Les e-mails restent la principale source de communication pour les entreprises. Cependant, certains employés continuent d’envoyer, de recevoir et d’ouvrir des messages et des pièces jointes malveillants, sans penser au risque potentiel que ces messages peuvent faire courir à leur entreprise.
La sécurité de la messagerie électronique est un risque critique pour de nombreuses entreprises. En réalité, plus de 91 % des attaques réussies sur les réseaux d’entreprise résultent des attaques de phishing et d’une attaque ciblant les utilisateurs finaux dans une entreprise via la messagerie électronique. Ceci peut causer de préjudices à votre organisation et les conséquences sont souvent graves.
Voici donc une liste des meilleurs moyens d’assurer la sécurité de vos e-mails.
1. Utilisez des mots de passe sûrs pour améliorer la sécurité des emails
Il est peu surprenant de voir à quel point la plupart des mots de passe utilisés pour la messagerie électronique sont faibles. Mais il ne faut pas également utiliser des mots de passe trop compliqués. Un « bon » mot de passe comporte au moins 10 caractères, avec un mélange de majuscules et de minuscules. Il doit également comporter au moins un chiffre et un caractère spécial.
2. Utilisez le protocole TLS (Transport Layer Security) ou SSL (Secure Sockets Layer)
Les protocoles TLS et SSL sont très similaires. Ils permettent d’envoyer vos e-mails en toute sécurité entre votre ordinateur et votre service SMTP. Mais votre service SMTP doit aussi être en mesure de chiffrer correctement les messages envoyés entre lui-même et le serveur de messagerie de vos destinataires. Ce processus d’envoi d’e-mails nécessite par ailleurs que le serveur de messagerie de vos destinataires prenne en charge les protocoles TLS et/ou SSL.
3. Installez un logiciel antivirus sur chaque ordinateur
Cela contribuera à sécuriser votre service de messagerie électronique, mais aussi vos ordinateurs. Il existe de nombreuses options comme Bitdefender, ClamAV, Webroot, Norton, Kaspersky, etc.
4. Créez un nom d’utilisateur SMTP différent pour chaque expéditeur
Plusieurs personnes peuvent vous envoyer des e-mails dans votre entreprise. En fait, si votre ordinateur est piraté et qu’il commence à envoyer du spam, vous pouvez facilement désactiver le nom de l’utilisateur SMTP sans affecter les autres utilisateurs. Vous devez également changer le mot de passe de l’ordinateur infecté et son compte SMTP.
5. Soyez extrêmement prudent lorsque vous ouvrez des pièces jointes
Lorsque vous recevez un e-mail, il faut toujours l’analyser, notamment la pièce jointe, avant de l’ouvrir, surtout si le message provient d’une personne que vous ne connaissez pas. Sachez que neuf virus ou malwares sur dix atteignent les ordinateurs via les pièces jointes.
6. Pensez au chiffrement des e-mails sensibles
Grâce au chiffrement des e-mails, votre entreprise peut protéger les communications via la messagerie électronique avec le plus haut niveau de sécurité. La messagerie électronique est basée sur le protocole SMTP qui circule généralement sur Internet sans être chiffré. Lorsque vous envoyez un message, il peut être transmis en texte clair sur d’autres réseaux locaux et sur Internet. Une personne aux intentions malveillantes peut donc le falsifier, et les informations sur l’expéditeur peuvent être facilement usurpées.
7. N’utilisez pas votre adresse électronique dans les lieux publics
Si vous devez utiliser votre adresse électronique lorsque vous vous connectez à un WiFi public, il est recommandé d’utiliser un compte de messagerie secondaire. Si vous utilisez une adresse électronique liée à un compte dont vous pourriez vous passer, cela vous permettra de sécuriser vos données au cas où l’autre compte serait compromis.
8. Ne divulguez pas vos informations sensibles dans vos e-mails
Les pirates ont plusieurs tactiques pour usurper vos identifiants de connexion, et cela pourrait entraîner une fuite de données. Si vous devez envoyer à quelqu’un des informations sensibles, il est recommandé de l’appeler à l’avance. Et lorsque vous devez envoyer des documents sensibles, vous pouvez utiliser des outils sûrs comme Google Drive, qui est un service gratuit.
9. Ne répondez pas aux spams ou aux tentatives de phishing
Répondre à un spam ne fait qu’informer qu’aux pirates informatiques que vous êtes un humain. Ne le faites pas. De plus, sachez que plus de 3 % des spams contiennent des malwares.
10. Faites attention au WiFi public
Vous devez vérifier vos e-mails qui sont liés à votre activité professionnelle. Si vous deviez, par exemple, utiliser le WiFi public d’un aéroport ou d’un café, cela pourrait être une opportunité fantastique pour les pirates informatiques.
Au cas où vous devriez vous servir d’un réseau WiFi public, vérifiez au moins que vous êtes bien sur le réseau gratuit, et non sur le réseau qu’un pirate informatique a mis en place pour ressembler au réseau du café (ou de l’aéroport). Ensuite, assurez-vous qu’il y a un « HTTPS : » au début de l’URL où vous vous connectez. Si vous ne voyez pas le « S. » dans le « HTTPS » – ou si vous recevez un avertissement indiquant qu’il y a un problème avec le certificat de sécurité – n’utilisez pas ce réseau.
