Vidéo: Comment 🔒 SÉCURISER votre PAGE FACEBOOK en 5 ÉTAPES (Novembre 2024)
Cette semaine, les cybercriminels russes ont violé plus de 330 000 systèmes de point de vente fabriqués par la filiale d’Oracle Micros, l’un des trois plus importants fournisseurs de matériel de point de vente au monde. La faille a potentiellement exposé les données des clients dans les chaînes de restauration rapide, les magasins de détail et les hôtels du monde entier.
Les attaques de PDV ne sont pas nouvelles. L'une des plus grandes violations de données de l'histoire des États-Unis, le piratage Target, a exposé plus de 70 millions d'enregistrements clients à des pirates informatiques et a coûté leur emploi au PDG et au DSI du détaillant. Au moment de l'attaque, il avait été révélé que l'attaque aurait pu être évitée si Target avait implémenté la fonctionnalité d'auto-éradication dans son système anti-malware FireEye.
La réalité est que la plupart des attaques de points de vente peuvent être évitées. Il existe de nombreuses menaces pour vos systèmes de point de vente, mais il existe autant de moyens de lutter contre ces attaques., Je vais énumérer six moyens que votre entreprise peut protéger contre les intrusions de points de vente.
1. Utiliser un iPad pour POS
La plupart des attaques récentes, y compris les attaques de Wendy's et de Target, résultent d'applications de logiciels malveillants chargées dans la mémoire du système de point de vente. Les pirates peuvent télécharger en secret des applications malveillantes dans les systèmes de point de vente, puis voler des données, sans que l'utilisateur ou le commerçant ne se rendent compte de ce qui s'est passé. Le point important à noter ici est qu'une deuxième application doit être en cours d'exécution (en plus de l'application POS), sinon l'attaque ne peut pas se produire. C'est pourquoi iOS a traditionnellement facilité la réduction du nombre d'attaques. Étant donné qu'iOS ne peut exécuter entièrement qu'une application à la fois, ces types d'attaques se produisent rarement sur des appareils fabriqués par Apple.
"L'un des avantages de Windows est que plusieurs applications s'exécutent en même temps", a déclaré Chris Ciabarra, directeur de la technologie et cofondateur de Revel Systems. "Microsoft ne veut pas que cet avantage disparaisse… mais pourquoi pensez-vous que Windows se bloque tout le temps? Toutes ces applications fonctionnent et utilisent toute votre mémoire."
Pour être juste, Revel Systems vend des systèmes de point de vente spécialement conçus pour l'iPad, il est donc dans l'intérêt de Ciabarra de pousser le matériel Apple. Cependant, il y a une raison pour laquelle vous entendez rarement, voire jamais, parler d'attaques de point de vente sur des systèmes de point de vente Apple spécifiques. Rappelez-vous quand l'iPad Pro a été dévoilé? Tout le monde se demandait si Apple activerait une véritable fonctionnalité multitâche, ce qui permettrait à deux applications de fonctionner simultanément à pleine capacité. Apple a laissé cette fonctionnalité hors de l'iPad Pro, au grand dam de tout le monde, à l'exception des utilisateurs susceptibles d'exécuter le logiciel de point de vente sur leurs nouveaux appareils.
2. Utiliser le cryptage de bout en bout
Des sociétés telles que Verifone proposent des logiciels conçus pour garantir que les données de vos clients ne soient jamais exposées à des pirates informatiques. Ces outils chiffrent les informations de carte de crédit à la seconde où elles sont reçues sur le périphérique de point de vente et une fois encore lorsqu'elles sont envoyées au serveur du logiciel. Cela signifie que les données ne sont jamais vulnérables, quel que soit le lieu d'installation des logiciels malveillants par les pirates.
"Vous voulez une vraie unité cryptée de point à point", a déclaré Ciabarra. "Vous voulez que les données passent directement de l'appareil à la passerelle. Les données de carte de crédit ne touchent même pas l'unité de point de vente."
3. Installer l'antivirus sur le système de point de vente
C'est une solution simple et évidente pour prévenir les attaques de points de vente. Si vous voulez vous assurer que les logiciels malveillants ne s’infiltrent pas dans votre système, installez un logiciel de protection des terminaux sur votre appareil.
Ces outils analysent le logiciel sur votre périphérique de point de vente et détectent les fichiers ou les applications problématiques qui doivent être supprimés immédiatement. Le logiciel vous alertera des zones à problèmes et vous aidera à démarrer le processus de nettoyage nécessaire pour garantir que les logiciels malveillants ne se traduisent pas par un vol de données.
4. Verrouillez vos systèmes
Bien qu'il soit hautement improbable que vos employés utilisent vos périphériques de point de vente à des fins néfastes, il reste encore beaucoup de potentiel pour des emplois internes ou même simplement une erreur humaine pour causer des problèmes énormes. Les employés peuvent voler des appareils sur lesquels le logiciel de point de vente est installé, ou laisser accidentellement l'appareil au bureau ou dans un magasin, ou perdre l'appareil. Si des appareils sont perdus ou volés, toute personne y ayant accès et le logiciel (surtout si vous n’avez pas respecté la règle 2 ci-dessus) sera en mesure d’afficher et de voler les enregistrements des clients.
Pour que votre entreprise ne soit pas victime de ce type de vol, assurez-vous de verrouiller tous vos appareils à la fin de votre journée de travail. Tous les jours, nous devons rendre compte de tous les appareils et les sécuriser dans un endroit auquel seuls quelques employés ont accès.
5. être conforme à la norme PCI de haut en bas
Outre la gestion de vos systèmes de point de vente, vous souhaiterez vous conformer à la norme PCI DSS (norme de sécurité des données de l'industrie des cartes de paiement) pour tous les lecteurs de carte, réseaux, routeurs, serveurs, paniers d'achat en ligne et même pour les fichiers papier. Le PCI Security Standards Council suggère aux entreprises de surveiller activement et de dresser l'inventaire des actifs informatiques et des processus métier afin de détecter toute vulnérabilité. Le Conseil suggère également d'éliminer les données des titulaires de carte, sauf en cas d'absolue nécessité, et de maintenir la communication avec les banques et les marques de cartes pour s'assurer qu'aucun problème ne survient ou ne s'est déjà produit.
Vous pouvez engager des évaluateurs de sécurité qualifiés pour examiner périodiquement votre entreprise afin de déterminer si vous respectez les normes PCI. Si vous souhaitez donner l'accès de vos systèmes à un tiers, le Conseil fournit une liste des évaluateurs agréés.
6. Embaucher des experts en sécurité
"Le DSI ne saura pas tout ce qu'un expert en sécurité saura", a déclaré Ciabarra. "Le CIO ne peut pas rester au courant de tout ce qui se passe dans le domaine de la sécurité. Mais la seule responsabilité d'un expert en sécurité est de rester au courant de tout."
Si votre entreprise est trop petite pour embaucher un expert en sécurité dédié en plus d'un responsable des technologies, vous voudrez au moins embaucher une personne ayant une expérience approfondie de la sécurité qui saura quand le moment est venu de faire appel à une tierce partie.
