Table des matières:
Pourquoi les menaces d'ingénierie sociale sont à la mode
Autres points à emporter
Protection contre les violations de données
Vidéo: MatinBonheur Economie: La gestion des entreprises cas des PME (Novembre 2024)
Un facteur de motivation majeur dans le déclenchement de violations de données est l’argent, clair et simple. Les pirates informatiques veulent gagner de l'argent avec les violations, ce qui est l'une des principales conclusions du rapport d'enquête sur les violations de données publié par Verizon en 2019, publié hier. La société a étudié 41 686 incidents de sécurité et plus de 2 000 violations de données et a constaté que 71% de ces violations étaient motivées par des considérations financières. Il a également révélé qu'un grand nombre de ces attaques étaient des tentatives d'ingénierie sociale de la part de dirigeants C-suite. Ils étaient 12 fois plus susceptibles de subir un incident d'ingénierie sociale que pendant la période couverte par le rapport d'enquêtes sur l'infraction de données de Verizon 2018. Le phishing est une forme courante de ces attaques, dans laquelle les pirates se déguisent en une personne de confiance et prennent des noms d'utilisateur, des mots de passe et des détails de carte de crédit.
Pourquoi les menaces d'ingénierie sociale sont à la mode
Le phishing consiste à obtenir des informations sensibles telles que des noms d'utilisateur, des mots de passe et des informations de carte de crédit en se déguisant en une entité de confiance lors de l'envoi de communications électroniques. Ces attaques de phishing pourraient inclure un message électronique contenant un lien vers un faux site Web qui ressemble à une page de connexion d'un fournisseur de messagerie basé sur un nuage. "C'est vraiment juste conçu pour voler vos informations d'identification", a expliqué Bassett.
Les attaques de phishing faisaient partie de 78% des incidents de cyberespionnage étudiés par les chercheurs de Verizon. Dans le courrier électronique, l'attaque pourrait être adressée à un dirigeant principal des finances (CFO) et semblerait provenir d'un directeur général (PDG) demandant à la direction de transférer une certaine somme d'argent sur un compte. Le message pourrait dire: "C'est vraiment important. S'il vous plaît, faites-le très vite", a déclaré Bassett.
Ces attaques sont appelées "compromis de messagerie commerciale". Bassett a expliqué que Verizon les qualifiait dans le rapport "d'ingénierie sociale motivée par des considérations financières". Les attaquants ciblent les dirigeants de la suite C parce qu'ils ont autorité sur les importants transferts d'argent au sein d'une entreprise et peuvent ne pas lire attentivement les communications par courrier électronique.
Les attaques par hameçonnage "trompent beaucoup de gens et doivent donc être conscients que ce genre de choses se produisent et qu'il est nécessaire de mettre en place des contrôles secondaires pour vérifier tout transfert d'argent ou même le paiement de factures", a déclaré Bassett. "Il peut s'agir simplement d'un e-mail avec une fausse facture. Si vous ne faites pas attention, vous pouvez simplement le payer sans vous rendre compte qu'il ne s'agissait pas d'une facture réelle et légitime."
Les attaques à caractère financier étaient un thème clé dans divers secteurs du rapport. En fait, le rapport indiquait que 68% des violations de données dans l'industrie manufacturière étaient motivées par des considérations financières et que 49% des 352 incidents dans l'industrie manufacturière impliquaient des informations d'identification volées.
Un fait intéressant est que tout n’est pas perdu en cas de violation de données. Le Centre de traitement des plaintes en matière de criminalité sur Internet du FBI (IC3) peut vous aider à récupérer les fonds volés au cours de ce type d’attaque. Selon le rapport, la moitié des incidents impliquant la compromission de courriers électroniques professionnels ont entraîné le retour ou le gel de 99% des fonds volés. "Si vous êtes victime de l'un de ces actes, vous avez encore le temps d'agir", a déclaré Bassett. "Si vous vous présentez rapidement à IC3, ils pourront peut-être vous aider."
Selon Bassett, les attaques par courrier électronique se produisent car elles ne requièrent pas beaucoup de compétences techniques. "Vous n'avez pas à comprendre comment les ordinateurs fonctionnent pour demander de l'argent à quelqu'un", a-t-il déclaré. "Et cela ouvre donc la cybercriminalité à des personnes peut-être non techniques mais très persuasives."
Autres points à emporter
Les attaques par courrier électronique ne sont pas les seules choses intéressantes du rapport de Verizon. Voici quatre autres résultats clés:
1) Outre les attaques d'ingénierie sociale à motivation financière, il existe des menaces pour les transactions de commerce électronique, également appelées attaques de type "carte non présente". La recrudescence des attaques de commerce électronique s'accompagne d'une diminution des menaces pesant sur les transactions en point de vente en personne. Le nombre de violations des points de vente a été multiplié par 10 depuis 2015 et les violations des applications Web ont désormais 13 fois plus de chances de se produire. Les attaquants pourraient être dissuadés par l'utilisation de cartes à puce EMV, selon le rapport. Les attaques de points de vente dans les secteurs de l'hébergement (restauration) et des services de restauration en particulier sont passées de 307 dans le rapport Verizon 2018 à 40 dans la version de cette année (voir la figure ci-dessous).