11. Formez vos employés
Les employés constituent le maillon faible de votre entreprise et ils sont l’une des principales causes des incidents de violation de données lors d’une cyberattaque. Il est donc essentiel de veiller à ce qu’ils soient informés et sensibilisés aux menaces cybercriminelles. Il faut leur dispenser une formation continue sur les risques de sécurité des e-mails et sur la manière d’éviter d’être victime d’attaques de phishing.
Bloquez et supprimez les spams et les e-mails de phishing grâce à SpamTitan
L’un des meilleurs moyens de réduire le nombre de spams est d’utiliser l’authentification DKIM (Domain Keys Identified Mail). Ce protocole permet au destinataire d’un message électronique de vérifier que le message provient bien du domaine dont il prétend être originaire et qu’il n’a pas été usurpé. Vous pouvez également utiliser une solution tierce comme SpamTitan, un filtre antispam qui peut bloquer les e-mails malveillants et indésirables. Elle est conçue pour contrôler, nettoyer et protéger vos flux de messagerie d’entreprise. SpamTitan prend en charge la protection antivirus, l’analyse multicouche, l’authentification DKIM, la liste noire et la liste blanche, entre autres.
Alors que nous devenons de plus en plus dépendants des applications web, il n’est pas surprenant que les applications soient exposées à un risque important de vulnérabilités informatiques.
De nos jours, les entreprises utilisent différentes sortes applications pour effectuer presque toutes les tâches nécessaires à leur bon fonctionnement. En fait, la prolifération des applications est l’évolution naturelle de la transformation numérique, et nos opérations commerciales essentielles ainsi que nos routines de travail quotidiennes en seront de plus en plus dépendantes.
Une étude récente de WhiteHat Security montre qu’au moins 50 % des applications utilisées par les secteurs industriels les plus populaires contiennent une ou plusieurs vulnérabilités informatiques. Ces secteurs comprennent l’industrie manufacturière, les services publics, la santé, le commerce de détail, l’éducation et les services publics, pour n’en citer que quelques-uns.
Le secteur de la fabrication présente le niveau d’exposition le plus élevé, avec près de 70 % des applications présentant au moins une vulnérabilité exploitable.
Si ce constat est très préoccupant pour les professionnels de la cybersécurité, il fait le bonheur des pirates et des cybercriminels qui sont constamment à la recherche d’une faille dans les systèmes de défense informatique des entreprises d’aujourd’hui dont ils pourraient tirer parti.
Selon ledit rapport, les cinq principales classes de vulnérabilités enregistrées au cours du quatrième trimestre de 2020 comprennent la fuite d’informations, l’expiration insuffisante de la session, le cross site scripting, la protection insuffisante de la couche de transport et l’usurpation de contenu.
Les chercheurs à l’origine du rapport ont déclaré que – pour découvrir, exploiter et tirer pleinement parti de ces vulnérabilités, il n’est pas nécessaire de suivre une formation spécialisée.
Le récent rapport State of Software Security de Veracode a révélé que 76 % de toutes les applications présentent au moins une vulnérabilité. Toutefois, il indique également que seuls 24 % des logiciels contiennent une vulnérabilité de haute gravité.
Les dommages résultant de l’exploitation d’une vulnérabilité peuvent être coûteux
L’abondance de vulnérabilités informatiques a des conséquences financières pour de nombreuses entreprises. Selon la compagnie d’assurance anglaise Hiscox, les entreprises ont subi des cyberpertes de 1,5 milliard d’euros, soit six fois plus qu’au cours des 12 mois précédents.
Le fournisseur d’assurance précise que les entreprises d’Angleterre ont 15 fois plus de chances de subir une cyberattaque qu’un incendie ou un vol.
Les vulnérabilités des applications coûtent de l’argent aux entreprises sur plusieurs fronts. Il y a évidemment le coût résultant de l’utilisation de ces vulnérabilités lors d’une cyberattaque.
Mais il y a aussi le coût réel de la correction de ces vulnérabilités, y compris le coût de la détection et le coût de la réparation des dégâts, étant donné que le coût horaire de travail d’un développeur est généralement élevé.
Pourquoi les applications web sont-elles si vulnérables ?
L’une des principales raisons de l’existence d’un si grand nombre de vulnérabilités informatiques est la multiplicité des applications. Chaque application est différente et utilise des systèmes de codage différents. Cela fait de chaque application une surface d’attaque unique.
Le temps nécessaire pour corriger ces vulnérabilités est un autre facteur contributif. Le délai moyen est de 189 jours, tous secteurs confondus. Mais cela suppose que la vulnérabilité soit effectivement corrigée. Selon le 2020 Mid-Year Attack Trends Report de Check Point, 80 % des attaques utilisent des vulnérabilités signalées il y a trois ans ou plus.
En d’autres termes, la majorité des attaques soutenues en 2020 ont été rendues possibles par des vulnérabilités informatiques signalées en 2017. En outre, le rapport a montré qu’une attaque sur cinq utilisait des vulnérabilités vieilles d’au moins sept ans.
