), destruction, modification de données ou divulgation d’informations confidentielles.

La conséquence la plus fréquemment signalée était l’indisponibilité des services TIC en raison de pannes matérielles ou logicielles (18,7%). L’indisponibilité des services TIC en raison d’attaques provenant de l’extérieur (par exemple, les attaques de rançongiciels, les attaques par déni de service) était beaucoup moins fréquente (3,5%).

Les entreprises de l’UE ont également signalé la destruction ou la corruption de données, causées par deux types d’incidents : en raison de pannes matérielles ou logicielles (3,9%) ou en raison d’une infection par un logiciel malveillant, ou d’une intrusion non autorisée (2,1%).

La conséquence la moins fréquente des incidents de sécurité des TIC était la divulgation de données confidentielles, liée à deux raisons différentes : intrusion, pharming, attaque de type hameçonnage, actions intentionnelles d’employés malveillants (1,1%) et actions non intentionnelles (erreurs d’employés – 1,0 %).

Les entreprises finlandaises enregistrent la plus forte incidence de problèmes de sécurité des TIC

Parmi les pays de l’UE, les pourcentages les plus élevés d’entreprises ayant enregistré des incidents de sécurité TIC entraînant l’indisponibilité des services TIC, la destruction ou la corruption de données ou la divulgation de données confidentielles se trouvaient en Finlande, avec plus des deux cinquièmes (43,8 %), suivie par la Pays-Bas et Pologne (30,1 % et 29,7 %), Tchéquie (29,3 %) et Danemark (26,4 %).

À l’autre extrémité de l’échelle, les parts les plus faibles se trouvaient en Bulgarie (11,0%), au Portugal (11,5%), en Slovaquie (12,3%), en Hongrie (13,4%) et à Chypre (14,3%).

Les TIC, ou Technologies de l’Information et de la Communication, sont des outils et des techniques utilisés pour collecter, traiter, stocker et transmettre des informations. Les TIC englobent un large éventail de technologies, notamment les ordinateurs, les réseaux de communication, les logiciels, Internet, les smartphones, les réseaux sociaux, les applications mobiles, les services en ligne, les médias sociaux, les jeux vidéo, la télévision interactive et la réalité virtuelle. Les TIC ont un impact majeur sur la vie professionnelle et personnelle des individus, ainsi que sur les organisations et la société dans son ensemble.

Justice

4 étapes pour appliquer le RGPD à son entreprise

L’arrivée du Règlement Général sur la Protection des Données en mai 2018 a bouleversé le quotidien de beaucoup entreprises. Et pour cause, ces quinze dernières années ont été émaillées de nombreux scandales en matière de vol de données. On pense par exemple, le scandale Facebook-Cambridge Analytica (en 2018) avec près de 87 millions d’utilisateurs visés par un vol de données.

La réglementation sur la protection des données a pour objet de garantir la sécurité des données personnelles des individus et plus largement protéger de la vie privée des personnes. Pour cela, le RGPD impose un certain nombre d’obligations aux acteurs de l’économie.

Quelles sont les 4 étapes clés pour se mettre en conformité au RGPD ?

1 – Collectez un minimum de données personnelles

L’un des principes fondateurs du RGPD (article 5) relève du bon sens : moins vous collectez de données plus vous réduisez les risques. Il consiste à s’interroger sur la question suivante : “Ai-je vraiment besoin de collecter ces données ?”.

En effet, le temps où vous collectiez des données pour peut-être vous en servir ultérieurement est révolu. Vous avez l’obligation de ne collecter que les données strictement nécessaires à votre activité (principe de minimisation des données).

Ce principe est directement lié à une seconde obligation : celle de déterminer les raisons pour lesquelles vous collectez des données. Vous devez indiquer la finalité dans un document appelé “registre de traitements” (étape n°3), c’est-à-dire l’objectif de la collecte et l’utilisation des données.

Par exemple : vous livrer votre produit à vos clients, ce dernier renseigne son nom, numéro de téléphone, adresse e-mail, adresse de livraison et informations bancaires. Vous n’avez pas besoin de connaitre le lieu de naissance (principe de minimisation) pour livrer le produit (finalité).

2 – Cartographiez vos données personnelles

Les données personnelles se baladent absolument partout. Faire l’inventaire de ces données est une étape clé. Pour ce faire, partez de vos outils CRM, éditeurs de mailings, boîtes mails etc. et notez les grandes catégories de données.

