Qu’est-ce qui vous empêche de dormir la nuit ? Si vous êtes un Responsable de la Sécurité des Systèmes d’Information (RSSI) d’une grande entreprise, il se peut que vous ayez peur de perdre votre emploi au cas où votre employeur serait victime d’une cyberattaque comme une atteinte à la protection des données.
Les RSSI prennent la responsabilité des cyberattaques subit par leurs entreprises
C’est l’une des statistiques inquiétantes rapportées par l’étude Megatrend Study du Ponemon Institute.
Cette étude, rendue publique plus tôt cette année, a montré que les nombreux incidents cybernétiques qui ont fait la une des journaux et des médias au cours des deux dernières années semblent avoir des répercussions sur les dirigeants du RSSI et d’autres dirigeants de C-Suite.
L’enquête portait sur 612 RSSI, DSI et autres professionnels de la sécurité de l’information :
45 % des répondants ont déclaré qu’ils craignaient de perdre leur emploi à la suite d’une cyberattaque majeure.
Cela semble compréhensible puisqu’en 2018, 67 % d’entre eux s’attendent à une atteinte à la protection des données ou à un type d’attaque informatique semblable, contre 60 % en 2017.
Ces appréhensions ne sont pas propres aux professionnels de l’industrie établis aux États-Unis.
Une enquête menée dans le cadre de la conférence Infosecurity Europe 2017 a rapporté des résultats similaires.
En effet, on a demandé aux professionnels de la sécurité le poste le plus responsable d’une entreprise en cas d’atteinte à la protection des données.
Parmi les répondants, 40 % affirmaient que les PDG seraient les premiers à être sur la ligne de mire, suivis des RSSI (21 %), des autres professionnels de la sécurité de l’information (15 %) et des DSI (14 %).
Parmi les exemples récents de départs forcés, on peut citer celui du chef de la direction d’Equifax, Richard Smith, après la divulgation d’une violation massive de données.
Chez Uber, trois cadres supérieurs du département sécurité ont également démissionné suite à la dissimulation révélée d’une attaque cybercriminelle. Suite à cela, les données de plus de 50 millions de conducteurs et passagers ont été atteintes.
Uber a dû payer un groupe de pirates informatiques pour effacer les dossiers infectés.
D’autres exemples d’attaques de haut niveau ont impliqué d’autres entreprises, comme :
Le fabricant aérospatial autrichien FACC
Sony
Target
Home Depot.
Le grand public est clairement convaincu que les entreprises doivent être pénalisées pour les violations de données impliquant des informations personnelles.
Dans un sondage mené récemment auprès de 9 000 consommateurs en Australie, au Benelux, en France, en Allemagne, en Russie, aux Émirats arabes unis, en Arabie saoudite, en Inde, au Japon, au Royaume-Uni et aux États-Unis, 70 % des répondants ont attribué la responsabilité de protéger et de sécuriser leurs données directement aux entreprises.
L’étude du Ponemon Institute montre que le stress lié à la cybercriminalité affecte les RSSI
Non seulement la majorité d’entre eux estiment qu’une cyberattaque est imminente, mais 66 % disent qu’ils s’attendent à ce que leur travail devienne plus stressant au cours des douze prochains mois.
Un autre fait inquiétant est que :
44 % des répondants ont indiqué qu’ils prévoyaient de faire une mutation latérale au sein de leur organisation, en travaillant hors du domaine de la sécurité informatique.
40 % envisagent tout simplement de changer de carrière.
Pourquoi les responsables de la sécurité informatique du C-Suite sont-ils si inquiets ?
Certes, la publicité sur les cyberattaques – telles que les atteintes à la protection des données et les attaques de ransomwares – a fait monter la pression pour ces dirigeants.
Mais la surcharge d’informations et l’augmentation des réglementations y contribuent également.
Outre ces faits, l’étude du Ponemon Institute a mis en évidence d’autres préoccupations spécifiques des répondants.
70 % d’entre eux ont affirmé que la cause la plus probable d’une atteinte à la protection des données était le manque de personnel interne compétent.
64 % ont souligné le manque d’expertise interne qui pourrait entraîner une atteinte à la protection des données. La pénurie chronique de talents dans le domaine de la cybersécurité est qualifiée d’épidémie selon certains analystes de l’industrie. L’un des principaux groupes de défense de la sécurité de l’information prévoit qu’il y aura une pénurie mondiale de deux millions de professionnels de la sécurité d’ici 2019.
47 % s’inquiétaient d’une brèche potentielle due à l’incapacité de leur organisation à sécuriser les dispositifs IoT (Internet des objets).
56 % d’entre eux ont cité que les organisations sont incapables de faire face aux cyberattaques qui sont de plus en plus sophistiquées.
Un tiers des répondants ont affirmé que cette préoccupation est due à un financement inadéquat.
40 % ont déclaré que leurs budgets de sécurité informatique étaient restés stables l’an dernier malgré les menaces croissantes, tandis que 23 % s’attendaient à un budget réduit pour les douze mois à venir.
L’une des principales préoccupations exprimées dans le rapport était l’incapacité de se préparer à de nouveaux types de menaces sur le long terme, en raison de l’augmentation du nombre d’attaques quotidiennes.
Les malwares et le phishing demeurent leur principale préoccupation, car ils constituent le principal moyen de diffusion des attaques cybernétiques.
