Des chercheurs en sécurité informatique ont découvert une vulnérabilité sérieuse du plug-in Jetpack qui expose les sites à un risque d’attaque par des cybercriminels. Si vous exécutez des sites WordPress pour votre entreprise et que vous utilisez le plug-in d’optimisation de site Web Jetpack, vous devez effectuer une mise à jour dès que possible pour éviter que le défaut ne soit exploité.
La vulnérabilité du plug-in Jetpack peut être utilisée pour injecter un code JavaScript malveillant dans des sites Web ou pour insérer des liens, vidéos, documents, images et autres ressources. Cela exposerait les visiteurs du site à un risque de téléchargement de malware ou de ransomware.
Les acteurs malveillants pourraient intégrer un code JavaScript malveillant dans les commentaires du site, et chaque fois qu’un visiteur consulte un commentaire malveillant, il autorise l’exécution du code. Les visiteurs pourraient donc être redirigés vers d’autres sites Web et la faille risque d’être utilisée pour voler des cookies d’authentification et détourner les comptes d’administrateur, ou pour intégrer des liens vers des sites Web contenant des kits d’exploitation.
La faille peut également être exploitée par les concurrents pour affecter négativement le classement dans les moteurs de recherche en utilisant des techniques de spamming SEO. Ceci pourrait avoir de graves conséquences pour le classement des sites et pour le trafic.
Plus d’un million de sites Web WordPress sont affectés par la vulnérabilité du nouveau plug-in Jetpack
La vulnérabilité du plug-in Jetpack a récemment été découverte par des chercheurs de Sucuri.
La vulnérabilité est une faille Cross-Site Scripting ou XSS qui a été introduite pour la première fois en 2012 et qui a affecté la version 2.0 du plug-in. Toutes les versions ultérieures de Jetpack contiennent également la même vulnérabilité de module Shortcode Embeds Jetpack.
Jetpack est un plug-in WordPress populaire qui a été conçu par des développeurs d’Automattic, la société qui propose WordPress. Il a été téléchargé et utilisé sur plus d’un million de sites Web. Ce n’est pas seulement un problème pour les propriétaires de sites Web, mais aussi pour les visiteurs du Web qui pourraient facilement voir cette faille exploitée et infecter leurs ordinateurs avec un ransomware ou un malware. Les failles de ce genre soulignent l’importance d’utiliser un logiciel de filtrage Web qui bloque les redirections vers des sites Web malveillants.
Alors que de nombreuses vulnérabilités de plug-ins WordPress nécessitent un niveau de compétence substantiel pour être exploitées, celle du plug-in jetpack ne nécessite que très peu de compétences. Heureusement, Jetpack n’a découvert aucun élément de programme actif permettant à un individu ou à un malwares d’exploiter une faille de sécurité informatique. Cependant, maintenant que la vulnérabilité a été annoncée, et que les détails sur la manière de l’exploiter sont fournis en ligne, ce n’est qu’une question de temps avant que les pirates et les acteurs malveillants en profitent.
Le défaut ne peut être exploité que si le module Shortcode Embeds Jetpack est activé, bien qu’il soit fortement conseillé à tous les utilisateurs du plug-in d’effectuer une mise à jour dès que possible. Jetpack a travaillé avec WordPress pour que la mise à jour soit diffusée via le système de mise à jour de base de WordPress. Si vous avez la version 4.0.3 installée, vous êtes déjà probablement protégé.
Jetpack signale que, même si le défaut a déjà été exploité, la mise à jour vers la dernière version du logiciel supprimera tous les kits d’exploitations déjà présents sur les sites web WordPress.
Il existe de nombreuses solutions de cybersécurité que les fournisseurs de services (ESN ou SSII) peuvent ajouter à la pile de services qu’ils proposent à leurs clients. L’enjeu est que, s’ils sont incapables d’offrir une gamme complète de solutions de cybersécurité, cela peut s’avérer coûteux, car la demande de services est considérable.