Selon Paloalto, 80 % des kits d’exploitation publics sont développés et diffusés avant qu’une alerte CVE (Common Vulnerabilities and Exposures) puisse être publiée. Ils ont constaté qu’un kit d’exploitation public standard est connu 23 jours avant la publication de la CVE correspondante. Au cours des 22 dernières années, cette moyenne a atteint 40 jours.
La nouvelle se répand rapidement au sein de la communauté cybercriminelle, et des gens peu scrupuleux sont prompts à frapper dans ces portes d’opportunité. Il ne fait aucun doute que nous devons réduire l’écart entre la découverte des vulnérabilités et la publication des CVE.
Sans oublier, bien sûr, l’existence des vulnérabilités de type « zero-day ». Une étude a montré que 66 % des détections de malwares au cours du deuxième trimestre de 2020 impliquaient l’exploitation de vulnérabilités de type « zero-day ».
Ne blâmez pas seulement les éditeurs de logiciels
Si le rapport de Check Point semble très préjudiciable aux éditeurs de logiciels, ils ne sont pas les seuls à blâmer. Une grande raison pour laquelle les attaquants continuent d’exploiter d’anciennes vulnérabilités est que les entreprises continuent d’utiliser des systèmes d’exploitation et des logiciels obsolètes.
Selon une enquête de Spiceworks datant de 2019, 32 % des entreprises utilisaient encore des systèmes Windows XP à l’époque. En décembre dernier, on estime que 8,5 % des ordinateurs Windows fonctionnent sous Windows 7.
Une fois qu’un système d’exploitation ou une application est déprécié, il n’est plus pris en charge et le fournisseur cesse de fournir de nouveaux correctifs.
Et même si les éditeurs de logiciels publient de nouveaux correctifs, il n’est pas rare que les entreprises ne les appliquent pas. Selon l’Agence américaine pour la cybernétique, l’absence de correctifs pour les vulnérabilités, dont beaucoup datent de plus d’un an, expose les organisations à un risque de compromission beaucoup plus élevé.
L’agence indique que l’une des dix vulnérabilités les plus couramment exploitées a été divulguée pour la première fois en 2012.
Les experts en cybersécurité insistent constamment sur la nécessité de maintenir tous les systèmes et logiciels à jour. Bien que cela puisse sembler être un disque rayé, il y a une raison pour laquelle ils répètent constamment ce message : c’est parce que cela fonctionne !
TitanHQ est un fournisseur de cybersécurité récompensé à plusieurs reprises. Apprenez-en davantage sur TitanHQ et sur la manière dont nous pouvons protéger votre entreprise grâce à la sécurité des emails, au filtrage DNS et à l’archivage des emails pour la conformité.
Les cybercriminels disposent de nombreux outils et tactiques pour mener leurs attaques, mais certains fonctionnent mieux que d’autres. Ils privilégient des méthodes spécifiques en fonction de leurs objectifs.
Par exemple, le phishing est très prisé pour le vol des informations d’identification, tandis que les malwares fonctionnent bien lorsque le but est de voler des données et de fournir des portes dérobées pour prendre le contrôle total du serveur d’une organisation.
Voici quelques tendances concernant les attaques de malwares en 2020 qui continueront probablement à être populaires cette année.
Le phishing reste l’attaque la plus courante
Chaque année, le nombre d’attaques de phishing ne cesse d’augmenter au niveau mondial. Le phishing offre plusieurs options aux attaquants.
La première est que les attaquants peuvent soit jeter un large filet et envoyer des milliers d’emails de phishing dans l’espoir que quelques-uns soient victimes de la campagne, soit créer des messages ciblés destinés à des employés spécifiques ayant un accès réseau de haut niveau.
Grâce à des pièces malveillantes, bien conçues et jointes aux emails de phishing, les pirates peuvent télécharger et installer facilement des malwares. Il peut s’agir d’un ransomware qui chiffre les données et oblige les victimes de payer une rançon à l’attaquant en échange des clés de déchiffrement.
Il peut également s’agir d’un cheval de Troie qui crée des portes dérobées sur le réseau ou installe des outils d’accès à distance, permettant à un escroc de prendre le contrôle total de l’ordinateur de sa victime.
Les malwares installés
Les malwares offrent aux attaquants un large éventail de possibilités d’exploitation. Pour qu’un attaquant puisse voler des données ou extorquer de l’argent à une victime, il faut généralement utiliser un malware.
Le potentiel des malwares lui offre un large éventail de gains monétaires. Pour ce faire, le pirate peut par exemple voler des données sensibles d’une organisation pour ensuite les vendre sur le dark web.
Les chevaux de Troie peuvent également donner aux attaquants le contrôle à distance d’un ordinateur. Ce type de malware a été à l’origine de compromissions à grande échelle telles que le vol de données, l’atteinte d’infrastructures publiques telles que des centrales électriques et des usines de traitement des eaux, ainsi que l’espionnage d’organisations concurrentes.
