Selon une étude de Channel Futures, la sécurité est le service qui connaît la croissance la plus rapide pour 73 % des fournisseurs de services managés (MSP).
Si vous n’avez pas encore commencé à offrir des services de sécurité à vos clients, vous manquez un revenu régulier qui pourrait vraiment augmenter vos profits. Mais par où commencer ? Quels services devriez-vous vous offrir ? Dans ce dossier, nous allons explorer la pile de sécurité idéale pour les MSP et les services essentiels qui devraient figurer dans leur offre de sécurité web.
Pourquoi la sécurité managée est-elle très importante ?
En tant que MSP, vous devez être conscient de l’importance de la sécurité. Les entreprises sont la cible de cybercriminels et le nombre d’atteintes à la protection des données augmente à un rythme alarmant. Il ne s’agit plus de savoir si une entreprise sera attaquée, mais quand et à quelle fréquence.
De nombreuses PME n’ont pas de personnel suffisamment qualifié pour gérer efficacement leur parc informatique et il est beaucoup plus facile, et souvent plus rentable, de confier sa gestion à des prestataires externes, c’est-à-dire les MSP. Il en va de même pour la sécurité web, mais force est de constater qu’il est de plus en plus difficile de trouver du personnel de cybersécurité suffisamment qualifié. Avec autant de postes disponibles et une pénurie nationale de personnel dans ce domaine, car les professionnels de la cybersécurité se permettent de choisir les entreprises avec lesquelles ils vont travailler.
Pourtant, les PME doivent s’assurer qu’elles sont bien protégées contre les cyberattaques. Ainsi, elles se tournent vers les MSP pour leur fournir la sécurité en tant que service, soit comme une mesure provisoire, tout en essayant de combler les postes internes. D’autres, quant à elles, se tournent vers les MSP pour que ces derniers puissent assurer entièrement la sécurisation de leur parc informatique.
Si vous ne fournissez pas de services de sécurité à vos clients, il est fort probable qu’ils vont se tourner vers un autre MSP qui sera en mesure de protéger leur entreprise contre les menaces telles que les malwares, les ransomwares, le phishing, les botnets et les atteintes à la protection des données.
Que veulent les PME en matière de cybersécurité ?
Les PME sont peut-être conscientes du besoin de sécurité, mais elles ne sont peut-être pas au courant des solutions dont elles ont besoin pour se protéger contre les cybermenaces. Vous devriez peut-être leur expliquer exactement ce dont elles ont besoin et pourquoi. Lorsque vous leur expliquez l’importance d’adopter une solution de cybersécurité, il est préférable de mettre l’accent sur la nécessité d’une sécurité multicouches. En effet, il n’existe pas de solution unique pour se protéger contre toutes les menaces et vous devrez informer vos clients à ce sujet.
La sécurité multi-couches est essentielle pour se protéger contre les menaces cybercriminelles croissantes. Aucune solution unique n’assurera une protection totale. Vous avez besoin de plusieurs solutions qui se chevauchent, de sorte que si une pile est contournée, d’autres couches pourront bloquer l’attaque.
De nombreuses PME ne mettent en place des services de sécurité qu’après avoir subi une atteinte coûteuse à la protection des données. En étant proactif et en informant vos clients que vous pouvez leur offrir des services de sécurité fiables, vous aurez plus de chances d’augmenter rapidement vos ventes. En même temps, vous aiderez vos clients à éviter une atteinte coûteuse à la protection des données.
Quelle est la pile de sécurité idéale pour les MSP ?
Le meilleur point de départ est un ensemble de mesures de cybersécurité qui comprend les services de sécurité de base dont toutes les entreprises ont besoin pour se protéger contre un large éventail de menaces. Différents forfaits peuvent être offerts en fonction du niveau de protection dont vos clients ont besoin et de leur niveau de tolérance au risque. Des services supplémentaires peuvent toujours être fournis en complément.
Il existe quatre services de sécurité clés que vous devriez proposer à vos clients afin de leur offrir une protection de niveau fiable, c’est-à-dire, pour sécuriser leurs réseaux et les protéger contre les principaux vecteurs d’attaques.
La pile de sécurité idéale pour les MSP diffère d’une entreprise à l’autre et en fonction du type de client. Cela peut prendre un certain temps pour trouver la pile de sécurité idéale. Pourtant, il existe certains services de sécurité de base que les entreprises doivent mettre en œuvre.