Si les ESN n’arrivent pas à fournir ces services, leurs clients risquent de se tourner effectivement vers l’un de leurs concurrents. Par ailleurs, les fournisseurs de services offrent des solutions de cybersécurité préventive depuis de nombreuses années. Mais la concurrence dans ce domaine s’intensifie.
Les entreprises spécialisées en technologie de l’information (TI) — qui se concentraient auparavant sur la résolution de problèmes informatiques ou sur la prestation de services d’enquête concernant les atteintes à la protection des données — ont réalisé qu’il y avait beaucoup d’argent à gagner en fournissant des services de cybersécurité complets pour prévenir les problèmes. Un nombre croissant d’entreprises de l’IT ont maintenant pu tirer parti des atteintes à la protection des données et de la demande de solutions préventives de la part des PME, en offrant actuellement ces services.
Afin de capitaliser sur les opportunités de vente et de s’assurer que leurs clients ne cherchent pas ailleurs, les fournisseurs de services doivent s’assurer qu’ils offrent une gamme complète de solutions de cybersécurité. Des solutions qui protègeront leurs clients contre les nombreuses attaques cybercriminels de nos jours.
Heureusement, le passage des solutions matérielles aux services basés dans le cloud facilite la tâche des ESN. Non seulement elles sont moins chères pour les clients, mais elles sont aussi plus faciles à fournir et à gérer pour les ESN. Auparavant, le fait d’offrir des solutions pour prévenir les cyberattaques était peu pratique et celles-ci étaient peu rentables. Mais ce n’est plus le cas aujourd’hui.
Il existe de nombreuses solutions potentielles de cybersécurité pour les ESN. Mais le domaine en particulier où les fournisseurs de services mobiles peuvent tirer parti est celui des solutions de prévention des attaques de phishing.
Le phishing, c’est-à-dire l’obtention d’informations sensibles auprès des employés, est l’un des principaux moyens par lesquels les cybercriminels ont accès aux réseaux et aux données sensibles.
Les entreprises dépensent beaucoup d’argent en matière de sécurité réseau pour prévenir les attaques directes. Pourtant, les cybercriminels savent très bien que même des défenses de sécurité qui coûtent plusieurs millions de dollars peuvent être violées. Et sachez que la manière la plus simple pour les pirates d’accéder au réseau se fait à travers les employés.
Désormais, il est beaucoup plus facile pour les pirates de tromper un employé en lui demandant de télécharger des malwares, des ransomwares ; ou de révéler ses informations de connexion ou ses identifiants de connexion dans le but de rechercher des failles de sécurité ou d’utiliser des attaques par force brute. Il leur suffit qu’un e-mail de phishing parvienne à la boîte de réception de l’employé.
Les entreprises de formation antiphishing — offrant aux employés une formation de sensibilisation à la sécurité et qui leur apprennent à identifier les e-mails de phishing — savent très bien que la formation seule est inefficace. La raison est que certains d’entre eux ont du mal à mettre la formation en pratique.
Même si une formation de sensibilisation à la sécurité est offerte, les employés continueront d’ouvrir les pièces jointes aux e-mails provenant des étrangers et de cliquer sur les liens qui leur sont envoyés par messagerie électronique. De plus, les cybercriminels sont de plus en plus doués pour créer des e-mails qui permettent de cliquer sur des liens et d’ouvrir des pièces jointes contenant des malwares.
Nous avons déjà vu cette année (lors de la dernière saison fiscale) à quel point les e-mails de phishing peuvent être efficaces. L’an dernier, au moins 145 entreprises aux États-Unis ont envoyé par e-mail des formulaires W-2 de leurs employés à des fraudeurs. Cette année, il semble que la situation pourrait encore s’aggraver.
Un pourcentage élevé d’infections par des malwares se produit à la suite de spams infectés, soit par des pièces jointes à des e-mails (téléchargeurs), soit par des liens qui pointent vers des sites malveillants où des malwares qui sont téléchargés de façon discrète. Il en va de même pour de nombreuses infections de ransomwares.