Les ransomwares sont un autre type d’application malveillante courante. Ils peuvent être dévastateurs si les attaquants parviennent à l’installer sur un ordinateur local ou une infrastructure critique telle qu’un serveur. En utilisant un ransomware, un pirate informatique peut gagner jusqu’à plusieurs milliers d’euros avec une attaque réussie.
Ce qui fait d’une attaque de ransomware une menace plus inquiétante que les autres attaques de malwares, c’est qu’elle utilise un chiffrement sécurisé pour verrouiller les fichiers et que les entreprises doivent payer la rançon pour récupérer et déchiffrer leurs données.
La seule façon de se remettre d’un ransomware est de restaurer les fichiers à partir d’une sauvegarde. En fait, le paiement de la rançon ne garantit pas que la clé privée sera livrée et que les fichiers seront restaurés.
Exploitation des vulnérabilités logicielles
L’année 2020 a vu une augmentation des vulnérabilités logicielles, car de plus en plus d’entreprises sont passées au numérique. L’augmentation du nombre de logiciels, de serveurs et de travailleurs à domicile a laissé le champ libre aux attaquants ayant les compétences nécessaires pour trouver et exploiter les vulnérabilités des logiciels qui présentent des bugs.
Les vulnérabilités sont publiées dans la base de données CVE (Common Vulnerabilities and Exposures), ce qui signifie que les attaquants peuvent simplement rechercher n’importe quel type de vulnérabilité et développer un kit d’exploitation pour celle-ci.
La création de scripts qui analysent les vulnérabilités est également une activité importante pour les attaquants. Une fois qu’une vulnérabilité est trouvée, un script peut analyser des milliers de sites en quelques minutes seulement pour trouver des serveurs ou des machines hôtes susceptibles d’être exploités.
Une fois qu’une vulnérabilité commune est trouvée, il suffit de quelques minutes pour qu’un kit d’exploitation soit lancé et affecte l’hôte cible.
L’utilisation des logiciels non corrigés était courante en 2020, ce qui rendait également les hôtes vulnérables aux exploitations malveillantes. Lorsque les développeurs de logiciels publient des correctifs de sécurité, les vulnérabilités corrigées par la mise à jour sont répertoriées.
Tout hôte qui n’a pas installé le correctif est vulnérable jusqu’à ce que les administrateurs corrigent le système. Cela laisse une fenêtre d’opportunité pour un attaquant, ce qui peut en faire une cible pour les robots et les scanners qui trouvent et exploitent le problème.
Le chiffrement dans les attaques de malwares
Il y a eu un grand changement en 2020 : les attaquants ont commencé à utiliser le chiffrement pour cacher les attaques de malwares. Le chiffrement dans les attaques de malwares offre aux pirates la possibilité supplémentaire de se cacher des moniteurs et de protéger leur code malveillant.
Cette tendance rend les malwares beaucoup plus efficaces et plus difficiles à trouver pour les chercheurs en cybersécurité une fois qu’ils sont déployés sur un périphérique réseau tel qu’un ordinateur de bureau ou un serveur.
Les meilleures pratiques pour protéger votre entreprise
Les escrocs sont peut-être meilleurs dans leur domaine, mais vous pouvez toujours prendre les mesures nécessaires pour mettre fin à leurs attaques. Pour empêcher le phishing, installez toujours un système de sécurité de la messagerie électronique. Cela inclut des filtres qui sont conçus pour empêcher les messages malveillants d’atteindre la boîte de réception de vos employés.
Pour stopper les malwares, des filtres de messagerie sont également nécessaires. Dans ce cas, leur rôle est de bloquer les malwares qui envoient des données à un attaquant et ceux qui tentent d’accéder à vos fichiers sensibles.
Enfin, il faut toujours appliquer des correctifs pour vos logiciels dès qu’ils sont disponibles, en particulier sur les serveurs destinés au public. La mise à jour des logiciels empêche les attaquants d’exploiter les dernières vulnérabilités qui pourraient affecter les logiciels que vous avez installés.
Bien que la plupart des organisations mettent en place la meilleure formation et solution de sécurité pour protéger les informations d’identification des utilisateurs contre le vol, les attaquants ont toujours de nombreux moyens de compromettre un réseau et de voler des données.
On ne sait pas encore comment les attaquants ont pu dérober plus de 3,2 millions d’enregistrements de données des clients de DriveSure, mais il semble que les informations volées provenaient de la base de données MySQL de l’entreprise.
Résultat : les informations d’identification du site ainsi que plusieurs points de données privées ont été exposés publiquement sur Internet.
Qu’est-il arrivé à DriveSure ?
DriveSure est un site de formation utilisé pour aider les concessionnaires automobiles à vendre et à conserver leurs clients. Il compte des millions de clients qui s’inscrivent pour recevoir des formations et des cours.
Pour ce faire, ces derniers doivent fournir leur nom complet, leur adresse, leur numéro de téléphone, leur adresse électronique, le numéro d’immatriculation et le carnet d’entretien de leur véhicule, leurs déclarations de sinistre, entre autres.
Les données publiées comprenaient des comptes de grandes entreprises et des adresses des autorités militaires
Plus tôt dans l’année, des chercheurs ont remarqué que des informations concernant les clients de DriveSure avaient été téléchargées sur plusieurs forums de piratage. La plupart des attaquants ont volé des données pour les revendre ensuite avec profit. Cependant, l’argent qui aurait pu être généré ne semblait pas être leur principal objectif.
