Vidéo: 52 minutes pour comprendre les PME, par André BOUA (Novembre 2024)
En décembre 2013, Target a reconnu qu'un pirate informatique avait accès à plus de 70 millions de numéros de cartes de crédit et de débit de ses clients via son système de point de vente. L'une des plus grandes violations de données dans l'histoire des États-Unis, le piratage de la cible a coûté son travail au PDG et au DSI de la société.
Malheureusement pour toutes les personnes impliquées, le piratage aurait pu être évité si seuls les dirigeants de Target avaient implémenté la fonctionnalité d'auto-éradication au sein de son système anti-malware FireEye. L'outil FireEye a capturé le code malveillant en novembre de la même année et aurait pu le supprimer du réseau de Target avant que les données ne soient volées.
Bien que la manière dont le pirate informatique ait infecté le logiciel malveillant par le pirate informatique reste floue, il existe de nombreuses façons d'exploiter le système de point de vente d'une entreprise. Pour les petites et moyennes entreprises (PME), les menaces sont encore plus grandes et plus abondantes que pour les grandes entreprises. En effet, la plupart des PME ne disposent pas des ressources nécessaires pour créer les restrictions de sécurité nécessaires pour tenir les pirates informatiques à distance (ou pour en prendre le risque si des pirates infiltrent leurs systèmes)., examinons les huit principales vulnérabilités en matière de sécurité des points de vente qui menacent actuellement les PME. Nous vous dirons non seulement ce qu'il faut rechercher, mais également comment rester en sécurité.
1. Fournisseurs gérant les clés d’enccyption sans module de sécurité matérielle
Le problème est le suivant: si votre entreprise stocke les informations de chiffrement au même endroit que les données des utilisateurs, vous mettez tous vos œufs dans un même panier fragile. Toutefois, si vous conservez physiquement les données de la clé de chiffrement séparément des données de l'utilisateur, un pirate informatique qui accède aux données de l'utilisateur n'aura pas accès aux informations de chiffrement.
Un module de sécurité matérielle est un périphérique physique qui stocke vos données de cryptage. Vous pouvez connecter ce périphérique directement à vos ordinateurs ou serveurs pour accéder aux données du PDV une fois qu'elles ont été téléchargées sur votre réseau. Le déchargement de vos données représente une autre étape, mais ce n'est pas aussi difficile que d'expliquer au conseiller juridique de votre entreprise pourquoi vos données client sont entre les mains de quelqu'un d'autre.
2. Réseaux d'entreprise avec données POS non segmentées
Si votre entreprise utilise le réseau de votre entreprise pour envoyer des mises à jour système et de sécurité aux environnements et aux périphériques de données POS, vous exposez votre entreprise à de graves risques. Dans ce scénario, si un pirate informatique accède à votre réseau, il a également accès à toutes vos données POS.
Les entreprises disposant de vastes ressources et disposant d’experts en informatique séparent ces deux réseaux et créent de petits chemins entre le réseau de l’entreprise et l’environnement de données du point de vente afin d’apporter des modifications au système. Ceci est la version Fort Knox de la sécurité des points de vente. Cependant, sa configuration est extrêmement difficile et coûteuse. Ainsi, les petites entreprises se contentent souvent d'activer l'authentification multifactorielle (MFA) du réseau de l'entreprise au périphérique de point de vente. Ce n'est pas un scénario de sécurité de rêve, mais c'est l'option la plus sécurisée disponible pour les entreprises modestes.
Autre remarque importante: les cafés et les restaurants proposant une connexion Wi-Fi aux clients doivent s’assurer que leurs périphériques de point de vente ne sont pas raccordés au même réseau. Une fois qu'un pirate informatique est assis, sirote son latte et accède à votre réseau Wi-Fi, il peut alors trouver un moyen d'accéder à votre environnement de données de point de vente.