Compte tenu du risque élevé d’attaque de phishing ou d’installation de malwares et de ransomwares qui volent des informations, les entreprises sont heureuses de payer pour des solutions gérées qui peuvent bloquer les e-mails de phishing, empêcher la livraison d’e-mails infectés et empêcher les employés de consulter des liens malveillants.
Les ESN peuvent tirer profit de ces services, puisqu’il existe des solutions basées dans le cloud et qui offrent le niveau de protection requis. L’ajout de ces solutions à la pile de services des ESN est facile. Les solutions basées sur le cloud et qui permettent aux entreprises de se protéger contre les infections de phishing, de malware ou de ransomware ne nécessitent aucun matériel ni visite sur les lieux. De plus, elles ne requièrent que très peu de frais de gestion.
TitanHQ peut fournir des solutions basées dans le cloud. Celles-ci peuvent être facilement incluses dans les piles de services des ESN. Les solutions de protection de la messagerie et de site Web de TitanHQ — SpamTitan et WebTitan — sont efficaces pour bloquer un large éventail de menaces par messagerie électronique et via le Web.
SpamTitan bloque plus de 99,97 % des spams. Il a un faible taux de faux positifs et bloque 100 % des malwares connus. Les boîtes de réception sont protégées contre le spam et les malwares. Un composant antiphishing empêche également les e-mails de phishing d’être envoyés aux utilisateurs finaux.
WebTitan offre une excellente protection contre les menaces sur le Web, protège les employés et les réseaux contre les téléchargements malveillants et les ransomwares et bloque les liens vers des sites Web malveillants.
Ces solutions peuvent être exécutées dans le cloud public ou privé et être fournies en marque blanche. De plus, les frais généraux de gestion sont minimes, ce qui permet aux ESN de générer de marges généreuses.
Si vous êtes un fournisseur de services et que vous souhaitez augmenter la gamme de services de cybersécurité que vous proposez à vos clients, appelez TitanHQ dès aujourd’hui et découvrez nos solutions de cybersécurité pour les ESN.
Avec nos solutions de cybersécurité pour les ESN, vous pouvez améliorer votre portefeuille de cybersécurité, offrir une valeur ajoutée à vos clients et améliorer votre résultat net.
Une nouvelle version améliorée du malware AZORult a été identifiée. La dernière version de ce programme de vol d’informations et de téléchargement de malware a déjà été utilisée dans des attaques et a été distribuée via le kit d’exploitation RIG.
Le malware AZORult est principalement un voleur d’informations utilisé pour obtenir des noms d’utilisateur et des mots de passe, des numéros de carte de crédit et d’autres informations telles que l’historique des navigateurs. Des fonctionnalités de vol de portefeuille cryptomonnaie ont été ajoutées aux nouvelles versions du malware.
AZORult a été identifié pour la première fois en 2016 par des chercheurs de Proofpoint.
Depuis, il a été utilisé dans un grand nombre d’attaques via des kits d’exploitations et de campagnes de phishing par e-mails. Celles-ci utilisaient des liens vers des sites malveillants ou, plus généralement, des fichiers Word malveillants contenant des programmes de téléchargement de malwares.
En 2016, la variante du malware était initialement installée à côté du cheval de Troie bancaire Chthonic. Mais lors des campagnes suivantes, AZORult était déployé en tant que charge utile principale du malware. Cette année, plusieurs acteurs de la menace ont associé ce voleur d’informations à une charge utile secondaire de ransomware.
D’autres campagnes ont été détectées et utilisaient Hermes et Aurora ransomware comme charges utiles secondaires. Dans les deux cas, l’objectif initial était de voler les identifiants de connexion pour perquisitionner des comptes bancaires et des portefeuilles de cryptomonnaie. Lorsque toutes les informations utiles ont été obtenues, le ransomware a été activé et un paiement de rançon a été demandé pour déchiffrer les fichiers.