Les pirates ont lentement mis à jour l’ensemble de la base de données des données volées, gratuitement et sans demander de l’argent
Le motif de des pirates n’ayant pas encore été connu, les données ont été déjà proposées gratuitement sur de nombreux forums de piratage. Elles étaient ainsi librement accessibles à toute personne qui était en mesure de trouver les fichiers en ligne.
Au fur et à mesure que de plus en plus de personnes téléchargeaient les fichiers, les données devenaient disponibles pour davantage de personnes sur d’autres sites. Tout utilisateur qui s’est inscrit sur le site DriveSure doit donc changer son mot de passe sur le site.
Quelles sont les données clients de DriveSure ayant été exposées publiquement ?
Outre les données privées sensibles disponibles, le cyber-attaquant de DriveSure a également mis à disposition pour téléchargement plus de 93 000 mots de passe hachés par bcrypt.
Dans une application sécurisée, le développeur stocke un mot de passe sous forme de valeur hachée avec un sel pour le rendre plus difficile à craquer.
En cryptographie, un sel est une donnée aléatoire utilisée comme entrée supplémentaire dans une fonction de hachage à sens unique d’un mot de passe ou d’une phrase de passe, tandis que bcrypt est une fonction standard pour le hachage de mots de passe.
Qu’est ce que le hachage ?
Pour faire simple, une fonction de hachage est destinée à prendre le texte d’un mot de passe pour ensuite le « mouliner » afin d’obtenir une signature (également appelée empreinte).
Lorsqu’un utilisateur entre un mot de passe, l’ordinateur ne va pas envoyer celui-ci au serveur ni l’enregistrer, mais plutôt sa signature. Lorsque l’utilisateur se connectera, au lieu de vérifier si le mot de passe est identique, le serveur va donc vérifier que la signature du mot de passe entrée est bien la même que celle du mot de passe enregistré.
DriveSure utilise une méthode cryptographique sécurisée pour stocker les mots de passe
Cependant, même si un mot de passe est sécurisé par cryptographie, d’autres, qui ont été téléchargés, peuvent encore être forcés par force brute pendant une longue période si rien n’est mis en place pour limiter le nombre de tentatives.
Par ailleurs, les mots de passe de mauvaise qualité peuvent être forcés par force brute même s’ils sont stockés sous forme de hachage sécurisé par cryptographie.
Le problème avec la disponibilité de mots de passe hachés est qu’un attaquant peut passer des jours à exécuter des scripts contre chacun d’entre eux. Tout mot de passe faible peut être forcé par brute, et de nombreux utilisateurs configurent le même mot de passe sur plusieurs sites.
Puisque les adresses email sont également disponibles, un attaquant pourra utiliser des scripts pour prendre le contrôle de comptes sur plusieurs sites en utilisant les mêmes mots de passe obtenus sur le site DriveSure. Cela permet à un pirate d’accéder à tout compte utilisant le même mot de passe sur plusieurs sites, y compris celui de DriveSure.
Les données provenaient d’une base de données MySQL piratée, de sorte que toute information collectée à partir de DriveSure serait vulnérable à l’exposition. Pour pallier ce problème, l’entreprise a décidé de chiffrer les données qui devraient être conformes aux normes de conformité, mais la plupart des données étaient encore disponibles en texte brut.
Que pouvez-vous faire si vous avez utilisé DriveSure ?
Comme DriveSure ciblait les entreprises en tant que clients, les chercheurs ont trouvé de nombreux comptes de messagerie professionnelle inclus dans la base de données.
Si votre entreprise a utilisé DriveSure pour former vos employés, toutes les informations relatives aux comptes d’utilisateurs fournies au site sont peut-être incluses dans sa base de données en ligne et sont probablement mise en ligne sur divers forums de piratage.
La meilleure défense contre les attaques cybercriminels consiste à changer immédiatement les mots de passe, même s’ils étaient sécurisés par cryptographie et comportaient plusieurs caractères. Tout employé ayant le même mot de passe sur DriveSure et sur le réseau de votre entreprise fait courir à cette dernière le risque d’une violation de données.
Il n’est pas rare que les attaquants utilisent des données trouvées sur Internet pour lancer des attaques de phishing. Ils peuvent envoyer directement un email malveillant aux utilisateurs qui figurent sur la liste ou utiliser les adresses électroniques pour lancer d’autres attaques sur d’autres employés.
Si un pirate peut accéder au compte de messagerie de l’utilisateur par le biais d’une usurpation d’identité, il peut alors envoyer un email à d’autres employés en incitant ces derniers à divulguer des informations sensibles.
Les filtres de messagerie empêcheront les attaques par usurpation d’identité, de sorte que la base de données divulguée ne pourra pas être utilisée contre votre organisation dans une attaque par phishing. Vous pouvez également former les utilisateurs à la détection des attaques de phishing afin qu’ils n’en soient pas victimes.