3. Fonctionnement sur d'anciens systèmes d'exploitation
Tout le monde ne veut pas passer à Microsoft Windows 10. Je comprends. Bien, mais si vous utilisez toujours une ancienne version de Windows, vous vous posez des problèmes. Microsoft a cessé la prise en charge de Windows XP en 2009, de Microsoft Windows Vista en 2012 et de Microsoft Windows 7 en 2015 - et la prise en charge de Microsoft Windows 8 en 2018. Si vous avez demandé à Microsoft une prise en charge étendue, vous serez sûr pendant au moins cinq ans après la fin du soutien traditionnel. Si vous n'avez pas étendu votre prise en charge ou si celle-ci est périmée (comme avec Windows XP), il est important de noter que Microsoft n'ajoutera plus de correctifs de sécurité pour résoudre les problèmes survenant au sein du système d'exploitation. Donc, si les pirates informatiques trouvent un point d’entrée dans le logiciel, vos données POS seront exposées.
4. Mots de passe du fabricant par défaut
Même si vous êtes un assistant de chiffres capable de mémoriser les mots de passe complexes fournis par le fabricant de votre périphérique de point de vente, il est extrêmement important que vous changiez le mot de passe une fois que vous avez connecté le périphérique à votre logiciel. En effet, il est connu que des pirates informatiques extraient des listes de ces mots de passe des réseaux des fabricants et les retracent vers vos appareils. Ainsi, même si vous avez pris toutes les précautions possibles pour sécuriser vos données, vous laissez toujours la porte ouverte aux pirates.
5. Dispositifs frauduleux
Assurez-vous de vous associer à une entreprise ayant une solide réputation. Dans le cas contraire, vous risquez de finir par acheter un système de point de vente frauduleux, qui constitue essentiellement une fin de partie pour votre entreprise et les données de vos clients. En accédant directement à la carte de crédit de votre client, ces escrocs peuvent extraire des données sans que vous ou votre client ne sachiez que quelque chose ne va pas. Ces machines indiquent simplement au client que la transaction ne peut pas être finalisée, lui laissant ainsi l’impression que sa carte de crédit pose un problème ou qu’il ya un problème avec votre système back-end. En fait, la machine récupère simplement les données du client sans que personne ne soit plus sage.
6. Logiciels malveillants via le phishing
Il est important que vous avertissiez vos employés de ne pas ouvrir d'e-mails suspects. Les pirates intègrent des liens dans des courriers électroniques leur permettant d'accéder à l'ordinateur de leurs employés en cas de clic. Une fois que le pirate informatique a pris le contrôle de la machine, il peut naviguer sur le réseau et sur vos serveurs pour accéder à toutes les données. Si vous avez la chance de ne pas stocker vos données de PDV dans le même environnement réseau, vous n'êtes toujours pas en clair, car les pirates peuvent accéder à distance à un périphérique de PDV connecté à l'ordinateur piraté.
7. Raclage de RAM
C'est une attaque à l'ancienne qui a encore un peu de morsure. Le raclage de la mémoire RAM est une technique qui permet aux attaquants d'extraire les données de carte de crédit de la mémoire du périphérique POS avant qu'elles ne soient cryptées sur votre réseau. Comme je l'ai mentionné précédemment, le fait de garder vos systèmes de point de vente isolés de votre réseau d'entreprise devrait limiter ces types d'attaques (étant donné que les pirates informatiques ont moins de points d'entrée sur les appareils de point de vente que sur votre réseau d'entreprise). Cependant, vous devez également resserrer les pare-feu de votre entreprise pour vous assurer que les systèmes de point de vente communiquent uniquement avec des périphériques connus. Cela limitera les moyens par lesquels les pirates informatiques peuvent accéder aux données de vos périphériques POS en les forçant à détourner des ordinateurs ou des serveurs de votre réseau pour récupérer la mémoire vive.
8. écrémage
Il est facile de l'ignorer, car une sécurité sur le terrain est nécessaire pour garantir qu'aucune carte ne traite vos périphériques de point de vente. Essentiellement, le skimming nécessite que les pirates informatiques installent du matériel sur le périphérique POS, ce qui leur permettra ensuite de numériser les informations de carte de crédit. Cela peut également être fait via un malware si vous n'avez pas suivi certaines des étapes que j'ai mentionnées précédemment. Si vous exploitez plusieurs succursales, il est essentiel de surveiller la manière dont vos périphériques de point de vente sont utilisés et par qui.