Une nouvelle version de l’AZORult a été publiée en juillet 2018 : la version 3.2. Celle-ci contenait des améliorations significatives concernant à la fois son rôle de voleur et de téléchargeur d’informations.
Dernièrement, les chercheurs de Proofpoint ont encore identifié une nouvelle variante : la version 3.3. Celle-ci a déjà été ajoutée au kit d’exploitation RIG et a été publiée peu de temps après la fuite en ligne du code source de la version précédente.
La nouvelle variante utilise une méthode de chiffrement différente. Elle a amélioré la fonctionnalité de vol de cryptomonnaie pour permettre le vol de portefeuilles BitcoinGold, ElectrumG, BTCPrivate (Electrum-BTCP), Bitcore et Exodus Eden. Il s’agit d’une version mise à jour et améliorée, avec un nouveau chargeur et un taux de détection inférieur par les antivirus.
Le kit d’exploitation RIG a recours à tous les types d’attaques qui tirent parti des vulnérabilités connues d’Internet Explorer et de Flash Player et qui utilisent JavaScript et VBScripts pour télécharger AZORult.
Si vos systèmes d’exploitation et vos logiciels sont entièrement patchés et mis à jour, vous serez protégé contre ces téléchargements de kits d’exploitation, car les vulnérabilités exploitées par RIG ne sont pas nouvelles. Cependant, de nombreuses entreprises tardent à appliquer des correctifs, lesquels nécessitent des tests approfondis.
Il est donc vivement conseillé de déployer une solution de filtrage Web telle que WebTitan afin de fournir une protection supplémentaire contre les téléchargements de malwares par le kit d’exploitation. WebTitan empêche les utilisateurs finaux de visiter des sites Web malveillants, tels que ceux qui hébergent des kits d’exploitation.
La dernière version du malware AZORult a été mise en vente pour la première fois le 4 octobre. Il est fort probable que d’autres cybercriminels achèteront ce malware et le distribueront via des emails de phishing, comme ce fut le cas avec les versions précédentes. Vous feriez donc mieux de mettre en place un filtre antispam avancé et de veiller à ce que les utilisateurs finaux soient formés à la reconnaissance des messages potentiellement malveillants.
Avez-vous des machines fonctionnant sur des systèmes d’exploitation non pris en charge ? Tous vos logiciels sont-ils à jour avec les derniers correctifs appliqués ?
Si vous n’effectuez pas les correctifs rapidement, ou si vous utilisez encore des systèmes d’exploitation ou des logiciels obsolètes et non pris en charge, vous prenez des risques inutiles et laissez votre réseau ouvert aux attaques informatiques.
Les hackers parcourent constamment Internet à la recherche de systèmes vulnérables à attaquer. Même si vous utilisez Windows XP ou Vista sur une seule machine d’un réseau, cela pourrait permettre à un pirate d’exploiter les vulnérabilités et d’accéder à tout ou partie de ce réseau.
Un nombre alarmant d’entreprises utilisent encore des logiciels périmés et ne procèdent pas rapidement aux correctifs. Par exemple, 7,4 % des entreprises utilisent encore Windows XP, même si Microsoft a cessé de publier des correctifs de sécurité pour ce système d’exploitation il y a trois ans.
Les pirates découvrent de nouvelles vulnérabilités dans les logiciels et les systèmes d’exploitation plus rapidement que les fabricants de logiciels ne peuvent corriger ces failles. Des vulnérabilités « zero day » sont régulièrement découvertes et des exploits — portions de code qui permettent d’exploiter une vulnérabilité dans un programme de façon à obtenir des privilèges utilisateur — sont développés pour tirer parti des failles et accéder aux réseaux d’entreprise.
Lorsqu’un développeur de logiciel cesse de publier des mises à jour, la liste des vulnérabilités potentielles qui peuvent être exploitées s’allonge rapidement.
Prenez l’exemple de Windows.