Services de sécurité de base pour les fournisseurs de services mobiles
Pare-feu
Sécurité de la messagerie électronique
Filtrage DNS
Sécurité des nœuds d’extrémité
Les pare-feu sont essentiels pour sécuriser le périmètre réseau et séparer les réseaux fiables de ceux qui ne sont pas fiables. Ils peuvent protéger les ressources et l’infrastructure du réseau contre tout accès non autorisé. Parfois, il peut même être nécessaire de mettre en place plusieurs pare-feu.
La sécurité du courrier électronique est essentielle, car l’e-mail est le vecteur d’attaque le plus courant. Sans la sécurité de la messagerie électronique, les e-mails malveillants et les e-mails de phishing atteindront les boîtes de réception des utilisateurs finaux. La capacité de votre employé à réagir face aux attaques cybercriminelles sera donc régulièrement mise à l’épreuve. Autrement dit, vous ne devez pas sous-estimer les menaces d’attaques par e-mail.
Les MSP doivent expliquer à leurs clients le fonctionnement de la sécurisation de la messagerie électronique pour s’assurer qu’ils soient conscients de son importance. De cette manière, ils vont également comprendre pourquoi certaines solutions de sécurité standard de la messagerie électronique, telle que celle fournie par Microsoft via Office 365, n’est tout simplement plus adaptée.
Trop de menaces parviennent à contourner les défenses d’Office 365. Une étude réalisée par Avanan a montré que 25 % des e-mails de phishing contournent la sécurité d’Office 365 et sont livrés dans des boîtes de réception des utilisateurs finaux.
Le filtrage DNS est également nécessaire pour se protéger contre les attaques cybercriminelles telles que la publicité malveillante, les téléchargements par drive-by et les kits d’exploitation.
Même les meilleures solutions de sécurité de messagerie ne bloquent pas toutes les menaces de phishing. Sur ce point, le filtrage DNS peut fournir une couche de sécurité supplémentaire pour se protéger contre les attaques de phishing. Alors que la messagerie électronique était autrefois la principale méthode de diffusion de malwares, aujourd’hui, ces deniers sont le plus souvent diffusés par le biais d’attaques via le web. Selon les récentes statistiques, un utilisateur professionnel moyen rencontre environ trois liens malveillants par jour et 80 % des malwares sont téléchargés via le web.
Par ailleurs, comme de plus en plus d’employés passent au moins une partie de la semaine à travailler à distance, il faut protéger les points d’accès Wi-Fi publics. Le filtrage DNS assure cette protection lorsqu’ils sont hors réseau.
Les solutions de sécurité des nœuds d’extrémité ajoutent une couche supplémentaire à la pile de sécurité. Si l’une des solutions ci-dessus échoue et que des malwares sont téléchargés, les solutions de sécurité des nœuds d’extrémité fourniront une protection supplémentaire. Il peut s’agir d’une protection de base comme un logiciel antivirus ou de solutions plus avancées comme des systèmes de détection d’intrusion.
Lorsque vous choisissez des solutions pour votre pile de sécurité, il est important de vous assurer qu’elles fonctionnent parfaitement ensemble. Voici pourquoi il n’est pas intéressant, ou tout simplement difficile, d’acheter plusieurs solutions de sécurité auprès d’un grand nombre de fournisseurs différents.
Services supplémentaires à ajouter à votre pile de sécurité
Les services de sécurité ci-dessus devraient être au cœur de votre offre de sécurité, mais il existe de nombreux services supplémentaires que vous pouvez facilement ajouter pour proposer à vos clients une meilleure protection. Ceux-ci peuvent être fournies en tant qu’Add-ons ou dans le cadre de packages de sécurité plus complets.
Protection contre la perte de données
Service d’assistance en matière de sécurité
Services d’archivage et de sauvegarde des e-mails
Analyse de vulnérabilité et gestion des correctifs
Gestion de la politique de sécurité
Gestion des informations et des événements de sécurité
Intervention en cas d’incident et mesures correctives
Formation de sensibilisation à la sécurité et simulations de phishing par e-mail
Comment TitanHQ peut-il vous aider ?
TitanHQ est le leader mondial des solutions de sécurité web et de messagerie dans le cloud pour les PME et PMI. Les produits de la marque sont toujours bien notés par les MSP pour le niveau de protection et de support qu’ils fournissent, leur facilité d’utilisation et de gestion.