Pour rappel, une donnée personnelle est toute information directe ou indirectement permettant d’identifier une personne (article 4 RGPD). Les données relatives aux personnes morales ne sont pas protégées par le RGPD. Exemple de données personnelles :

  • Le nom et prénom d’une personne, son numéro de téléphone ou encore sa photo sont des données personnelles : elles l’identifient directement et personnellement.
  • La date de naissance, le métier ou encore la situation familiale d’une personne sont des données personnelles dès lors qu’elles concernent une personne identifiée, même indirectement.

Par exemple, une entreprise qui collecte les dates de naissance de ses clients pour affiner son discours commercial traite des données personnelles dans la mesure où il suffit de recouper les dates de naissance avec le fichier client pour identifier un individu en particulier.

Dès lors, toutes les données qui permettent de remonter à une personne physique, même indirectement, sont des données à caractère personnel.

Munissez-vous d’un logiciel RGPD tel que Leto qui met à disposition une brique technologique permettant d’identifier automatiquement toutes les catégories de données personnelles collectées dans les outils de votre entreprise. Faire appel à ce type de solution vous permet de gagner beaucoup de temps.

3 – Documentez ce que vous faites des données personnelles

Cette dernière étape a deux fonctions majeures :

  • Elle permet d’informer vos interlocuteurs de ce que vous faites de leurs données personnelles. Pour ce faire, munissez-vous d’une politique de confidentialité détaillant les données collectées, ce que vous en faites et comment ils peuvent former une demande de suppression, modification ou copie de leurs données.
  • Surtout, documentez l’ensemble des utilisations (appelées “traitements”) opérées sur ces données dans un registre de traitements. Ce registre vous permet à la fois pour montrer pâte blanche à vos partenaires lors d’audit mais également à justifier de votre conformité en cas de contrôle par la CNIL.
  • Lorsque vous travaillez pour le compte d’autres entreprises, vous avez le statut de sous-traitant au regard du RGPD. À ce titre, certaines obligations vous incombent et notamment, de proposer à vos clients un contrat sous-traitant qui respecte les exigences de l’article 28 RGPD. C’est LE document qui prouve à vos partenaires que vous agissez de manière conforme au RGPD.

Politique de confidentialité, registre de traitements et contrats sous-traitants : voilà les documents dont vous avez besoin pour prouver votre conformité auprès des autorités, de vos partenaires et de vos clients.

La construction de ces documents est souvent proposée par des cabinets d’avocats pour un prix très élevé alors que des solutions moins couteuses et plus rapides existent. Ayez plutôt recours à une solution SaaS comme Leto dont la plateforme permet de générer automatiquement votre registre de traitements, registre sous-traitants et vous guide dans la construction de toute votre documentation.

4 – Sensibilisez vos collaborateurs avec Leto

Chaque collaborateur de votre entreprise est amené à collecter et manipuler des données personnelles. La protection des données est donc l’affaire de tous. Penser que ce sujet ne concerne qu’une personne dans votre entreprise est un piège dès lors tout collaborateur peut être une cible de cyber-attaques.

Sensibiliser ses collaborateurs pour qu’ils acquièrent les bons réflexes est un gain de temps immense en matière de conformité. La sensibilisation des équipes est d’ailleurs une des missions obligatoire du délégué à la protection des données (DPO).

Qu’elle soit l’expression d’une obligation légale ou d’une volonté de montée en maturité sur ces sujets, la sensibilisation est votre meilleur outil.

Basé sur son expérience user, le logiciel Leto propose un module de sensibilisation des collaborateurs avec une banque de plus 100 questions pensées pour représenter des cas concrets pour chaque métier (Marketing, RH, Finance, Tech, Data, IT etc.). Vous avez également la possibilité de créer vos propres questions directement depuis l’outil et de lancer des campagnes auprès de vos équipes via votre outil de messagerie interne préféré. Le résultat de ces campagnes vous permet d’identifier les sujets les moins maitrisés, les personnes les moins à l’aise avec ces sujets tout en ayant la documentation associée à chaque question.

Contrairement aux idées reçues, la conformité au RGPD est un levier puissant de développement de votre activité. Aujourd’hui, des solutions SaaS vous permettent d’y parvenir simplement et rapidement.

Cybersécurité

Messagerie professionnelle

Aujourd’hui, la messagerie professionnelle est un outil incontournable pour les entreprises et les organisations. Cependant, en tant que plateforme idéale pour communiquer et échanger des informations sensibles et confidentielles, elle est également un canal privilégié pour les cyberattaques. En effet, selon les dernières études concernant la sécurité en ligne, la messagerie professionnelle arrive en tête de liste des canaux utilisés pour diffuser toutes sortes d’attaques. Que vous soyez autoentrepreneur ou à la tête d’une grande entreprise, il est donc crucial que vous preniez des mesures pour protéger votre messagerie professionnelle.