Chaque « Patch Tuesday » — un ensemble de mises à jour publiées chaque deuxième mardi de chaque mois — contient des correctifs pour remédier à plusieurs vulnérabilités critiques. Celles-ci peuvent être exploitées pour exécuter un code ou accéder à un système afin d’obtenir des privilèges utilisateur. Bien qu’il n’existe peut-être pas d’exploits qui permettent d’exploiter les failles au moment où les correctifs sont publiés, cela ne tarde pas souvent à se produire.
En effet, les pirates peuvent consulter les mises à jour et les correctifs d’ingénierie inverse pour découvrir les vulnérabilités. Des exploits pourront alors être développés pour attaquer les machines fonctionnant avec des systèmes d’exploitation non corrigées.
Prenons l’exemple de la récente série de mises à jour de Microsoft dans son Patch Tuesday de mars. La marque a discrètement corrigé un tas de défauts pour lesquels des exploits avaient été développés. Quatre jours plus tard, des kits d’exploitation développés par The Equation Group ont été mis en ligne par Shadow Brokers. Ces outils pouvaient être utilisés pour exploiter les failles corrigées par Microsoft quelques jours auparavant.
Les kit d’exploitation peuvent être utilisés pour attaquer des machines non corrigées. Pourtant, les correctifs publiés par la marque n’ont été conçus que pour corriger des failles dans les versions prises en charge de Windows. Beaucoup de ces outils d’exploitation peuvent ainsi être utilisés pour attaquer les versions non prises en charge telles que Windows XP et Vista.
L’un de ces outils, appelé Eternalromance, est probablement fonctionnel sur toutes les versions précédentes de Windows jusqu’à Windows XP. Par ailleurs, EasyPi, Eclipsedwing, Emeraldthread, Emeraldthread, eraticgopher et esteemaudit ont tous été confirmés fonctionner sous Windows XP.
Voici les outils d’exploitation récemment découverts par The Equation Group. Ils ne représentent qu’un petit pourcentage des exploits qui existent et qui peuvent attaquer la vulnérabilité des anciennes versions non corrigées de Windows. Et sachez qu’en plus de ces exploits, il en existe d’autres pour de nombreux autres logiciels.
Il aura toujours d’exploits « zero-day » qui pourront être utilisés pour attaquer les entreprises, mais l’utilisation de logiciels périmés et de systèmes d’exploitation non pris en charge rend les choses trop faciles pour les pirates informatiques.
Les entreprises de toutes tailles doivent donc s’assurer qu’elles disposent de bonnes politiques de gestion des correctifs qui couvrent leurs logiciels et systèmes d’exploitation et tous leurs périphériques. Cependant, comme les systèmes d’exploitation non pris en charge ne seront jamais corrigés, l’utilisation continue de ces produits représente un risque très important et inutile.
Les questions de sécurité sont devenues l’un des aspects les plus importants d’un réseau d’entreprise, en particulier la sécurité du réseau sur le serveur. Celles-ci sous-tendent la nécessité de mettre en place un système capable de détecter les menaces lancées par les cybercriminelles afin de les contrer. Il existe plusieurs manières d’y parvenir, mais avez-vous envisagé d’implémenter un honeypot de malwares ?
Cette solution consiste à attirer volontairement les cybercriminels dans le but de les prendre la main dans le sac. Bref, il s’agit de créer des pièges à pirates.
Attirer les pirates (et éventuellement les malwares) peut sembler contre-intuitif, mais il y a de grands avantages à en installer un honeypot. Explications !
Qu’est-ce qu’un honeypot ?
Essayons de définir en quelques points la signification de ce terme :
Un honeypot est un système en réseau que les administrateurs réseau créent en guise de leurre afin d’attirer les cybercriminels et pour détecter, dévier ou étudier leurs tentatives de piratage.
Il s’agit d’un système qui a été délibérément rendu vulnérable tel qu’un serveur ou un appareil de grande valeur.
Un honeypot est donc conçu pour se présenter sur le web comme une cible potentielle pour les pirates.