Le portefeuille de produits de cybersécurité de TitanHQ se compose de trois solutions de base :
Sécurité de la messagerie électronique – SpamTitan
Filtre DNS – WebTitan
Solution d’archivage des e-mails – ArcTitan
Chacune de ces solutions possède une architecture 100 % basée dans le cloud et a été développée pour que les MSP puissent facilement l’intégrer dans leurs piles de sécurité. TitanHQ offre des déploiements transparents et une intégration facile dans les portails de gestion MSP via RESTful API.
Les solutions ci-dessus peuvent être fournies avec plusieurs options d’hébergement. En réalité, vous pouvez choisir la solution sur votre infrastructure existante ou dans le cloud avec AWS, Azure ou tout autre système.
Toutes les PME veulent être protégées contre les menaces cybercriminels, mais beaucoup d’entre elles ne se soucient pas des solutions de sécurité qu’elles utilisent. En tant que MSP, vous pouvez considérer ce fait comme une occasion de renforcer votre marque. Ceci est facilement réalisable avec TitanHQ, car les solutions ci-dessus peuvent être fournies sous forme de marque blanche, prêtes pour que vous puissiez ajouter votre propre marque. Vous pouvez même personnaliser l’interface utilisateur et n’inclure que les fonctionnalités dont vous avez besoin pour rendre vos solutions multicouches moins complexes.
Besoin de rapports pour vos clients ? Là aussi, vous n’avez aucun souci à faire. La solution de TitanHQ intègre une large gamme de rapports préconfigurés qui peuvent être planifiés pour alléger votre charge administrative, y compris les rapports au niveau du conseil d’administration, avec la possibilité de créer vos propres rapports pour répondre à vos besoins et à ceux de vos clients.
Parmi les autres caractéristiques clés pour les MSP, on compte :
Le tableau de bord multi-locataires
La gestion automatisée des politiques d’utilisation
La surveillance continue
La visibilité totale de l’utilisation
La flexibilité et la transparence des Prix (avec facturation mensuelle)
L’allègement des tâches administratives
Le support à la clientèle de classe mondiale qui est inclus avec toutes les solutions
L’intégration Active Directory
Les marges généreuses pour les MSP
L’excellent programme MSP – TitanShield – avec des directeurs de comptes dédiés, des ingénieurs commerciaux affectés, un support avant-vente et technique évolutif ainsi qu’une formation commerciale et technique.
Grâce à TitanHQ, MSP pourront désormais offrir facilement des services de sécurité fiables à leurs clients. Ces solutions aideront également les fournisseurs de sécurité en tant que service à alléger leur charge de gestion et à améliorer leurs marges.
Pour en savoir plus sur le programme TitanShield, ou pour obtenir plus d’informations sur l’une ou l’autre des solutions de sécurité TitanHQ pour les MSP, contactez dès aujourd’hui notre équipe. Des démonstrations de produits peuvent être organisées et des essais gratuits de 14 jours sont disponibles pour vous permettre de constater par vous-même pourquoi TitanHQ est actuellement le principal fournisseur de solutions de sécurité web et de messagerie pour les MSP.
Les fraudeurs se sont fait passer pour un entrepreneur en construction qui construisait une nouvelle école secondaire dans le comté et ont réussi à rediriger un paiement de plus de 2,2 millions d’euros vers leur compte.
Un des comptes de messagerie de l’entrepreneur a été compromis, ce qui a permis aux pirates d’envoyer à une personne-ressource du comté un e-mail lui demandant de changer le compte bancaire qu’il utilise habituellement.
Toute demande de changement de ce genre devait naturellement passer par des chèques, mais comme les escrocs avaient envoyé toute la documentation appropriée, les renseignements bancaires ont été modifiés.
Les fraudeurs ont ensuite attendu que le prochain paiement régulier soit effectué. Ce paiement était de plus de 2,2 millions d’euros.
Lorsque Branch and Associates n’a pas reçu et demandé le paiement manquant, une enquête a été ouverte, laquelle a permis de découvrir l’arnaque au président. Les banques concernées ont été informées de geler les comptes afin d’éviter que l’argent ne soit retiré, mais malgré leurs réponses rapides, les banques n’ont pu récupérer qu’environ 705 000 euros. Les fraudeurs avaient donc réussi à détourner plus de 1 570 000 euros vers divers comptes et avaient empoché l’argent.
