Archives par mot-clé : menace interne

Banque, Cybersécurité, Justice

Fuite de données chez un géant de la CB : 192 000 commerçants touchés

Shinhan Card confirme une fuite visant environ 192 000 commerçants affiliés. Pas de cyberattaque, mais un soupçon de faute interne. Les autorités sud-coréennes sont saisies, sur fond de risque accru de phishing.

Shinhan Card, groupe sud-coréen de services financiers, a confirmé une fuite de données concernant environ 192 000 commerçants franchisés, majoritairement des indépendants. Les informations exposées portent surtout sur des numéros de téléphone, avec, dans une partie des cas, des éléments limités d’identité. L’entreprise indique qu’aucun numéro de carte, détail bancaire, numéro d’identification national ou donnée de crédit n’a, à ce stade, été identifié comme compromis.

Fuite interne, pas de piratage

Le scénario tranche avec l’imaginaire d’un assaut venu d’Internet. Shinhan Card affirme que l’incident n’est pas lié à une intrusion externe, mais à un comportement interne jugé déviant. Selon son explication, un employé d’une agence commerciale aurait transmis des données de commerçants à un recruteur de cartes, dans une logique de prospection. La formule choisie par la société est sans ambiguïté : « This was not due to external hacking but an employee’s misconduct » [Ce n’est pas un piratage], a déclaré un responsable de Shinhan Card, en précisant que la chaîne opérationnelle concernée a été bloquée.

Derrière ce vocabulaire, l’enjeu est concret : des indépendants, exploitant des points de vente affiliés, avaient fourni des informations personnelles dans le cadre des contrats standards liant commerçant et émetteur. Shinhan Card resserre le périmètre temporel : les contrats concernés s’échelonnent de mars 2022 à mai 2025. Autrement dit, l’exposition ne viserait pas l’ensemble des partenaires historiques, mais un segment récent, suffisamment vaste pour toucher près de deux cent mille entités.

SERVICE DE VEILLE ZATAZ

Nous retrouvons vos données volées/perdues avant qu’elles ne se retournent contre vous.

Fuites de données, Veille web & dark web, alertes et priorisation des risques.

  
DÉCOUVRIR LA VEILLE

Dédiée aux entreprises, institutions et particuliers.

A PARTIR DE 0,06€ PAR JOUR

La nature des données divulguées est décrite comme « limitée« , mais elle suffit à alimenter des campagnes de manipulation. L’entreprise indique que la majorité des enregistrements concernent des numéros de téléphone mobile, environ 180 000 cas. Dans près de 8 000 situations, le numéro aurait fuité avec un nom. Un sous-ensemble plus restreint inclurait aussi des informations comme la date de naissance et le genre. Pour clarifier ce que recouvrent ces ordres de grandeur, on peut faire un calcul simple à partir des chiffres fournis : 192 000 au total moins 180 000 numéros seuls, moins 8 000 numéros accompagnés d’un nom, cela laisse environ 4 000 dossiers. Ce reliquat correspond plausiblement aux enregistrements où figurent des détails additionnels, sans que Shinhan Card ne donne de ventilation plus fine.

Sur le point le plus sensible, Shinhan Card martèle l’absence d’indice d’atteinte aux données financières critiques. L’enquête interne n’aurait détecté ni numéro d’enregistrement citoyen, ni numéro de carte, ni données de compte, ni information de crédit exposés. À ce stade, la société ajoute n’avoir reçu aucun signalement confirmé d’usage frauduleux lié à ces fuites.

L’affaire a émergé en fin d’année 2025, après un signalement adressé à la Personal Information Protection Commission (PIPC), autorité sud-coréenne de protection des données. Une fois alertée, la PIPC a demandé des pièces à Shinhan Card pour mesurer l’étendue de la fuite et en établir la cause. Après sa propre revue, l’entreprise indique avoir formellement notifié l’incident à la PIPC le 23 décembre, au titre des obligations de déclaration, et dit coopérer pendant l’examen.

En parallèle, Shinhan Card tente de reprendre la main sur la relation de confiance. Elle a publié des excuses et des consignes sur son site et son application, et mis en ligne une page dédiée permettant aux commerçants de vérifier s’ils figurent dans le périmètre. « We will make every effort to protect our customers and prevent similar incidents from recurring« , a assuré un porte-parole, en insistant sur un renforcement des contrôles internes et une révision des droits d’accès aux données marchands.

News & alertes actualités cyber

Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes.
S’abonner à notre NewsLetter

Chaque samedi matin, le meilleur moyen de ne rater aucune info cyber.

YouTube
Whatsapp
GNews
Autres
Communiqué de presse, Cybersécurité, Securite informatique

Détecter et prévenir la menace interne

Qu’il s’agisse d’utilisateurs malveillants, négligents ou exploités, il est communément admis que le plus grand risque pour toute entreprise provient de la menace interne. Rappelez-vous également que presque toutes les attaques externes finissent par ressembler à des attaques internes.

Selon le Data Breach Investigations Report 2018 de Verizon, l’utilisation d’informations d’identification internes compromises par un attaquant externe constitue la menace la plus courante dans les violations de données. C’est pourquoi il est important d’identifier les menaces internes le plus tôt possible.