La capacité de sécuriser complètement la messagerie électronique des utilisateurs est également une priorité absolue, outre la mise en œuvre d’outils de sécurité tels que le filtrage moderne des emails et des contenus web.
La cybersécurité doit devenir une culture pratiquée dans chaque organisation. En attendant, le stress des RSSI restera certainement élevé.
Les établissements d’enseignement, de la maternelle au lycée ainsi que de l’enseignement supérieur, sont régulièrement piratés.
La situation ne montre aucun signe d’amélioration.
Les conséquences de tout vol de données sont énormes non seulement en termes de réputation, mais aussi en termes juridique, économique et opérationnel.
Le financement futur pourrait être affecté, mais il y a aussi le risque de perte de frais de scolarité futurs et de revenus associés.
L’année dernière, un article paru dans le Huffington Post donnait des exemples de cinq collèges dont les atteintes à la protection des données étaient encore plus importantes que celles de Sony.
Voici quelques exemples d’atteintes récentes à la protection des données dans le domaine de l’éducation :
Les réseaux de l’Université du Maryland ont été piratés en janvier 2014, ce qui a entraîné la divulgation des données de 310 000 étudiants. La brèche a coûté plus de 6 millions de dollars à l’université pour que les victimes puissent bénéficier de services de surveillance du crédit.
Le district scolaire Park Hill de Kansas City, au Missouri, a signalé une infraction en juillet 2014. Un ancien employé a eu accès à des données confidentielles sur des élèves et des employés. Ces données ont été ensuite publiées par inadvertance sur Internet. Plus de 10 000 personnes ont été victimes de cette attaque. Des dossiers ont été endommagés, y compris des numéros de sécurité sociale et des évaluations des employés.
En juin 2014, plus de 30 000 étudiants du Riverside Community College District, en Californie, ont vu leurs données exposées (numéros de sécurité sociale, dossiers scolaires, etc.) lorsqu’un employé a envoyé des dossiers par email à une adresse électronique incorrecte via un système non sécurisé.
Universities UK est une organisation regroupant les directeurs généraux des universités britanniques qui œuvre pour le soutien et la promotion du secteur de l’enseignement supérieur britannique.
Elle a commandé un rapport qui examine les moyens de mettre en œuvre la cybersécurité dans les établissements d’enseignement supérieur au niveau de la direction.
Leurs suggestions sur la manière d’assurer une cybersécurité adéquate semblent très similaires aux approches que toute grande entreprise devrait adopter :
Évaluer le risque institutionnel en identifiant les actifs informationnels, en évaluant leurs vulnérabilités et en établissant leurs priorités de gestion.
Mettre en place un système de surveillance et de communication efficace des risques liés à l’information entre le conseil d’administration de l’institution, les propriétaires, les contrôleurs et les actifs informationnels.
Mettre en œuvre des contrôles réseau généraux, ciblés et appropriés, notamment le partage et la mise à jour des vulnérabilités et des pratiques menées en interne et en externe.
La nature et la fiabilité des données associées à un large éventail d’activités nécessitent un ensemble de modèles de cybersécurité ciblés, adaptés et proportionnés à leurs actifs.
Les universités sont les cibles parfaites pour un vol de données
Les données sont essentielles au bon fonctionnement d’un établissement d’enseignement, ainsi qu’à la recherche et à la production d’autres données.
Il peut s’agir du principal actif intellectuel — parfois sensible du point de vue politique ou commercial — et essentiel pour que l’université puisse répondre à ses besoins commerciaux ou académiques.
Il suffit prendre l’exemple de la nature des données sur les changements climatiques ou des dossiers médicaux.
Il peut également s’agir de données d’entreprise, sur les étudiants, les finances et les ressources humaines.
Celles-ci sont soumises aux lois habituelles sur la protection des données.
Le financement futur pourrait être affecté, mais il y a aussi le risque de perte de frais de scolarité futurs et de revenus associés.
Des poursuites et d’autres sanctions pourraient être intentées à l’encontre de l’établissement, mais la perte de propriété intellectuelle pourrait aussi survenir.
Il peut même y avoir des dommages aux infrastructures qui paralysent les activités de l’institution.
Les réseaux universitaires alimentaient les attaques contre les systèmes externes
Les données personnelles et financières stockées dans les systèmes de données universitaires sont d’une grande valeur pour les cybercriminels.
Les données commerciales, quant à elles, peuvent intéresser les espions d’entreprises, tandis que les données liées à la recherche scientifique ou aux subventions peuvent être ciblées par des groupes soutenus par un État-nation.
Même l’infrastructure universitaire, avec sa large bande passante et ses serveurs puissants, constitue une cible pour les pirates informatiques. Il peut être détourné et utilisé pour mener des attaques sur d’autres systèmes externes.
Lorsque les systèmes informatiques du New York Times ont été piratés en 2013, l’enquête qui a suivi a révélé que les attaques avaient été dirigées contre des ordinateurs compromis dans des universités américaines.
Les menaces habituels des vols de données
Les menaces auxquelles font face les établissements d’enseignement sont toujours les mêmes.