Le comté était protégé par une police d’assurance, mais celle-ci ne couvrait qu’environ 68 000 euros. Ainsi, une tranche de 1 500 000 euros a dû être couverte par le comté, en plus des coûts de l’enquête, de la mise en œuvre de mesures de sécurité supplémentaires et de l’augmentation du coût de ses primes d’assurance après avoir présenté une réclamation aussi importante.
Dans ce cas-ci, le transfert était beaucoup plus important que la moyenne des virements télégraphiques frauduleux liés aux attaques BEC.
Pourtant, les transferts de cette ampleur sont loin d’être inhabituels. Les chiffres publiés par le bureau du département du Trésor des États-Unis (FinCEN) montrent une augmentation de 172 % des pertes dues aux attaques BEC depuis 2016. La fréquence des attaques augmente également. En 2018, 1100 arnaques similaires ont été signalées par les entreprises et 310 millions de dollars par mois ont été perdus à cause de telles attaques.
Le rapport du FinCEN montre que les entreprises des secteurs de la fabrication et de la construction sont les plus couramment ciblées et font face au plus grand risque d’attaque. Mais toutes les entreprises doivent être conscientes d’une telle menace et devraient prendre des mesures pour réduire ce risque.
La défense contre les attaques BEC nécessite une variété de garanties techniques et administratives. Force est toutefois de dire qu’il n’y a pas de solution unique qui puisse être mise en œuvre pour détecter et bloquer toutes les attaques de ce genre.
Les attaques BEC commencent généralement par un e-mail de phishing. Il faut donc prendre des mesures pour améliorer la sécurité des e-mails. Les solutions avancées de sécurité de messagerie telles que SpamTitan peuvent identifier et bloquer les attaques BEC. SpamTitan offre également une protection contre la deuxième étape de l’attaque. En plus d’analyser tous les e-mails entrants, SpamTitan analyse également les e-mails sortants à la recherche de menaces potentielles provenant de l’intérieur de votre organisation.
Toutes les menaces ne peuvent pas être bloquées, même avec des défenses de sécurité très avancées. Il est donc essentiel que le personnel soit formé à l’identification des menaces potentielles par e-mail. Des politiques et des procédures devraient également être mises en place en ce qui concerne les modifications des pouvoirs bancaires et les demandes par messagerie électronique pour les virements bancaires d’un montant supérieur à un montant recommandé à l’avance.
Les entreprises qui ne prennent pas de mesures pour réduire les risques pourraient bien voir les pertes qu’elles auront subi du prochain rapport annuel du FinCEN concernant les attaques BEC.
Si vous n’avez pas implémenté de solution anti-spam, si vous n’êtes pas satisfait de votre fournisseur actuel, ou si vous utilisez Office 365 pour la messagerie électronique, contactez l’équipe TitanHQ dès aujourd’hui pour en savoir plus sur l’amélioration de votre dispositif de sécurité et sur la possibilité d’améliorer vos systèmes de sécurité informatique contre les attaques BEC.
Une campagne de phishing a touché Equifax, une société qui permet aux citoyens américains d’obtenir leur credit score ainsi que leur dossier de crédit personnel complet en quelques minutes. Les données personnelles de 143 millions de clients ont été volées.
Plusieurs poursuites ont été intentées contre Equifax au sujet de cette fuite de données. L’une d’entre elles est celle déposée par la Federal Trade Commission. Suite à cela, l’organisation a obtenu 620 millions d’euros. Ce chiffre comprend un fonds de plus de 384 millions d’euros destiné à couvrir les demandes d’indemnisation des personnes victimes d’une atteinte à leur vie privée.
En effet, les clients d’Equifax qui ont été touché par la violation de leurs données personnelles ont le droit de présenter des réclamations. Compte tenu du nombre élevé de victimes, les fraudeurs avaient plus de chance de réussir leurs actes d’escroquerie.
Pour déposer leurs réclamations, les victimes doivent visiter un site web mis sur pied par Equifax, à savoir equifaxbreachsettlement.com. Mais les cybercriminels ont créé une pléthore de faux sites qui ressemblent de près à ce site web authentique d’Equifax, avec des noms de domaine tout aussi factices, mais réalistes.
Lorsque le demandeur soumet une demande de règlement sur le site web authentique, il doit entrer ses coordonnées et présenter sa demande. Il peut choisir de recevoir le paiement par carte prépayée ou par chèque envoyé via la poste. Pourtant, il ne doit en aucun cas entrer un numéro de sécurité sociale, des renseignements sur son compte bancaire ou sur sa carte de crédit.