Le risque zéro n’existe pas, mais il y a un moyen de réduire significativement les risques potentiels.

Alors, de quelle façon les organisations peuvent-elles identifier la menace interne, de préférence avant qu’une action ait lieu ?

Se contenter de surveiller toute l’activité réseau n’est pas suffisant pour protéger une organisation contre les activités malveillantes ou imprudentes. Il faut donc rechercher des indicateurs avancés d’un comportement inapproprié, malveillant ou négligent des employés.

Pour cela, il est important de concentrer vos efforts sur la partie de l’attaque qui ne peut être contournée – la connexion.

DÉTECTER ET PRÉVENIR LES MENACES INTERNES

Presque chaque action de menace interne nécessite une connexion à l’aide d’identifiants internes. Il s’agit de l’action la plus simple et commune pour les attaques internes.

L’accès aux points de terminaison, le mouvement latéral entre les points de terminaison, l’accès externe via VPN, l’accès au bureau à distance, etc., ont tous en commun la sollicitation d’une connexion.

Il faut donc surveiller la connexion pour diminuer le risque. Le concept de gestion de la connexion se structure autour de quatre fonctions essentielles qui agissent ensemble pour maintenir un environnement sécurisé :

  • Politique et restrictions – Établit qui peut se connecter quand, depuis où, pendant combien de temps, combien de fois et à quelle fréquence (sessions simultanées). On peut également limiter les types d’ouverture de session spécifiques (tels que les connexions basées sur la console ou RDP).
  • Surveillance en temps réel et reporting – Chaque connexion est surveillée et testée par rapport aux stratégies existantes pour déterminer si une connexion doit être autorisée. Le reporting aide à obtenir des informations détaillées pour toute enquête.
  • Alertes pour l’informatique et l’utilisateur final – Informe le service informatique et l’utilisateur de l’activité de connexion inappropriée et des tentatives infructueuses.
  • Réponse immédiate – Permet au service informatique d’interagir avec une session suspecte, de verrouiller la console, de déconnecter l’utilisateur ou même de les empêcher de se connecter ultérieurement.

Finalement, la gestion des connexions fait de la connexion elle-même un événement scruté et protégé.

Le but d’avoir une solution de gestion des connexions en place est de pouvoir détecter immédiatement une tentative d’accès anormale grâce aux stratégies de connexion personnalisées et granulaires définies pour ce compte particulier (employé). Cette même solution pourra ensuite agir en conséquence – soit en refusant, soit en approuvant la connexion – et en informant le service informatique (ou l’utilisateur lui-même) si cela est stipulé.

La gestion de la connexion est un moyen simple, efficace et rentable de contrecarrer les menaces internes potentielles. Elle fournit une couche de protection à la connexion, qui existe logiquement avant que l’action ne se produise, pour arrêter complètement la menace. Autrement dit, aucune connexion, aucune menace.

Parmi les scénarios de menaces internes potentiels qui sont actuellement contrecarrés, citons :

  • Les connexions authentiques mais compromises d’utilisateurs exploités sont désormais inutiles pour les employés malveillants ou les attaquants potentiels.
  • Les comportements imprudents de l’utilisateur, tels que le partage de mot de passe, les postes de travail partagés laissés déverrouillés ou des connexions simultanées à plusieurs ordinateurs, sont maintenant éradiqués.
  • L’accès à toute donnée / ressource est désormais toujours identifiable et attribué à un utilisateur individuel. Cette responsabilité décourage un employé d’agir avec malveillance et rend tous les utilisateurs plus attentifs à leurs actions.
  • Une activité suspecte est alertée pour permettre à l’équipe informatique de réagir instantanément.
  • Les utilisateurs sont avertis par un message et des alertes sur mesure, y compris des alertes sur leur propre accès sécurisé. Les employés informés représentent une autre ligne de défense.

 STOPPER LES MENACES INTERNES

La menace interne est réelle. Elle est présente sur votre réseau. Ce sont les employés avec lesquels vous travaillez tous les jours, où leur passage au statut d’attaquant interne peut dépendre d’une simple relation brisée, une promotion passée ou des difficultés personnelles. Ainsi, il est essentiel de disposer d’une solution proactive et économique pour faire face aux menaces internes. C’est aussi important que la protection de vos points de terminaison, les pares-feux et la passerelle de messagerie.

Le facteur commun à chaque scénario d’attaque interne est la connexion. Avec les connexions en tant que votre indicateur clé de menace interne :

  1. Vous identifiez le potentiel de menace très tôt dans le processus.
  2. Les faux positifs sont évités grâce à des stratégies granulaires (par compte, si nécessaire) qui définissent ce qui est et n’est pas « normal ».
  3. La connexion est refusée, arrêtant la menace.

En tirant parti de la gestion des connexions, vous placez la détection et la réponse aux menaces internes bien au-delà des actions malveillantes qui pourraient avoir lieu, arrêtant ainsi tout risque interne, avec un contrôle total de l’équipe informatique.