Les différents types d’attaques via la messagerie professionnelle

Les cyberattaques via la messagerie professionnelle peuvent causer de graves dommages aux entreprises et aux personnes concernées. Les trois types d’attaques les plus courants sont les suivants :

  • Les attaques de phishing 

Les attaques de phishing sont causées par des e-mails frauduleux qui ont pris l’apparence d’e-mails légitimes provenant de sources fiables (banque, assurance, administration, etc.). Les cybercriminels utilisent ces e-mails pour inciter les victimes à divulguer des informations sensibles, telles que des mots de passe ou des informations financières. Les attaques de phishing peuvent être très convaincantes et sont généralement la cause d’usurpations d’identité et de pertes financières considérables pour les entreprises.

  •  Les attaques de malware

Les « malware » sont des logiciels malveillants qui peuvent être diffusés via une messagerie professionnelle, sous la forme de pièces jointes. Une fois installés sur un ordinateur, ces logiciels ont la capacité de récupérer des informations sensibles. Ils peuvent également endommager les fichiers et les systèmes, ou encore les utiliser pour diffuser d’autres attaques. Utiliser une solution anti malware est le meilleur moyen de s’en prémunir.

  • Les rançongiciels 

Les rançongiciels sont des programmes malveillants qui chiffrent les fichiers de l’ordinateur cible et les rendent inaccessibles. Les cybercriminels exigent ensuite une rançon pour pouvoir de nouveau déchiffrer les fichiers. Les attaques de rançongiciels peuvent entraîner des pertes de données importantes et être la cause d’une importante perte financière.

Pourquoi la messagerie professionnelle est une cible privilégiée des cybercriminels

La messagerie professionnelle est une cible privilégiée des cybercriminels pour plusieurs raisons. Tout d’abord, la plupart des utilisateurs ne sont pas, ou alors très peu, sensibilisés aux bonnes pratiques en ligne. Ce manque de connaissances est à l’origine d’une vulnérabilité que les cybercriminels ne manquent pas d’utiliser à des fins frauduleuses.

Au sein d’une entreprise, la messagerie professionnelle est généralement le moyen de communication utilisé pour transférer des informations confidentielles telles que les données financières, les fichiers clients ou encore les informations sur les employés. En s’attaquant à une messagerie professionnelle, les cybercriminels peuvent facilement exploiter ces informations sensibles pour commettre des escroqueries financières ou pour usurper des identités.

Les cybercriminels utilisent également les messageries professionnelles pour diffuser des logiciels malveillants par e-mail afin d’accéder aux réseaux d’entreprises. L’utilisation massive des messageries professionnelles comme canal de communication et l’ignorance des utilisateurs en ce qui concerne la sécurité en ligne forment le cocktail idéal d’une cyberattaque rondement menée.

Comment protéger votre messagerie professionnelle contre les cyberattaques

Pour protéger votre messagerie professionnelle contre les cyberattaques, il est vivement recommandé de prendre les mesures suivantes :

  • Former les utilisateurs finaux aux bonnes pratiques de sécurité : il est important de sensibiliser vos utilisateurs aux dangers potentiels de la messagerie professionnelle et de les former aux bonnes pratiques pour les éviter. Tous devraient être capables de reconnaître une attaque de phishing ou une pièce jointe suspecte.
  •  Mettre en place des filtres anti-spam et anti-phishing : les filtres anti-spam peuvent aider à bloquer les e-mails non sollicités et les e-mails frauduleux, tandis que les filtres anti-phishing peuvent identifier et bloquer les e-mails de phishing.
  • Mettre en place des solutions de sécurité avancées : les solutions de sécurité pour les messageries professionnelles peuvent inclure une protection contre les logiciels malveillants, une meilleure confidentialité des données et la détection des attaques de phishing. Elles peuvent également inclure des fonctionnalités telles que la protection des e-mails cryptés et la protection des messageries mobiles.

Conclusion 

La messagerie professionnelle est un canal de plus en plus vulnérable aux cyberattaques. Il est donc crucial de prendre des mesures pour protéger votre messagerie professionnelle. En suivant les bonnes pratiques de sécurité et en adoptant des solutions de sécurité avancées, vous pouvez minimiser les risques d’en être victime.