Des campagnes de spam à grande échelle ont été menées pour inviter les victimes de l’infraction à soumettre leur réclamation et à recevoir leurs indemnisations. Des hyperliens ont été intégrés dans les messages malveillants qui les renvoient à de fausses pages web d’Equifax pour qu’ils puissent déposer leurs demandes d’indemnisation.
Après avoir accédé à ces pages web de phishing, les utilisateurs sont guidés lorsqu’ils passent par une série d’étapes. Ils doivent entrer leurs coordonnées et d’autres renseignements de nature délicate pour confirmer leur identité. En outre, ils doivent fournir des renseignements sur leurs comptes bancaires pour traiter les remboursements par virement direct.
Après avoir entré toutes ces informations, la réclamation est soumise, et l’utilisateur ignore que ses informations sensibles ont été volées.
Tout e-mail relatif au règlement d’Equifax sur l’atteinte à la protection des données devrait en effet être traité comme potentiellement suspect. Quiconque veut faire une demande d’indemnisation devrait également visiter le site equifaxbreachsettlement.com.
Les systèmes scolaires sont censés être des environnements sûrs où les enfants peuvent venir apprendre. Malheureusement, les cybercriminels ont autre chose à dire à ce sujet. Actuellement, un district scolaire américain est victime d’une cyberattaque presque tous les trois jours. Dans un rapport publié par Malwarebytes, « 2019 State of Malware », l’éducation, la fabrication et la vente au détail étaient les principales industries touchées par les chevaux de Troie.
L’éducation était en fait l’une des principaux secteurs les plus touchées par Emotet, le cheval de Troie le plus répandu et le plus insaisissable. Selon le fournisseur de pare-feu, Fortinet, l’éducation est aussi le secteur le plus ciblé par les demandeurs de rançon. 13 % des établissements d’enseignement ont subi des attaques de ransomwares à un moment donné.
Comment se fait-il que les systèmes scolaires soient exploités si facilement et si fréquemment ? Le fait est que les établissements scolaires de la maternelle à la terminale sont actuellement confrontés à des défis de taille. Voici quelques-uns des principaux défis auxquels les systèmes scolaires sont confrontés.
Les établissements scolaires ne sont pas assez réactifs face à l’explosion des cybermenaces
La mission des établissements scolaires est d’éduquer les enfants. L’objectif du département informatique des établissements scolaires est de soutenir la technologie sur laquelle les enseignants comptent. Traditionnellement, cela signifie qu’il faut déployer et soutenir des dispositifs informatiques pour le personnel et les élèves et s’assurer que les projecteurs de classe fonctionnent correctement.
Ce n’est pas une seconde nature pour le personnel des établissements scolaires de commencer sa journée à rechercher les menaces à la sécurité. Ce n’est pas une mauvaise chose. Cela s’explique en grande partie par le fait que l’accent est mis sur l’éducation des enfants. Une enquête publiée par la National School Boards Association a révélé que les responsables scolaires sont moins préparés aux cyberattaques que leurs pairs des entreprises du secteur privé.
Dans une enquête récente sur les CTO K12, plus de 70 pour cent ne considèrent pas les cyberattaques telles que les atteintes à la protection des données, les logiciels de rançon ou les attaques par déni de service comme des menaces graves. Les bonnes nouvelles de la même étude ont toutefois montré que plus de la moitié d’entre eux considèrent maintenant les escroqueries de phishing comme un problème important et que l’accent est mis sur la sécurité du courrier électronique.
Contraintes budgétaires en matière de technologie de l’information
Selon le Consortium for School Networking (CoSN), la principale barrière pour 6 des 7 dernières années est la contrainte budgétaire. Bien que toutes les entreprises et organisations aient des budgets qu’elles doivent respecter, les budgets sont beaucoup plus restreints que ceux du secteur privé. C’est parce que les budgets sont fondés sur des estimations des recettes fiscales. Il n’y a pas de caisse noire importante sur laquelle se tourner pour acheter un système de sécurité imprévu au besoin. De plus, les recettes fiscales fluctuent en fonction des cycles économiques de la région. En période de prospérité économique, les districts peuvent profiter d’importantes rentrées fiscales et maximiser leurs achats d’appareils et de technologies éducatives. Puis, lorsqu’un ralentissement économique se produit, l’argent nécessaire pour sécuriser et entretenir correctement ces appareils n’est pas disponible. La technologie qui n’appuie pas l’enseignement est souvent mise en veilleuse jusqu’à ce que les temps s’améliorent.