Outre l’utilisation de filtres de messagerie, tout utilisateur trouvé dans la base de données doit immédiatement changer son mot de passe. Enfin, il faut apprendre aux utilisateurs à ne pas utiliser le même mot de passe pour plusieurs comptes afin d’éviter tout problème à l’avenir.
Sachez que vous pouvez améliorer la protection des données de vos clients avec la protection multicouche de TitanHQ. Si vous voulez découvrir comment nous pouvons protéger votre organisation contre les violations de données, contactez un membre de notre équipe dès aujourd’hui.
Suite à l’annonce récente de l’abandon par Intel Security des produits SaaS de protection de la messagerie Mcafee, SpamTitan se prépare pour 2016, étant donné que les entreprises commenceront à chercher un nouveau fournisseur de sécurité pour assurer une protection continue.
La solution antispam SaaS de protection de la messagerie Mcafee touche à sa fin
Intel Security, le nouveau nom de la société McAfee, a pris la décision de quitter le secteur de la sécurité de la messagerie électronique. L’entreprise abandonnera ses produits SaaS de protection de la messagerie et se concentrera sur d’autres secteurs d’activité.
À partir du 11 janvier 2016, McAfee SaaS Email Protection and Archiving et McAfee SaaS Endpoint ne seront plus vendus par Intel Security.
La nouvelle ne devrait pas déclencher un exode massif des entreprises vers d’autres fournisseurs au début de 2016, car Intel Security a annoncé qu’elle continuera à fournir un support pour ses produits pendant les 3 années à venir.
La prise en charge de McAfee SaaS Email Protection and Archiving et SaaS Endpoint cessera après le 11 janvier 2019.
Toutefois, on pourrait s’attendre à ce que de nombreux clients se tournent vers un nouveau fournisseur de sécurité de la messagerie électronique au cours de la nouvelle année.
Solutions antispam de SpamTitan Technologies
SpamTitan Technologies offre une gamme d’appliances de sécurité de la messagerie d’entreprise rentables qui protègent les réseaux contre les malwares, les autres variantes de logiciels malveillants et les spams.
Les utilisateurs bénéficient des deux moteurs antivirus, dont Bitdefender et Clam Anti-Virus, qui offrent une excellente protection contre le spamming et le phishing.
SpamTitan est une solution antispam très efficace qui a d’abord été lancée en tant que solution image.
Suite à un accord avec VMware, SpamTitan a été développé en appliance virtuelle.
La gamme de produits antispam a depuis été développée pour inclure SpamTitan OnDemand en 2011 et SpamTitan Cloud en 2013.
En août 2015, SpamTitan a bloqué 2 341 milliards d’e-mails et a aidé à protéger les réseaux d’affaires des malwares et des virus.
SpamTitan a été la première appliance anti-spam à recevoir deux prix VBSPAM+ de Virus Bulletin. La marque a également reçu 22 certifications VBSpam consécutives de Virus Bulletin.
De plus, SpamTitan a remporté le prix de la meilleure solution anti-spam aux Computing Security Awards en 2012.
Des entreprises basées dans plus de 100 pays à travers le monde ont choisi SpamTitan comme partenaire offrant une solution antispam pour leur messagerie électronique.
L’appliance de sécurité de la messagerie empêche 99,98 % des spams d’arriver dans la boite de réception des utilisateurs.
Solutions de filtrage Web de WebTitan de SpamTitan Technologies
WebTitan offre aux petites et moyennes entreprises une passerelle Web sécurisée et rentable qui leur permet de bloquer les malwares et les sites Web malveillants, avec des contrôles très granulaires permettant de définir des privilèges individuels, de groupe et d’organisation.
Livrée sous forme d’appliance logicielle qui peut être intégrée de manière transparente aux réseaux existants, la solution Webtitan est essentielle pour protéger tous les utilisateurs professionnels et permettre une navigation sécurisée sur Internet.
WebTitan Cloud est une solution de filtrage Web dans le cloud. Elle ne requiert aucune installation logicielle.
Grâce à cela, vous pouvez créer vos propres politiques d’utilisation du Web et bloquer les sites Web infectés par des malwares, les sites Web répréhensibles ; et limiter facilement l’accès des employés à des contenus inapproprié d’Internet pendant leur temps de travail.
Par ailleurs, vous pouvez bénéficier d’un ensemble complet d’outils de reporting qui vous permettent de suivre facilement l’activité de navigation de chaque utilisateur final au sein de votre organisation.
WebTitan WiFi a été développé pour les fournisseurs WiFi et les fournisseurs de services gérés (MSP) pour permettre un contrôle facile de l’accès Internet.
WebTitan WiFi permet aux utilisateurs de bloquer facilement le contenu répréhensible et les sites Web malveillants, avec des contrôles pouvant être appliqués par emplacement.
La solution de cloud computing ne nécessite aucune installation logicielle. Tout ce qu’il vous faut pour commencer à protéger votre entreprise, c’est une simple redirection DNS vers les serveurs cloud WebTitan.
Les filtres web avancés WebTitan ont bloqué 7 414 pages Web infectées par des malwares en août 2015 et aidé les entreprises à mieux se protéger contre les contenus malveillants des sites Web, les campagnes de phishing et les téléchargements de malwares par drive-by.