Cybersécurité, Entreprise

Confusions et approximations : l’approche bancale des dirigeants en matière de renseignement cyber

Dans un monde en proie aux bouleversements géopolitiques, environnementaux et économiques, il n’a jamais été aussi essentiel pour les entreprises de connaître la nature des menaces de cybersécurité. Pourtant, les dirigeants doivent souvent prendre des décisions cruciales sans vision claire du paysage des menaces et du risque encouru par leur organisation.

L’incompréhension du langage lié à la cybersécurité par les cadres dirigeants ainsi que d’autres freins majeurs nourrissent leurs lacunes en la matière

Les dirigeants français se trouvent souvent démunis face au jargon et aux termes techniques spécifiques. 46% d’entre eux admettent que le vocabulaire de base de la cybersécurité les laissent confus, des termes tels que « malware », « phishing » et « ransomware ». Les termes plus techniques tels que “Exploits Zero Day” (39,5%), YARA (44,5%) et “Suricata rules” (48,5%) ont pourtant suscité des niveaux de confusion similaires. Les dirigeants français se trouvent particulièrement en difficulté face à ce jargon, leur confusion est bien plus élevée que la moyenne européenne sur tous les termes sondés.

Parmi les autres freins majeurs soulevés par les dirigeants français, les restrictions budgétaires sont largement évoquées par 52% d’entre eux, suivies de près par le manque de formation (51,5%) mais également le manque d’outils (37,5%) et le manque de temps (35,5%).

Et pourtant, de nombreux cadres dirigeants français (46%) admettent que la cybercriminalité est devenue la plus grande menace auquelle leur entreprise est confrontée largement devant les aléas économiques tels que la hausse de l’inflation (37%) les catastrophes naturelles (36,5%) ou encore la concurrence (30%).

De nombreux responsables français (42%) se dirigent vers le dark web pour recueillir de la threat intelligence afin d’en discuter en réunion. Autant dire qu’ils ne voient que la partie la plus « visible ». Le Service Veille ZATAZ, par exemple, surveille pas moins de 300 000 espaces pirates.

Comprendre la menace

Parmi les sources d’informations utilisées, les dirigeants français déclarent tout de même en majorité se tourner vers des sources publiques (open source, réseaux sociaux, blogs sur la cybersécurité) (55%), mais aussi, vers des sources internes (48,5%), des sources privées de renseignement sur la menace (47%) et des sources de fournisseurs externes (35,5%).

Certains cadres dirigeants, bien conscients qu’ils ont besoin d’aide pour comprendre les menaces de cybersécurité auxquelles leurs entreprises sont confrontées chaque jour, cherchent de l’aide auprès d’experts

Selon les dirigeants français interrogés, les RSSI sont les plus susceptibles de présenter des informations sur les menaces lors des réunions de leur conseil d’administration (53,5%), suivis par les responsables informatiques (49,5%), les fournisseurs externes de cybersécurité (45%), les résumés exécutifs écrits non techniques (40,5%) et enfin, les partenaires (34%).

L’utilisation de ressources accessibles au public et l’augmentation du budget alloué aux formations contribuent à la sensibilisation. Toutefois, la réalité est que sans une expertise solide pour identifier, analyser et recouper les cybermenaces, les organisations ne s’arment qu’à moitié contre elles.

Au cœur d’une stratégie optimale, on trouve un interprète ou un partenaire capable non seulement de parler le langage du cybercrime, mais aussi de comprendre comment la confidentialité et l’anonymat qui protègent les criminels peuvent être utilisés contre eux pour établir un rapport et extraire des renseignements essentiels.

Vous lisez Data Security Breach, vous êtes déjà sur la bonne voie 🙂

Cybersécurité, Entreprise

10 améliorations cyber lorsque vos employés retournent au bureau

Selon les résultats d’un sondage, 77 % des décideurs informatiques aux États-Unis et au Canada pensent que leurs entreprises seront probablement confrontées à une violation de données au cours des trois prochaines années.

Les répondants à l’enquête ont classé la sécurité des données comme l’élément qui a le plus changé la donne en 2023, alors que les entreprises continuent de renforcer leur préparation à la cybersécurité : 68 % des responsables interrogés déclarent que leur entreprise a une division de cybersécurité et 18 % supplémentaires déclarent qu’ils sont en train d’en créer une. Seuls 6 % des répondants ont déclaré ne pas avoir de division de cybersécurité.

« L’augmentation des incidents de violation de données en Amérique du Nord est troublante et doit être priorisée alors que les employés continuent de retourner en personne à leur siège social« , explique Kuljit Chahal, responsable de la pratique, Sécurité des données chez Adastra North America.