Insuffisance du personnel informatique et de sécurité de l’information
Soyons réalistes, la plupart des districts scolaires n’ont pas le personnel nécessaire pour protéger suffisamment leurs grands réseaux. Cela s’explique en grande partie par des contraintes budgétaires. Il est déjà assez difficile pour les grands districts métropolitains d’obtenir le personnel dont ils ont besoin, alors que certains districts ruraux doivent compter sur le personnel à temps plein qui connaît le mieux la technologie. Quand il s’agit de cybersécurité, c’est encore pire. Selon une enquête CoSN de l’année dernière, seulement 25 % des établissements scolaires ont un membre du personnel à plein temps dédié à la sécurité des réseaux. Dans les écoles rurales, ce chiffre tombe à seulement 8 %.
Shadow IT
Le Shadow IT est un problème pour tous les types d’organisations en raison de la consumérisation de l’informatique. Il n’est pas rare que les administrateurs scolaires ou les enseignants fassent des achats de technologie sans le consentement ou même sans que le département de technologie du système en soit informé. Dans ces cas, les équipements et les logiciels sont achetés avec peu ou pas d’égard pour la cybersécurité. Certains enseignants apportent leur propre équipement technologique personnel, comme des imprimantes, des appareils informatiques et des points d’accès WiFi. Parce que ces appareils ne sont pas prêts pour l’entreprise, ils n’ont souvent pas les normes de sécurité requises pour les réseaux qui sont activement ciblés par les cybercriminels. Naturellement, il est impossible pour le personnel technologique interne de protéger ce qu’il ne connaît pas.
Infrastructure patrimoniale
Là encore, en raison de contraintes budgétaires, de nombreux systèmes scolaires ne disposent pas des technologies les plus récentes. Il n’est pas rare de trouver des appareils de classe utilisant des systèmes d’exploitation obsolètes tels que Windows XP ou des logiciels qui ne sont plus supportés du tout. Ces dispositifs ne sont pas corrigés lorsque des vulnérabilités sont découvertes. Les serveurs et les périphériques réseau obsolètes tels que les routeurs et les pare-feu sont souvent en proie à des protocoles de sécurité obsolètes qui offrent une protection minimale sinon nulle.
Manque de sensibilisation et de formation en matière de sécurité
Pour beaucoup d’enseignants, il n’y a pas assez de temps dans la journée. Les enseignants et le personnel doivent déjà jongler avec leur temps pour le personnel professionnel et la formation pédagogique. Le personnel informatique est surchargé dans tout le district et soutient tout le monde et leurs appareils. Et puis, bien sûr, il y a les étudiants. Étant donné qu’un si grand nombre de districts mettent maintenant en œuvre des programmes d’appareils individuels, les jeunes élèves des écoles intermédiaires et élémentaires utilisent des ordinateurs. Bien sûr, personne ne peut s’attendre à ce qu’ils pratiquent une bonne cyberhygiène à un si jeune âge. Tout cela rend la formation des utilisateurs pour qu’ils soient conscients de la sécurité extrêmement difficile.
Partout aux États-Unis, les districts K12 se démènent pour se protéger contre les cyberattaques, qui prennent la forme de courriels hameçons, de logiciels malveillants et d’atteintes à la protection des données. En fin de compte, ce sont tous des défis, et les défis ne sont pas des limites permanentes. Être prêt à faire face à ces menaces comprend l’élaboration et la promotion de politiques sur l’utilisation responsable, le stockage sécurisé des données, la mise en œuvre d’une sécurité et de sauvegardes complètes par couches du courrier électronique et du Web. Les défis peuvent être surmontés et les districts commencent à trouver des moyens d’accomplir le travail, malgré les épreuves et les circonstances uniques que d’autres types d’organisations n’ont pas à endurer.
Vous êtes un professionnel de l’informatique dans une école et vous voulez vous assurer que les données et les appareils sensibles de l’école, des élèves et du personnel sont protégés ? Parlez à un spécialiste ou envoyez-nous un courriel à info@titanhq.fr pour toute question.
Les escroqueries liées à la compromission des e-mails d’affaires (BEC – Business Email Compromise) sont maintenant la principale cause des pertes financières liées aux cyberattaques. Des milliards sont perdus chaque année et on prévoit que le nombre d’attaques et de pertes continuera d’augmenter.
Business Email Compromise : quelles sont les pertes ?