L’une des principales préoccupations des entreprises est de voir leurs données sensibles ou celles de leurs clients divulguées à des tiers. Aujourd’hui, les brèches de sécurité des données sont devenues un phénomène quotidien et qui figure dans les actualités du monde entier.
Les pirates peuvent par exemple profiter de ces fuites de données pour les tenir en otage. Autrement dit, les entreprises ne peuvent les récupérer que si elles acceptent de payer une rançon.
Quelle que soit la source de violation de données, sachez qu’il existe des mesures que vous pouvez prendre pour faire face à la situation.
Suivez le plan d’intervention en cas de fuite de données dans votre entreprise
Il ne fait aucun doute que votre entreprise a déjà mis en place un plan pour les tremblements de terre, les incendies et les inondations.
En plus de ces éventuels sinistres, le plan d’intervention en cas de violation de données devrait également tenir compte des catastrophes d’origine humaines, comme les atteintes à la sécurité. En effet, les données doivent être considérées comme un actif commercial à part entière et qu’il faut protéger autant que possible.
Si vous devez formuler un plan d’intervention en cas d’incident, vous pouvez vous inspirer des nombreux modèles qui sont proposés sur Internet. Assurez-vous toutefois de conserver une copie de votre plan hors site, sous forme imprimée.
1. Communiquez avec les personnes appropriées
L’équipe ou la personne qui est en charge d’assurer la sécurité des données doit être contactée immédiatement dès qu’un problème de sécurité informatique se produit.
Assurez-vous donc que tous les employés savent à qui ils pourront s’adresser en cas de besoin. Le service de dépannage informatique doit également rester vigilant pour détecter les signes révélateurs d’une infraction comme :
Les faux messages antivirus
Les barres d’outils du navigateur non souhaitées
Les installations inattendues de logiciels
Les pop-ups de rançon
2. Mener une enquête préliminaire
Une fois le problème détecté, l’équipe de sécurité doit mener une enquête préliminaire dans le but de déterminer son ampleur approximative. Cela ne devrait prendre que quelques minutes.
Selon la politique adoptée par votre entreprise, le réseau peut être désactivé immédiatement pour empêcher tout virus de se propager et d’infecter d’autres équipements.
3. Définir l’incident
L’étape suivante dépend du type d’incident de sécurité. S’il est facile à contenir et à corriger et qu’aucune violation de données ne s’est produite, l’équipe de sécurité se contentera d’informer la direction à propos de l’incident.
Par contre, si un email de phishing a été détecté, il est recommandé d’envoyer à tous les employés des informations sur l’email afin qu’ils puissent éviter de provoquer un nouvel incident.
4. Faites participer les intervenants
Assurez-vous de toujours impliquer deux types d’intervenants, à savoir l’équipe de direction et les gestionnaires d’affaires dont les données peuvent être affectées par l’incident.
5. Lois sur la notification des violations de la sécurité
La loi intervient s’il y a eu une violation de données. Aux États-Unis, 47 États ont des lois sur la notification des violations de la sécurité, dont beaucoup exigent des rapports aux clients ainsi qu’aux organismes de réglementation.
Au Canada par exemple, la province de l’Alberta exige la notification. En ce qui concerne les données de l’UE, le Règlement général sur la protection des données (RGPD) exige que les atteintes à la protection des données soient divulguées dans les 72 heures à compter de 2018.
Selon l’industrie, la Health Insurance Portability and Accountability Act (HIPAA), la loi Sarbanes-Oxley ou une autre loi fédérale étatique ou locale peut imposer l’établissement d’un rapport supplémentaire concernant la violation. Cette tâche incombe au responsable de la conformité de la société.
Le FBI encourage les entreprises à signaler les cyberincidents à son Centre de plaintes pour les crimes sur Internet (www.ic3.gov). Par ailleurs, il est recommandé de produire et de déposer un rapport concernant l’incident auprès du service de police local. Le service juridique devrait être impliqué dans ces activités.
Vous disposez maintenant d’une équipe d’intervention complète. Il est important de tenir tous les membres au courant des progrès réalisés en matière de remédiation.
6. Analyse et mesures correctives contre une fuite de données
L’équipe de sécurité doit travailler rapidement pour analyser le réseau et les points d’extrémité, en examinant en détail les hôtes les plus compromis. Une fois que les causes de la compromission sont trouvées, l’équipe établira rapidement un plan de remédiation.
En général, elle peut déterminer un ou plusieurs des éléments suivants :
Signature du virus
Adresse IP de l’attaquant
Hashage MD5 d’un fichier malveillant
URL ou nom de domaine d’un serveur de commande et de contrôle de botnet
Les pare-feu, les systèmes de détection d’intrusion et/ou les logiciels antivirus devraient être mis à jour pour se défendre contre les menaces cybercriminelles.
De même, il faut que les dispositifs affectés soient remis en état. Si nécessaire, des sauvegardes de données peuvent être utilisées pour restaurer le système à une date précise avant l’attaque. Ces étapes peuvent prendre des heures, des jours ou même des semaines.