« Pendant la pandémie, de nombreux employés ont été embauchés virtuellement et, en combinaison avec de longues absences des bureaux, les introductions et la re-familiarisation avec les protocoles de sécurité seront essentielles« , ajoute Chahal.

La sensibilisation des employés aux meilleures pratiques en matière de sécurité des données est essentielle. Selon le rapport Verizon Data Breach Investigations 2022, 82 % des violations de données sont causées par une erreur humaine et les entreprises de toutes tailles sont à risque.

Dans notre rôle d’experts en sécurité des données, nous avons constaté que certaines entreprises, en particulier les plus petites, peuvent être bercées par un faux sentiment de sécurité en pensant que les auteurs ne s’en soucieront pas – ce n’est absolument pas le cas.

Les résultats de cette enquête devraient rappeler que les entreprises de toutes tailles doivent investir dans la protection, les ressources et l’éducation en matière de sécurité des données, en particulier lorsque nous reprenons les activités au bureau.

Le coût d’une violation peut être important et bien supérieur à ce que coûtera un audit d’une entreprise de sécurité des données. Selon Statista, le coût moyen d’une violation de données aux États-Unis est passé à 9,4 millions de dollars en 2022, contre 9 millions de dollars l’année précédente.

10 améliorations de la sécurité des données

Menaces internes – rééducation des employés sur les systèmes et les protocoles

La divulgation non autorisée de données n’est pas toujours le résultat d’acteurs malveillants. Souvent, les données sont accidentellement partagées ou perdues par les employés. Tenez vos employés informés grâce à une formation sur la cybersécurité. Les employés qui passent régulièrement des tests de phishing peuvent être moins susceptibles d’interagir avec des acteurs malveillants par e-mail ou par SMS.

Connaissez votre inventaire

Un inventaire des actifs logiciels, matériels et de données est essentiel. Avoir le contrôle des actifs avec accès à votre environnement d’entreprise commence par un inventaire. Les inventaires peuvent faire partie du programme global de gestion des vulnérabilités pour maintenir tous les actifs à jour, y compris les systèmes d’exploitation et les logiciels.

De plus, un inventaire ou un catalogue de données identifie les données sensibles, ce qui permet de placer des contrôles de sécurité appropriés tels que le cryptage, les restrictions d’accès et la surveillance sur les données les plus importantes.

Supprimer les données redondantes

La réduction de votre empreinte globale de données peut être un moyen efficace de réduire les risques. Les données qui résident dans plusieurs emplacements peuvent ne pas bénéficier d’une protection égale dans chaque environnement. Comprendre quelles données sont nécessaires et ce qui peut être archivé aide à garder le contrôle sur les actifs de données.

Systèmes de détection précoce

La détection d’anomalies et d’activités suspectes peut résoudre les problèmes avant qu’ils ne deviennent une violation. Les systèmes XDR (détection et réponse étendues) et EDR (détection et réponse des terminaux) actuels incluent des réponses automatisées aux attaques courantes.

Par exemple, supposons qu’un employé télécharge une pièce jointe malveillante. Dans ce cas, le système EDR peut empêcher l’exécution du malware caché à l’intérieur et alerter le personnel de sécurité.

Ces systèmes de détection peuvent être surveillés par le personnel de cybersécurité interne ou surveillés par des sociétés de sécurité tierces qui peuvent alerter la direction des incidents au fur et à mesure qu’ils se produisent.

Une veille du web malveillant (darkweb, Etc.) est un outil indispensable. Le service veille ZATAZ a, par exemple, détecté pas moins d’un milliards de données volés par des pirates entre le 1er janvier 2023 et le 13 février 2023. Rien que les fuites Twitter et Deezer additionnent 500 millions d’informations d’usagers.

Sauvegardes de données

Disposer d’un plan de sauvegarde des données robuste et immuable peut aider une organisation à se remettre rapidement d’un incident. La fréquence de la sauvegarde des données dépend du risque que l’organisation est prête à prendre. « Pouvons-nous nous permettre de perdre une semaine de données ou une journée de données ?« 

Limiter l’accès du personnel

L’utilisation du principe du moindre privilège réduit le risque global en autorisant uniquement l’accès aux données et aux services nécessaires à l’exécution de tâches spécifiques. L’établissement de processus de provisionnement et de déprovisionnement de l’accès des utilisateurs avec des approbations, des pistes d’audit, des rapports et des attestations régulières peut limiter ce à quoi un attaquant peut être en mesure d’accéder en cas d’informations d’identification compromises.