Environ 1 % du PIB mondial est perdu chaque année à cause de la cybercriminalité et ce chiffre augmente rapidement. Actuellement, environ 600 milliards de dollars sont perdus chaque année à cause des attaques cybercriminelles. Un rapport publié par le bureau du département du Trésor des États-Unis, Financial Crimes Enforcement Network ou FinCEN, le juillet 2018 montre que les déclarations d’activités suspectes (DAS) sont passées de plus de 98 millions d’euros par mois en 2016 à plus de 270 millions d’euros par mois en 2018. Cybersecurity Ventures prévoit que les pertes mondiales atteindront près de 5,4 milliards de dollars en 2021. Selon le FBI, plus d’un milliard d’euros ont été perdus aux États-Unis en 2018 à cause d’escroqueries liées à la compromission des emails professionnels.
Business Email Compromise : comment fonctionne l’attaque ?
Les emails de Business Email Compromise impliquent l’usurpation de l’identité d’un cadre supérieur ou d’une autre personne, dont le compte e-mail compromis est utilisé pour envoyer des demandes frauduleuses de virement électronique. Une autre variante vise à usurper l’identité d’un associé de l’entreprise et les demandes envoyées exigent des rançons qui doivent être d’être payés. Cette dernière est maintenant plus fréquente que les attaques qui usurpent l’identité du PDG.
Les attaques BEC commencent généralement par une attaque de spear phishing dont le but est d’obtenir des informations d’identification de compte de messagerie. Une fois les informations d’identification compromises, le compte est utilisé pour envoyer des messages à d’autres personnes de l’organisation, telles que les employés du service de la paie, le personnel des ressources humaines ou de la finance. Comme les e-mails semblent provenir d’une source fiable au sein de l’organisation et les demandes de virement bancaire ne sont pas inhabituelles, le paiement est souvent effectué.
Une attaque réussie peut entrainer des virements bancaires importants effectués sur des comptes contrôlés par les attaquants. Les paiements s’élèvent souvent à des dizaines de milliers d’euros ou, dans certains cas, à plusieurs millions d’euros. Une attaque récente contre une filiale du constructeur automobile Toyota Boshoku Corporation a donné lieu à un transfert frauduleux de plus de 33 millions d’euros aux agresseurs.
Bien que cet incident se distingue des autres par l’ampleur de la perte d’argent causée, les transferts frauduleux de millions d’euros sont loin d’être inhabituels. Dans de nombreux cas, seul un faible pourcentage des fonds transférés est recouvré. Comme ces attaques peuvent être extrêmement rentables, il n’est pas surprenant que tant de cybercriminels le fassent.
Un nouveau rapport de l’assureur AIG montre que les attaques BEC sont maintenant la principale raison des réclamations d’assurance liées à la cybersécurité, ayant dépassé pour la première fois les attaques de ransomwares. 23 % de toutes les réclamations liées aux cyberattaques sont dues à des escroqueries de la BEC.
Business Email Compromise : comment éviter ces attaques ?
Dans la plupart des cas, ces attaques BEC peuvent être évitées grâce à des mesures de cybersécurité de base. AIG attribue l’augmentation des réclamations à de mauvaises mesures de sécurité dans les organisations ciblées. Les enquêtes ont révélé de nombreuses défaillances de base en matière de cybersécurité, comme le fait de ne pas offrir de formation de sensibilisation à la sécurité aux employés, le fait de ne pas imposer l’utilisation de mots de passe forts, l’absence d’authentification multifactorielle et la faiblesse des contrôles de sécurité de la messagerie.
Si les entreprises ne parviennent pas à mettre en œuvre ces mesures de cybersécurité de base, les attaques sont inévitables. Les polices d’assurance peuvent couvrir une partie des pertes, mais de nombreuses PME ne seront pas en mesure de faire une réclamation. Pour eux, les attaques BEC peuvent être catastrophiques.
Si vous dirigez une entreprise et que vous vous inquiétez de vos défenses contre le phishing, le spear phishing et les attaques BEC, contactez TitanHQ. Nous nous ferons un plaisir de vous faire découvrir nos solutions de sécurité web qui peuvent bloquer les attaques BEC.
Après un été tranquille, le botnet Emotet est de retour. Les acteurs de la menace derrière Emotet envoient des centaines de milliers de spams malveillants qui diffusent le cheval de Troie Emotet via des documents Word.