2) Plus de 60 millions d'enregistrements de données ont été affectés par des violations affectant le stockage de fichiers dans le cloud pour les entreprises. Les erreurs de configuration des administrateurs système sont à l'origine de ces violations et exposent accidentellement des informations sensibles. "Cela se produit de plus en plus souvent, et c'est une de ces brèches faciles et rapides", a déclaré Bassett. "Cela ne prend pas beaucoup d'étapes pour passer d'une base de données à une base de données violée."
Ce type de violation peut également se produire lors d’un transfert de personnel. L'administrateur suivant travaillant sur un site Web peut ne pas se rendre compte qu'une base de données a été laissée publique par la personne qui l'a précédé.
3) Le rapport de Verizon a également révélé que 69% des attaques avaient été perpétrées par des étrangers, contre 34% par des initiés. Une exception à cette tendance concerne les soins de santé, où les menaces internes étaient plus fréquentes que d’autres industries. En effet, il est souvent curieux de consulter les dossiers médicaux électroniques de célébrités ou de personnes que les professionnels de la santé connaissent.
"Dans le secteur de la santé, des employés peu scrupuleux peuvent consulter cette information et comprendre que cette fraude a une valeur ajoutée", a déclaré Bassett. Il a décrit une tendance commune dans laquelle des attaquants transmettent les données compromises à quelqu'un afin de déposer des demandes de règlement frauduleuses.
4) Verizon a également constaté que six fois moins de professionnels des ressources humaines (RH) subissaient des violations de données. Le rapport indique qu’il n’ya pas de raison à cette baisse en dehors de la prise de conscience accrue par les entreprises des menaces pesant sur les données. Les attaques contre les ressources humaines peuvent inclure une tentative de récupération des informations fiscales des employés afin que les pirates informatiques puissent produire de fausses déclarations fiscales et laisser les employés payer la facture, a déclaré Bassett.
(Crédit image: Verizon)
Protection contre les violations de données
Pour se protéger contre les violations de données, en particulier les attaques de phishing, les PME devraient utiliser des gestionnaires de mots de passe pour renforcer leurs pratiques de gestion des identités. Une autre pratique recommandée consiste à utiliser l'authentification multifactorielle (MFA) pour protéger les comptes contre les violations. Cette pratique implique l’utilisation de deux ou plusieurs formes d’authentification pour accéder à un système. Ils peuvent inclure des mots de passe, des données biométriques telles que des empreintes digitales ou des jetons d'un téléphone mobile.
Pour se protéger contre les attaques telles que le phishing, Bassett recommande également aux utilisateurs qui ouvrent des fichiers non sollicités à partir d'entités extérieures d'utiliser un système d'exploitation en mode bac à sable composé d'une tablette et d'un clavier afin d'empêcher la propagation de programmes malveillants. Un bac à sable est un environnement restreint dans lequel les applications sont isolées et où les utilisateurs peuvent être empêchés de supprimer des fichiers et de modifier les informations système.
- Marriott Hackers a volé plus de 5 millions de numéros de passeport non cryptés Marriott Hackers a volé plus de 5 millions de numéros de passeports non cryptés
- Site de rencontre 'Coffee Meets Bagel' frappé par une violation de données Site de rencontre 'Coffee Meets Bagel' par une violation de données
- SecurityWatch: créer des sociétés et non des clients, souffrir pour des violations de données SecurityWatch: créer des sociétés et non des clients, souffrir de violations de données
Cela peut sembler logique, mais une étape clé consiste à fournir aux employés un moyen de signaler les courriels de phishing et les violations de données lorsqu'ils sont détectés. Il est essentiel d’avancer rapidement car il arrive parfois, au sein d’une entreprise, que les courriers électroniques d’hameçonnage génèrent une vague de clics se produisant une semaine après leur envoi.
"Les rapports et les clics se produisent à des taux similaires pendant la première heure, mais les rapports chutent et les clics continuent de se produire la semaine prochaine", a déclaré Bassett. "Utilisez les rapports que vous recevez au cours de la première heure pour supprimer les courriels de phishing des boîtes de réception afin d'éviter que les utilisateurs ne cliquent dessus un jour ou une semaine plus tard et ne redémarrant l'incident."
L'essentiel: restez vigilant, méfiez-vous de votre courrier électronique et disposez d'une ligne de défense solide pour repérer les tentatives de fraude à caractère social dans votre entreprise.