Manipulation psychologique qui cible l’utilisateur,
Spams/emails de phishing,
Macros malveillantes/ransomwares,
Protocoles de sécurité obsolètes et/ou faibles,
Vulnérabilités des navigateurs,
Logiciels non corrigés et vulnérabilités logicielles,
Kits d’exploitation « zero-day »,
Mauvaise configuration du pare-feu et du réseau,
Manque de contrôle des applications,
Accès USB non sécurisé,
Botnets et attaques par déni de service distribué (DDOS),
Accès à distance permanent,
Banque de contrôle des appareils mobiles
Problèmes d’infrastructure et silos de données : Un cauchemar pour la sécurité des réseaux
Ce qui différencie réellement les établissements d’enseignement supérieur et le réseau d’entreprise est la nature du campus et du réseau de l’Université.
Composée de nombreux réseaux, parfois dispersés, l’infrastructure réseau des universités constitue un cauchemar pour les professionnels de la sécurité informatique d’entreprise.
Ce n’est pas dû à un manque de prévoyance ou d’ignorance en matière de sécurité informatique sur le campus (c’est loin d’être le cas !).
En effet, L’environnement éducatif et l’ouverture du campus au grand public signifient qu’il n’y a aucune infrastructure centrée sur la sécurité étroite tel qu’on voit dans les réseaux d’entreprise.
Dans les établissements d’enseignement, il est courant de voir
Des flux réguliers d’étudiants de premier cycle
Des chercheurs et des diplômés qui collaborent et partagent des données à l’échelle mondiale
Des universitaires en visite
Des pratiques qui permettent aux utilisateurs d’apporter leurs propres appareils pour se connecter au réseau
Etc.
Pourtant, dans de tels environnements, le concept de sécurité des données rigoureuse a toujours été considéré comme inutile, voire indésirable.
Lorsqu’une institution prospère grâce au libre échange de données et d’idées, elle ne peut pas facilement appliquer les mêmes mesures de sécurité que les grandes entreprises.
La sécurité informatique est un compromis
Il y a un juste équilibre entre ce qui doit être autorisé et les mesures de sécurité qui peuvent être mises en place.
La sécurité dans toutes les organisations, commerciales ou académiques, est un compromis entre la probabilité et l’impact potentiel d’une attaque et le coût financier qui pourraient être encourus en défense en cas d’atteinte à la protection des données.
L’augmentation des menaces en ligne et les nouvelles sanctions sévères pour les atteintes à la protection des données obligent les universités à prendre la cybersécurité plus au sérieux.
Une approche efficace consistait à segmenter et à partitionner autant que possible les réseaux des campus afin que les données les plus sensibles et les plus précieuses puissent être protégées de manière adéquate.
Il fallait également permettre la création de parties du réseau relativement ouvertes pour répondre aux besoins en matière de formation et de recherche.
Cela peut être complexe et nécessiter une analyse détaillée des risques, outre l’établissement de priorités de gestion et des mesures de sécurité connexes.
En réalité, c’est une approche qui commence à être adoptée par les réseaux d’entreprise.
Le fait de considérer que le « monde extérieur » est dangereux et que le réseau local est toujours sécurisé est désormais quelque chose de démodé.
La DMZ qui servait auparavant de sandbox aux systèmes partagés entre le WAN et le LAN est maintenant considérée comme la zone protégée pour sécuriser les serveurs du monde extérieur et du monde intérieur.
La pratique consistait à utiliser des systèmes de sécurité capables de surveiller le réseau et détecter les anomalies comportementales, plutôt que de compter sur une protection par périmètre.
Et c’est là que les universités peuvent être en avance sur le monde de l’entreprise.
L’équipe de TitanHQ travaille depuis plus de 20 ans sur les solutions antispam ; le filtrage Web et l’archivage des emails pour les écoles.
Nous avons une compréhension profonde des problèmes de sécurité web et nous sommes conscients que toutes les écoles et tous les collèges devraient faire quelque chose pour protéger les étudiants, le personnel scolaire et les visiteurs.
Les cybercriminels veulent vos données, alors ne les leur donnez pas !
Commencez dès aujourd’hui à protéger votre organisme éducatif contre les infractions coûteuses et les amendes.
La sécurité web est essentielle à la protection de vos données.
Essayez la version gratuite de WebTitan dès aujourd’hui !
La première attaque connue par un ransomware a eu lieu en 1989, mais cette forme de malware n’était pas encore populaire auprès des cybercriminels.
Cela a commencé à changer en 2013 avec l’apparition du ransomware Cryptolocker et depuis le nombre d’attaques n’a cessé de croître.
Aujourd’hui, les ransomwares sont l’une des plus grandes menaces de malwares auxquelles sont confrontées les entreprises
Des attaques de ransomware par le biais de réseau affiliés
Les attaques de ransomware ne sont plus des campagnes relativement modestes menées par des développeurs. Plutôt que de mener leurs propres attaques, il est désormais courant pour ces derniers de laisser la distribution de leurs ransomwares à un réseau d’affiliés.
Dans le cadre du modèle « ransomware-as-a-service – RaaS », de plus en plus d’attaques peuvent être menées et davantage de rançons seront versées en conséquence.
La plupart des attaques de ransomware fonctionnent aujourd’hui selon le modèle RaaS et de nombreux affiliés sont prêts à distribuer le logiciel contre une partie des bénéfices.