Emotet est apparu pour la première fois en 2014. Initialement, ce botnet était considéré comme un cheval de Troie bancaire utilisé pour obtenir des informations d’identification sur les comptes bancaires en ligne. Les justificatifs d’identité volés sont utilisés pour effectuer des virements télégraphiques frauduleux et pour vider les comptes bancaires des entreprises. Au fil des ans, le cheval de Troie a considérablement évolué. De nouveaux modules ont été ajoutés pour donner au malware une multitude de fonctionnalités. Emotet est également polymorphe, ce qui signifie qu’il peut muter à chaque fois qu’il est téléchargé pour éviter d’être détecté par les solutions antimalware basées sur des signatures. Jusqu’au début de 2019, plus de 750 variantes d’Emotet ont été détectées.
La dernière version d’Emotet est capable de voler les informations bancaires et d’autres types de données. Il est également capable de télécharger des malwares, et c’est pour cela que les chercheurs en matière de sécurité l’appellent « malware à triple menace », étant donné qu’il a été utilisé récemment pour télécharger les ransomwares TrickBot, Trojan et Ryuk. Ces trois malwares et l’ampleur de la menace font d’Emotet l’un des vecteurs d’attaques cybercriminelles les plus dangereuses auxquelles doivent faire face les entreprises. C’est sans doute le botnet le plus destructeur jamais vu.
L’été dernier, l’activité d’Emotet était si intense et la menace si grave que le ministère de la Sécurité intérieure américain a lancé une alerte à destination de toutes les entreprises en juillet 2018 pour les prévenir de la menace.
Cette mise en garde a été reprise par le National Cyber Security Center du Royaume-Uni, qui a publié sa propre mise en garde contre ce malware en septembre 2018. L’activité est restée élevée pendant une bonne partie de l’année 2019, mais s’est soudainement arrêtée au début du mois de juin lorsque l’activité du serveur de commandement et de contrôle est tombée à presque rien.
L’interruption de l’activité n’a été que brève. Les chercheurs de Cofense Labs ont découvert que ses serveurs de commande et de contrôle avaient été réactivés fin août et qu’une campagne massive de spamming avait débuté le 16 septembre en Allemagne. La campagne était initialement axée sur les entreprises aux États-Unis, en Allemagne et au Royaume-Uni, mais elle s’est maintenant étendue à l’Autriche, l’Italie, la Pologne, l’Espagne et la Suisse.
Après avoir été téléchargé, Emotet se propage latéralement et infecte autant d’appareils que possible sur le réseau. Les comptes de messagerie sur les machines infectées sont détournés et utilisés pour envoyer d’autres spams à tous les contacts du compte. Enfin, le module de téléchargement de logiciels malveillants est utilisé dans une variante secondaire et souvent tertiaire des logiciels malveillants.
La dernière campagne utilise des documents Word contenant des macros malveillantes, qui lancent des scripts PowerShell et qui récupèrent le cheval de Troie Emotet sur une variété de sites web compromis, dont la plupart utilisent le CMS WordPress.
La campagne utilise une variété de leurres, y compris des factures, des avis de paiement et des relevés, dont les détails sont contenus dans des documents Word qui exigent que le contenu soit activé pour voir le contenu du document.
En ouvrant le document, l’utilisateur est invité à accepter le contrat de licence Office 365. Si le contenu n’est pas activé, selon le document, les fonctions de Microsoft Word seront désactivées.
Cette campagne comprend des lignes d’objet personnalisées incluant le nom du destinataire afin d’augmenter la probabilité qu’un utilisateur prenne l’action demandée. Les e-mails sont également conçus pour faire croire au destinataire qu’il a déjà communiqué avec l’expéditeur. En réalité, environ un quart des attaques utilisent ce genre d’arnaque. Selon les données fournies par Cofense, des courriels ont été envoyés à partir de 3 362 comptes de messagerie piratés, utilisant 1 875 noms de domaine.
Pour le moment, on ne sait pas encore si des logiciels de ransomware Ryuk ont été distribués dans le cadre de cette campagne. Plusieurs chercheurs ont confirmé que TrickBot est téléchargé en tant que charge utile secondaire.
Pour bloquer les attaques de malwares polymorphes, vous pouvez mettre en œuvre des mesures de sécurité multicouches, y compris une solution avancée de filtrage de spams, un logiciel antivirus et un filtre web. Vous devez également vous assurer que vos employés sont informés des éventuelles menaces cybercriminelles et des e-mails qui sont utilisés pour distribuer des chevaux de Troie.