7. Qu’arrive-t-il à l’entreprise pendant cette période ?
Selon la gravité de la compromission, le service réseau peut être non opérationnel ou restreint pendant la phase d’analyse et de restauration. Pire encore, les entreprises dont les activités sont essentiellement basées sur des sites web peuvent être durement touchées puisque leurs revenus proviennent de clients en ligne.
D’autres types d’entreprises peuvent également être fortement touchés, comme l’a montré la récente attaque de ransomware contre le Hollywood Presbyterian Medical Center, un hôpital privé situé à Los Angeles :
Sans pouvoir accéder au service de messagerie électronique, les médecins et les infirmières devaient communiquer par fax ou en personne.
Les antécédents de traitement des patients n’étaient pas disponibles puisque les dossiers médicaux étaient conservés en ligne.
Les résultats des tests ne pouvaient pas être facilement partagés au sein de l’hôpital ou avec des entités externes.
Des dossiers papier ont dû être utilisés pour l’enregistrement des patients. Ce système ne pouvait pas traiter le volume habituel de patients, et certains d’entre eux ont dû être transférés dans d’autres hôpitaux.
L’hôpital n’avait aucune sauvegarde de données utilisable pour pouvoir restaurer les opérations. Elle était restée dans cette situation difficile pendant 10 jours et a dû finalement payer plus de 15 000 euros aux cybercriminels pour obtenir les clés leur permettant de déchiffrer leurs propres données.
8. L’incident de sécurité pourrait ne pas être que la pointe de l’iceberg
Il n’est pas rare qu’au cours de l’enquête, l’équipe découvre qu’il y a d’autres problèmes de sécurité. Le système peut avoir été compromis pendant des mois ou même des années. Prenons le cas du virus Heartbleed. Il a été introduit dans un logiciel en 2012, mais n’a été rendu public qu’en avril 2014.
L’incident de sécurité dont il est question pourrait en fait être le prélude à une attaque plus importante. C’est notamment le cas si des emails de phishing sont impliqués. Une petite attaque pourrait faire perdre du temps et des efforts au personnel de sécurité pendant qu’une attaque plus importante se faufile sous leur radar.
Les piratages ne sont pas toujours perpétrés par des personnes extérieures. Les rapports de diverses organisations de sécurité indiquent qu’au moins 15 % des attaques proviennent d’un initié qui peut avoir accès à des informations d’identification pour attaquer le système de manière répétée.
Bien entendu, certains incidents sont le résultat d’erreurs commises par des employés. La formation et l’attribution de justificatifs d’identité selon le principe du moindre privilège sont donc les meilleurs remèdes dans ce cas.
L’incident de sécurité aurait peut-être pu être évité si des logiciels, paramètres logiciels ou matériels appropriés étaient en place. Envisagez d’utiliser un logiciel de filtrage des emails tel que SpamTitan Cloud, une solution robuste pour la sécurité des emails.
Pour les menaces Internet générales, optez pour WebTitan Cloud, un service de filtrage web qui vous permet de surveiller, contrôler et protéger votre entreprise et vos utilisateurs contre les menaces en ligne.
9. Leçons apprises – Revue complète
Dans la semaine suivant le rétablissement d’une brèche, l’équipe devrait se réunir pour déterminer ce qui a bien fonctionné et ce qui a mal fonctionné. Le plan d’intervention en cas d’incident devrait être mis à jour pour tenir compte des leçons apprises.
Étant donné le caractère inévitable des attaques, l’entreprise sera mieux préparée lorsque (et non pas si) une prochaine attaque se produira.
De fausses alertes emails, récemment découvertes, demandent aux utilisateurs de mettre à jour leurs navigateurs Firefox « pour des raisons de sécurité », et incluent un lien de téléchargement vers la fausse mise à jour.
Celle-ci inclut un cheval de Troie qui vole des mots de passe. Alors, ne cliquez pas sur ce lien, sinon risquez de vous faire voler vos mots de passe. D’ailleurs, les utilisateurs doivent toujours faire preuve de prudence lorsqu’ils cliquent sur un lien dans un email.
Dans le passé, SpamTitan a averti à plusieurs reprises ses lecteurs, mais cela vaut toujours la peine d’être répété : N’ouvrez pas les pièces jointes aux emails qui arrivent dans votre boîte de réception et auxquelles vous ne vous attendiez pas.
Si vous ne vous attendiez pas à recevoir un email, le mieux serait d’y répondre et d’attendre la réponse, sans ouvrir la pièce jointe. De cette façon, vous pouvez vous assurer que l’adresse de l’expéditeur n’est pas fausse.
Fausses alertes de sécurité Firefox : SpamTitan recommande aux utilisateurs de :
Maintenir à jour leur logiciel antispam et antivirus pour s’assurer que ces types de messages soient bloqués avant d’arriver dans leurs boîtes aux lettres.
Il est également important de se rappeler que si vous n’avez pas demandé la réinitialisation de votre mot de passe, ignorez simplement un email (probablement un spam) qui cherche à réinitialiser vos mots de passe.
Pour plus d’informations sur les meilleures pratiques en matière de sécurité web et de la messagerie, pourquoi ne pas télécharger notre nouveau livre blanc, conçu en collaboration avec Ostermann Research.