Autrefois, les ransomwares étaient utilisés simplement pour chiffrer des fichiers et pour empêcher les entreprises d’y accéder, à moins qu’une rançon ne soit versée pour obtenir les clés de déchiffrement.
Cependant, les opérateurs de ransomwares de Maze ont commencé à voler des données en 2019, avant le chiffrement des fichiers, afin d’inciter davantage les victimes à payer.
De nombreuses autres attaques ont suivi cette tendance et les cybercriminels ont même menacé de publier les données volées ou de les vendre à d’autres cybercriminels si la rançon n’était pas payée.
Le vol de données avant le chiffrement des fichiers devient la norme
Coveware, une entreprise qui travaille avec les victimes d’une attaque de ransomware pour les résoudre a récemment publié un rapport qui montre que la moitié de ses attaques impliquent désormais le vol de données avant le chiffrement des fichiers.
Cette enseigne entre souvent en négociation avec les attaquants au nom de ses clients.
Il peut être possible de récupérer des données chiffrées à partir de sauvegardes, mais cela n’empêchera pas la publication ou l’utilisation abusive des données volées.
Cette tactique s’est avérée efficace pour les pirates informatiques, mais il y a eu de nombreux cas où le paiement de la rançon n’a pas entraîné la suppression des données volées.
Aux États-Unis, plusieurs victimes dans le secteur de la santé ont payé la demande de rançon pour ensuite recevoir une seconde demande de paiement afin d’empêcher la publication de données volées.
Selon Coveware, le gang Sodinokibi ransomware est connu pour émettre d’autres demandes après le premier paiement, et il en a été de même pour Netwalker et Mespinoza ransomware.
Les opérateurs de Conti ransomware fournissent la preuve que les fichiers sont supprimés après le paiement de la rançon, mais cette preuve est falsifiée.
Les demandes de rançon sont également en augmentation. La demande moyenne de rançon au troisième trimestre 2020 était d’environ 193 000 euros, soit une hausse de 31 % par rapport au trimestre précédent, selon le rapport trimestriel de Coveware sur les attaques de ransomware.
L’industrie de la santé a été largement ciblée par les cybercriminels et le nombre d’attaques a augmenté pendant la pandémie du COVID-19.
Le secteur de la santé est fortement dépendant des données et les attaques visent à chiffrer les données des patients et à voler les dossiers médicaux avant leur chiffrement. Si la rançon n’est pas payée, les données ont une grande valeur et peuvent être revendues facilement.
Récemment, un avertissement commun a été lancé par la CISA (une agence chargée de protéger les infrastructures critiques des États-Unis), en collaboration avec le FBI et le ministère de la Santé et des Services sociaux, mettant en garde contre une menace accrue et imminente d’attaques ciblées de ransomwares dans les secteurs de la santé et de la santé publique.
Quelques jours après la publication de l’alerte, six prestataires de soins de santé ont été attaqués avec le logiciel Ryuk en une seule journée.
Les attaques contre les patients sont là pour rester dans le temps avec un avenir imprévisible. Elles ne commenceront à diminuer que lorsqu’elles ne seront plus rentables.
En fait, leur succès réside dans le fait qu’il n’y a aucune garantie que les données volées seront restituées même si la rançon est payée.
Il est donc plus important que jamais pour les entreprises et les organismes de santé de s’assurer que leurs défenses sont renforcées contre les attaques de ransomwares.
Les rançons peuvent être fournies au moyen de diverses techniques
Les vulnérabilités des logiciels et des systèmes d’exploitation sont couramment exploitées pour accéder aux réseaux.
Il est donc important de procéder à une analyse de vulnérabilité pour identifier les vulnérabilités que les pirates peuvent exploiter afin de s’assurer que les failles sont rapidement corrigées.
La messagerie électronique reste l’un des vecteurs d’attaque les plus courants non seulement pour la livraison de ransomwares, mais aussi pour leur téléchargement.
Emotet et TrickBot sont deux chevaux de Troie couramment utilisés pour fournir des ransomwares comme charge utile secondaire, et tous deux sont principalement fournis par la messagerie électronique, tout comme BazarLoader, qui a été utilisé pour fournir des ransomwares lors de nombreuses attaques récentes.
Pour sécuriser ce vecteur d’attaque, il faut un filtre antispam avancé, alimenté par l’intelligence artificielle et capable de détecter non seulement les menaces de malwares connues, mais aussi les malwares du type « zero day » et les attaques lancées via la messagerie électronique qui n’ont jamais été vues auparavant.
SpamTitan utilise l’Intelligence artificielle et l’apprentissage machine pour identifier ces menaces à la source et pour empêcher que les emails malveillants n’arrivent dans des boîtes de réception des employés.
Si c’est le cas, ces derniers peuvent fournir involontairement aux attaquants l’accès à votre réseau d’entreprise.
En plus de ses deux moteurs antivirus, SpamTitan dispose d’une fonction de bac à sable qui permet d’identifier les menaces de malwares du type « zero day » et des plusieurs protocoles de sécurité (SPF, DKIM et DMARC).
Ces protocoles permettent de détecter et de bloquer les attaques par usurpation d’identité via les emails
Les ransomwares et les autres menaces de malwares sont souvent transmis via Internet, de sorte que des mesures de cybersécurité sont nécessaires pour bloquer ce vecteur d’attaque.