Il n’est pas rare que les utilisateurs finaux disposent d’un accès administratif illimité à leurs ordinateurs portables. Cela permet aux utilisateurs d’installer des logiciels non autorisés ou d’être plus facilement la cible d’attaques de logiciels malveillants.

Engagez une entreprise tierce pour effectuer un audit de sécurité – connaissez vos vulnérabilités

Une évaluation externe de la posture de sécurité de votre organisation, basée sur des cadres de cybersécurité établis tels que NIST ou CIS , peut fournir une image plus claire des forces et des faiblesses et une feuille de route pour remédier à vos plus grandes vulnérabilités.

Établissez de nouveaux mots de passe avec une authentification à deux facteurs

Traditionnellement, les utilisateurs sont authentifiés par l’une des trois méthodes suivantes :

Ce que vous savez (mot de passe)
Ce que vous avez (carte d’accès ou code d’accès à usage unique)
Ce que vous êtes (biométrie)
L’ajout d’un deuxième facteur à l’authentification par mot de passe omniprésent ajoute une autre couche de sécurité pour l’accès.

Mettez à jour vos programmes informatiques avec les dernières fonctionnalités de sécurité

La plupart des violations de données se produisent parce qu’une vulnérabilité connue a été exploitée. La mise en place d’un programme de gestion des vulnérabilités qui analyse régulièrement les actifs logiciels et applique des correctifs est l’une des activités de sécurité les plus cruciales qu’une entreprise puisse effectuer.

Sécurité physique

Au fur et à mesure que les employés retourneront au bureau, il y aura des employés qui reviendront au bureau pour la première fois. Il peut être nécessaire de renforcer les politiques de bureau propre et de revoir les contrôles d’accès physique, y compris l’accès aux zones sécurisées, pour s’assurer que les actifs ne sont pas volés ou perdus.

Les employés travaillant à domicile qui possèdent des actifs de l’entreprise doivent être régulièrement formés à la sécurité de ces actifs lorsqu’ils sont à la maison, comme ils le feraient au bureau.

Cybersécurité, famille

Le risque cyber pour les enfants sous-estimé par les parents

Le Global Online Safety Survey s’intéresse aux perceptions de la sécurité en ligne du point de vue des parents et des enfants. 59% des jeunes utilisateurs confrontés à un risque en ligne.

Cette édition 2023 du Global Online Safety Survey nous apprend notamment que 59% des personnes interrogées en France ont été confrontées à un risque en ligne au cours de l’année écoulée (contre 69% au niveau global). Parmi les risques les plus fréquemment encourus, arrivent en tête la désinformation et ce que l’on nomme les risques personnels : la cyberintimidation, les discours de haine et les menaces de violence.

Les parents sous-estiment la réalité des menaces encourues par leurs enfants en ligne

Cette édition met également en lumière la différence entre la réalité des menaces subies par les enfants et adolescents et la perception de celles-ci par leurs parents. En effet, si 74 % des adolescents au niveau global ont déclaré avoir été confrontés à un risque en ligne, leurs parents étaient 62 % à penser que leur enfant y avait été confronté, soit une différence de 12 points.

Les écarts les plus importants concernent les discours haineux : 32% des adolescents français y ont été exposés (vs 39% au global) mais seulement 22% des parents ont indiqué que leurs enfants avaient vécu une telle expérience (vs 29% au global). Suivent ensuite de près les menaces de violence, l’exposition à des contenus sur le suicide et l’automutilation, ainsi que la cyberintimidation et les abus. Côté désinformation, 46% des enfants et adolescents français y ont été exposés (vs 52% au global) alors que seuls 36% des parents ont indiqué que leur enfant y avait été confronté (vs 45%).

Des outils et des ressources pour protéger les plus jeunes

Si les parents peuvent sembler sous-estimer la réalité de l’exposition de leurs enfants à ces risques, ils ne minimisent pas du tout l’importance de la sécurité et du recours à des outils de sécurité qu’ils jugent efficaces : c’est pourquoi ils sont 75% en France à déclarer en utiliser au moins un (vs 81% à l’échelle mondiale). Plus précisément, les parents d’enfants plus jeunes, âgés de 6 à 12 ans, sont beaucoup plus susceptibles que les parents d’adolescents d’utiliser des outils de sécurité basés sur la plateforme et utilisent 4,4 outils par rapport aux parents d’adolescents (3,5). (Microsoft)