WebTitan utilise également des techniques d’intelligence artificielle et d’apprentissage des machines pour se protéger contre les sites web utilisés pour diffuser des menaces de malwares.
La solution utilise l’automatisation et des analyses avancées pour rechercher parmi des milliards d’URL/IP et de sites de phishing qui pourraient constituer une entreprise et s’assurer que ces menaces sont bloquées.
En mettant en œuvre des défenses par couches, il est possible de bloquer la majorité des menaces, mais il reste important de s’assurer que vos données sont protégées en cas d’une attaque réussie. Vous devez vous assurer que, quoi qu’il arrive, vos données sont sécurisées.
Une bonne approche à adopter est la stratégie de sauvegarde 3-2-1, qui consiste à effectuer trois sauvegardes, à stocker les copies sur deux supports différents (sur un disque et dans le cloud, par exemple) et à s’assurer qu’une copie est stockée en toute sécurité hors site.
Si une attaque de ransomware réussit, vous ne serez pas à la merci des attaquants et vous pourrez au moins récupérer vos données sans payer la rançon.
Si vous souhaitez améliorer vos défenses contre les ransomwares, appelez l’équipe du TitanHQ dès aujourd’hui pour obtenir des informations et des conseils sur les mesures que vous pouvez prendre pour renforcer vos défenses.
Selon Gartner, 88 % des entreprises ont dû rendre le télétravail obligatoire pendant la pandémie du Covid-19.
306,4 milliards d’emails sont envoyés et reçus quotidiennement en 2020 (source : Radicati).
60 % des informations contenues dans les emails sont des données critiques pour les entreprises (source : IDC).
L’année 2020 restera dans l’histoire comme une année de défis. L’un de ces défis est la façon dont le travail à distance a changé le paysage technologique et commercial.
Pour que les communications entre les employés soient fluides et sans entrave, le courrier électronique a pris une place centrale.
L’archivage des emails dans le cloud offre un moyen de gérer les emails professionnels pour garantir leurs conformités, leurs sécurités et leurs confidentialités.
Le télétravail est-il devenu la nouvelle norme ?
Le travail à distance n’est pas nouveau. Avant la pandémie, en 2015, 3,4 % de la main-d’œuvre américaine travaillait déjà à domicile. Même après la pandémie, le travail à distance devrait faire partie de notre vie professionnelle.
Ce bouleversement des conditions de travail a eu un impact sur la productivité et la continuité des activités.
Pour passer du bureau au domicile, les entreprises dans le monde entier se sont tournées vers la technologie du cloud pour maintenir la communication et le flux de travail de leurs employés.
La technologie du cloud s’est développée pour répondre aux défis du travail à distance.
Cependant, comme les employés se connectent actuellement à distance, les organisations doivent s’assurer que la sécurité, la confidentialité et la conformité des données soient assurées, même en dehors des frontières du bureau.
L’archivage des emails dans le cloud offre un moyen économique et efficace de gérer les données liées aux comptes de messagerie électronique pour tous vos employés qui travaillent à distance.
Archivage du courrier électronique : par défaut, à distance ?
Le courrier électronique a toujours été une technologie qui était, par défaut, utilisée pour la communication à distance.
Cependant, il peut aussi servir à stocker de façon centralisée des données sensibles concernant les employés et leur entreprise.
Les entreprises peuvent l’utiliser pour conserver des informations, en se référant à d’anciens emails pour trouver des informations vitales et pour s’assurer que les mesures légales et de conformités sont respectées.
L’un des avantages de l’archivage du courrier électronique dans le cloud est la centralisation de serveurs de courriers électroniques disparates. Dans des conditions de travail à distance, c’est encore plus important.
L’archivage des emails dans le cloud offre un moyen de consolider et de gérer les données contenues dans les emails professionnels.
Mais comment l’archivage du courrier électronique s’intègre-t-il dans un monde de travail à distance ?
Et comment les questions de conformité, de sécurité et de confidentialité des emails sont-elles traitées dans des environnements de travail disparates ?
Télétravail, archivage des emails et conformité
Le courrier électronique est soumis à des réglementations sur la protection des données et à d’autres questions juridiques. Plusieurs règlements comportent des exigences concernant la conservation, l’intégrité, la sécurité et l’audit des emails.
Il s’agit notamment de la loi Sarbanes-Oxley (SOX) pour la prévention de la fraude et la protection des données personnelles via la loi sur la portabilité et la responsabilité de l’assurance maladie (HIPAA).
L’archivage des emails dans le cloud peut répondre aux exigences réglementaires en offrant un contrôle d’accès, la possibilité de réaliser facilement les audits et une gestion de la conservation robuste.
Archivage et sécurité des emails
Le courrier électronique est une riche source de données sensibles, financières et de propriété intellectuelle, ce qui le place dans la ligne de mire des cybercriminels.
Les menaces en ligne telle que le Business Email Compromise (BEC) se concentrent sur l’usurpation d’adresses électroniques ou le piratage comme méthode pour voler de grosses sommes d’argent aux entreprises.
Les attaques d’initiés sont également préoccupantes, qu’elles soient malveillantes ou accidentelles.
L’archivage des emails dans le cloud peut atténuer les risques de perte de données. Les fonctionnalités comprennent le contrôle d’accès et la restauration des messages supprimés ou modifiés.
Une solution basée dans le cloud offre un environnement sécurisé tout en facilitant l’accès des employés à distance à ces messages.
Archivage et confidentialité des emails
En plus de contenir des données d’entreprise sensibles, les emails contiennent également des données sur vos clients.
Ces informations sont souvent très sensibles et peuvent contenir des informations financières, notamment des informations sur les comptes bancaires. Celles-ci doivent rester privées pour des raisons de conformité et de confiance.
Toutes les données relatives aux transactions, aux comptes clients, aux demandes, etc. doivent être archivées en toute sécurité.
Le fait de ne pas exécuter ces actions entraîne non seulement des amendes pour non-conformité, mais aussi une perte de réputation pour les entreprises.
La loi californienne sur la protection de la vie privée des consommateurs (CCPA), par exemple, stipule qu’une entreprise doit mettre en place un processus de récupération et de suppression des données personnelles, sur demande.
Cela inclut les emails et les données dans les archives.
Les solutions d’archivage des emails basées dans le cloud doivent pouvoir attribuer des rôles aux personnes appropriées pour leur permettre d’examiner, d’exporter et de supprimer en toute sécurité les données et certains messages en cas de besoin.
Contactez l’équipe de TitanHQ si vous voulez discuter de la façon dont l’archivage des emails peut assurer la continuité des activités de vos employés qui travaillent à distance.
La pandémie du coronavirus a forcé des millions de personnes à travailler chez elles au cours des deux derniers mois.
Les employés ont le choix entre plusieurs applications qui permettent la communication vocale ou multimédia via le réseau Internet, notamment la vidéo, telles que Zoom, GoToMeeting, Skype et bien d’autres.
La popularité de Zoom est montée en flèche, car il est devenu le service de réunion vidéo de choix pour un usage personnel et professionnel.
La plateforme a vu le nombre de participants aux réunions quotidiennes passer à 300 millions en avril.
Avec l’augmentation de l’utilisation de cette application et d’autres logiciels de communication, les pirates informatiques ont trouvé des moyens d’exploiter ses vulnérabilités.
Zoom et vulnérabilités CVE : du XSS à l’exécution de code à distance
Le logiciel Zoom n’est pas nouveau, mais sa popularité grâce au confinement face à la pandémie du COVID-19 l’a transformé en un véritable vecteur d’attaque.
Lorsque des vulnérabilités sont découvertes dans un logiciel, elles sont publiées sous le nom de « Common Vulnerabilities and Exposures » ou « Vulnérabilités et Expositions Courantes » afin que le développeur puisse y remédier.
Plusieurs CVE de Zoom ont été publiés en 2020, la pire étant celle qui a permis à un attaquant de s’emparer du microphone et de la caméra d’un utilisateur.
D’autres CVE plus anciens, publiés en 2019, indiquaient qu’un attaquant pouvait lancer un code à distance sur l’appareil d’un utilisateur ciblé ; injecter du code XSS (Cross Site Scripting) et faire monter les privilèges sur un ordinateur distant.
Disposant de l’accès à la caméra et au microphone d’un utilisateur, un attaquant pouvait écouter les conversations et obtenir des données privées des employés d’une organisation. Ce problème permettait l’espionnage d’entreprise ou la divulgation de données sur la propriété intellectuelle privée.
Le fait est que les gouvernements et d’autres grandes organisations utilisent actuellement Zoom pour collaborer, de sorte que les pirates peuvent créer d’énormes dégâts lorsqu’ils exploitent les vulnérabilités de l’application.
Le problème avec Zoom souligne l’importance de choisir le bon logiciel pour les applications professionnelles. Bien qu’une entreprise puisse utiliser des logiciels spécifiques, les employés peuvent encore installer sur leurs propres appareils des applications aléatoires pour pouvoir les utiliser à des fins personnelles.
Les données de l’entreprise sont plus exposées au risque si elles sont stockées et utilisées sur l’appareil personnel d’un utilisateur.
Les logiciels de conférence qui présentent des vulnérabilités constituent donc un des vecteurs d’attaque que les pirates pourraient utiliser pour voler des données sensibles pendant les réunions d’affaires.
Attaque par force brute
Lorsqu’une conférence en ligne est configurée dans Zoom, une identification aléatoire est générée, contenant de 9 à 11 chiffres. En créant une longueur fixe, les nombres peuvent être forcés en brute.
Le forçage brutal d’identifiants de connexion permet aux pirates informatiques de deviner le numéro utilisé pour la connexion en exécutant des scripts.
Et même s’ils ne parviennent pas à faire cela en une seule fois, ils peuvent le faire pendant plusieurs fois jusqu’à ce que le bon numéro soit trouvé.
Après avoir obtenu l’identifiant de connexion, les attaquants peuvent se joindre à une réunion de Zoom et écouter les conversations. Ils peuvent également envoyer des messages aux participants, y compris des liens malveillants.
Par ailleurs, comme Zoom peut vous demander de vous identifier avant de vous joindre à la réunion, l’attaquant peut prétendre être quelqu’un qui travaille pour votre organisation.
Zoom utilise un système de chiffrement qui protège les données lors de leur transfert, mais ce n’est pas possible lorsqu’il est utilisé sur un dispositif local. Ce problème laisse les données vulnérables sur les appareils de l’utilisateur, y compris les Smartphones sur iOS et Android.
Le PDG de Zoom, Eric Yuan, a admis que son application n’a jamais été conçue pour être une application de communication à grande échelle. Elle a été développée pour des rencontres rapides entre certains utilisateurs, et c’est une plateforme gratuite pour une collaboration simple.
Sa popularité croissante est la principale raison pour laquelle elle est devenue la cible des pirates informatiques. Zoom a déjà fait l’objet de plusieurs poursuites judiciaires en raison de sa cybersécurité insuffisante, notamment pour violation de la loi californienne sur la protection de la vie privée des consommateurs.
Bien entendu, la marque a déjà annoncé des mises à jour de sécurité pour corriger ces vulnérabilités.
Protection des données d’entreprise
Comme de nombreux employés continuent de travailler à domicile, les entreprises sont contraintes de protéger leurs données. Cela peut être difficile lorsque les utilisateurs sont à la maison et utilisent leurs propres appareils.
Il existe de nombreux autres outils de collaboration et applications VoIP, et pour les informations hautement sensibles, la communication doit être utilisée avec un logiciel sécurisé doté d’un véritable système de chiffrement de bout en bout.
Mais l’utilisation de différents logiciels de communication n’est pas la seule mesure que vous pouvez prendre pour protéger vos données.
Récemment, les attaquants tentent d’envoyer aux utilisateurs des liens malveillants pour les inciter à divulguer des données sensibles, y compris des informations d’identification privées.
Vous pouvez donc former les utilisateurs à être toujours conscients des dangers du phishing et à vérifier la légitimité des liens avant de saisir leurs informations d’identification.
Au lieu de cliquer sur des liens qui semblent suspects, il est préférable de taper le site web directement dans le navigateur avant de saisir des informations et des données privées.
Les filtres de messagerie des entreprises peuvent également bloquer les liens malveillants et les documents joints, ce qui réduit les risques de phishing.
Vos employés peuvent aussi se connecter au réseau local depuis leur domicile et utiliser la connectivité Internet de votre entreprise. Pour améliorer la sécurité informatique, votre organisation peut utiliser le filtrage DNS pour bloquer les liens malveillants.
Le filtrage DNS empêche vos employés d’accéder à des sites malveillants en effectuant une recherche sur le DNS du site et en le bloquant s’il se trouve sur une liste noire.
La formation des utilisateurs et la cybersécurité de la messagerie électronique empêchent les utilisateurs d’ouvrir des sites malveillants.
Si votre organisation utilise une forme de communication non sécurisée, il est temps d’évaluer votre solution VoIP actuelle et d’en trouver une qui sécurise complètement les utilisateurs contre les agresseurs.
TitanHQ s’engage à fournir une solution sûre de la messagerie électronique et de l’internet à vos clients, partenaires et employés. N’hésitez pas à nous contacter pour que nous puissions trouver une solution pour soutenir au mieux vos efforts pendant cette période difficile.
Actuellement, les entreprises sont confrontées à un défi sans précédent pour faire face aux nouvelles réalités engendrées par la récente épidémie de coronavirus.
Afin de garantir la sécurité de leurs employés, elles sont contraintes d’accroître leur vulnérabilité aux cyberattaques et aux malwares en raison des la nécessité du travail à distance.
Pour aggraver la situation, les pirates informatiques continuent d’opérer, en exploitant la peur et l’anxiété de nombreuses personnes pendant cette période difficile.
Selon CheckPoint Software, les enregistrements de domaines sur le thème du coronavirus sont 50 % plus susceptibles de provenir d’acteurs malveillants. Les chercheurs en cybersécurité ont identifié plusieurs fausses cartes permettant de suivre en temps réel l’évolution de l’épidémie COVID-19. Ces fausses cartes infectent les ordinateurs des gens avec des malwares lorsqu’elles sont ouvertes.
De la même manière que les responsables de la santé nous rappellent constamment de maintenir une bonne hygiène des mains pendant cette période critique, votre personnel informatique interne doit constamment communiquer l’importance de la cyberhygiène pour protéger les utilisateurs, les appareils et l’entreprise dans son ensemble.
Aujourd’hui, TitanHQ a décidé de créer une liste de mesures de cybersécurité de base qui doivent être appliquées régulièrement et communiquées aux employés.
Lignes directrices sur la sécurité des réseaux de travail à distance
Étant donné que de nombreux employés sont invités à (ou obligés de) travailler à domicile, souvent pour la première fois, il est important de les guider afin de les familiariser avec leur nouvelle réalité.
Sensibilisez autant que possible vos employés quant à l’importance de la protection de certains types d’informations de l’entreprise telles que les informations sur les clients et les employés, les secrets commerciaux, la propriété intellectuelle, etc.
Un filtre de prévention des pertes de données (Data Loss Prevention – DLP) est un excellent outil pouvant être utilisé pour scanner les messages pour rechercher les contenus correspondant aux numéros de cartes de crédit et aux numéros de sécurité sociale.
À noter que notre solution de sécurité de la messagerie électronique SpamTitan inclut le filtrage DLP.
Ne permettez pas le partage d’ordinateurs de travail et d’autres dispositifs. Les membres de la famille ne doivent pas avoir accès à un ordinateur professionnel.
Il faut également interdire aux employés de télécharger ou d’enregistrer des informations concernant l’entreprise sur des dispositifs informatiques ou de stockage personnels et dans leur cloud personnel. Vous pouvez créer des politiques via la politique de groupe ou les solutions de codage et de cryptographie (GDR) pour faire respecter cette interdiction.
Rappelez aux employés de déconnecter leur ordinateur lorsqu’ils ne l’utilisent pas à la maison. Cela peut sembler évident au travail, mais les utilisateurs peuvent se sentir plus détendus lorsqu’ils sont hors du bureau pendant une période prolongée. Ceci est particulièrement important lorsque vous travaillez dans des lieux publics.
La trilogie de la cybersécurité
La trilogie de la cybersécurité est simple :
Chiffrement
Protection
Mise à jour.
Cette trilogie est très importante lorsque de nombreux employés travaillent à distance.
Tous les appareils informatiques mobiles des entreprises devraient être équipés d’un système de chiffrement. Il est facile de faire cela pour les versions professionnelles et éducatives de Windows 10 en activant BitLocker.
Vous pouvez créer des politiques pour appliquer BitLocker par le biais d’une politique de groupe ou d’une solution de gestion des données (Master Data Management – MDM). Assurez-vous que toutes les applications web et FTP utilisées pour transmettre des données sont chiffrées.
Vous devrez peut-être modifier les paramètres de protection des tous les points d’accès, des logiciels de sécurité et des utilitaires Windows Update pour vous assurer que tous les ordinateurs continuent à se mettre à jour quotidiennement lorsqu’ils sont hors site afin de les protéger.
Activez les pare-feu locaux pour tous les appareils qui fonctionneront hors site. Le pare-feu Windows Defender peut être activé et configuré par le biais de la politique de groupe ou de votre solution MDM.
Demandez aux employés d’informer le personnel approprié en cas de perte ou de vol de leur appareil d’entreprise. Documentez immédiatement l’événement au cas où les régulateurs seraient impliqués et utilisez les capacités de réinitialisation ou de réinitialisation à distance dont vous disposez.
Filtrage de la messagerie électronique et du web
Les solutions de filtrage des e-mails et du web sont essentielles pour protéger vos appareils qui fonctionneront désormais en dehors du périmètre sécurisé.
La plupart des solutions VPN d’entreprise sont dotées d’une passerelle qui force tout le trafic Internet local à passer par le VPN. Cette fonction doit être activée pour les entreprises qui ne disposent pas de capacités de filtrage du web hors site afin de garantir que tous les paquets web sont filtrés avant d’être transmis.
En raison de sa nature isolante, le travail à distance repose fortement sur les communications numériques et les outils de collaboration tels que Slack, Microsoft Teams et Facebook.
Normalement, les organisations bloquent certains de ces sites, alors assurez-vous qu’ils peuvent être ouverts temporairement et en toute sécurité pour assurer le bon fonctionnement de votre entreprise.
Il convient de restreindre le nombre de personnes autorisées à effectuer de nouveaux virements à l’étranger et de nouvelles demandes de paiement. Créer une politique qui exige que les employés confirment ces types de demandes pour en vérifier l’authenticité car l’interaction en face-à-face n’est pas possible.
Veillez également à fournir des rappels de sécurité quotidiens par e-mail ou par vidéoconférence, par exemple des démonstrations montrant comment inspecter les liens avant de cliquer dessus en vérifiant leur destination URL réelle.
Activez des politiques qui désactivent les macros pour tous les produits de la suite Office, sauf pour les utilisateurs spécifiques qui en ont besoin.
Formez les utilisateurs à être vigilants et sceptiques à l’égard de tout e-mail lié au coronavirus. Pourquoi ? Simplement parce que des e-mails de phishing concernant les remèdes contre le coronavirus, les remboursements d’impôt covid-19, les demandes de dons et les actualités concernant le coronavirus sont diffusées quotidiennement.
VPN (Virtual Private Network) et RDP (Remote Desktop Protocol)
Configurez les clients VPN (Virtual Private Network) pour qu’ils se connectent automatiquement lorsque l’ordinateur est allumé. Ne dépendez pas des utilisateurs pour se connecter manuellement. Les clients VPN ne doivent pas être installés sur une machine qui n’est pas correctement mise à jour ou protégée.
N’autorisez pas les connexions RDP (Remote Desktop Protocol) depuis l’extérieur. Ces types de connexion sont facilement sondés par les pirates qui peuvent alors lancer des attaques de bourrage d’identifiants. N’autorisez les connexions RDP que depuis l’intérieur du réseau. Cela signifie que toute personne travaillant hors site doit d’abord se connecter au réseau de l’entreprise par le biais d’une connexion VPN.
Veillez à créer une zone VPN distincte au sein de votre pare-feu et à mettre en place des politiques de sécurité qui protègent le trafic entrant et sortant.
Activez l’authentification multifacteur (AMF) pour vos connexions VPN afin de confirmer l’identité des employés.
Conclusion
Comme la pandémie oblige de nombreux employés à travailler à domicile, votre organisation peut rester productive et sécurisée.
Les travailleurs à distance ont donc besoin d’une communication claire de la part de votre service informatique sur les questions de soutien et de sécurité.
L’essentiel est de ne pas vous précipiter à fournir un accès à distance, au point de négliger la question de cybersécurité. Alors, restez en sécurité et en bonne santé.