Pourtant, un honeypot est une sorte de diversion de l’attention des pirates, qu’ils pensent qu’ils ont réussi à faire tomber en panne un appareil ou un serveur et à récupérer des données sensibles d’un réseau.
Le honeypot permet de recueillir des informations et de notifier aux administrateurs réseau les tentatives d’accès au faux serveur par des utilisateurs non autorisés, alors que les données que ces derniers obtiennent ne sont pas importantes et que l’emplacement de ces informations est sécurisé.
Les honeypots constituent un outil important pour les grandes entreprises qui souhaitent mettre en œuvre une défense active contre les pirates. Ils permettent également aux chercheurs en cybersécurité d’en savoir plus sur les techniques et les outils utilisés par les attaquants.
Notons que le coût de maintenance d’un honeypot peut être plus ou moins élevé, car sa mise en œuvre et son administration peuvent requérir des compétences spécialisées.
Comment fonctionne un honeypot ?
Un honeypot est généralement constitué d’un ordinateur, de plusieurs applications et de données qui sont utilisés pour simuler le comportement d’un système réel. Il apparaît donc comme un système qui fait partie d’un réseau. Pourtant, il est en réalité isolé et rigoureusement surveillé.
Ces dispositifs peuvent prendre la forme de machines virtuelles délibérément affaiblies et placées dans une zone accessible du réseau. Elles présentent souvent des mises à jour de sécurité critiques manquantes, des ports ouverts, des services inutiles activés, de telle sorte que les pirates puissent les exploiter.
Bien entendu, un système honeypot est également sécurisé par des comptes administrateur, mais les mots de passe sont souvent faibles ou inexistants.
Ceci permet d’augmenter les chances que les pirates s’intéressent aux honeypots. En effet, ces faiblesses en matière de sécurité leur feront croire qu’ils ont trouvé une cible facile à infiltrer.
En réalité, ils perdent leur temps, car les administrateurs réseau surveillent leur activité et bloquent leur accès au reste du réseau. Le temps qu’ils réalisent ce qui se passe, les administrateurs auront déjà recueilli suffisamment d’informations pour renforcer leur réseau ou pour signaler l’activité malveillante aux autorités compétentes.
On utilise généralement les machines virtuelles pour héberger les honeypots. Ainsi, au cas où celles-ci seraient compromises par des malwares, le honeypot pourra être rapidement restauré.
Autre élément important : comme les utilisateurs légitimes n’ont aucune raison d’accéder aux honeypots que vous avez mis en place, toute tentative d’accès à un honeypot particulier doit donc être considérée comme hostile.
Avantages et inconvénients des honeypots
Sachez que la mise en place des honeypots nécessite des ressources importantes. Pourtant, elle offre des avantages non-négligeables dont voici quelques-uns :
Les honeypots collectent des données provenant des activités non autorisées et des attaques réelles, ce qui fournit aux analystes une riche source d’informations.
Les technologies ordinaires de détection d’attaques cybercriminelles génèrent des alertes pouvant inclure un volume important de faux positifs. Par contre, les honeypots réduisent ce volume, car les utilisateurs légitimes n’ont aucune raison d’y accéder.
La mise en place des honeypots offre un bon retour sur investissement puisqu’ils ne nécessitent pas de ressources à haute performance pour analyser de grands volumes de trafic réseau dans le but de rechercher les menaces. En réalité, les honeypots n’interagissent qu’avec des activités malveillantes.
Les honeypots peuvent détecter les activités malveillantes, même si les pirates utilisent la technique du chiffrement.
Force est toutefois de constater que les honeypots présentent quelques inconvénients :
Ils ne collectent les informations que lorsqu’une attaque se produit. Le fait qu’aucune tentative malveillante n’accède pas au honeypot ne signifie donc pas qu’il n’y a aucune menace de cybersécurité.
Le trafic malveillant capturé ne peut être collecté que lorsqu’une attaque vise le réseau de honeypot. Au cas où les attaquants soupçonneraient qu’un réseau est un honeypot, ils pourraient donc l’éviter.
Les honeypots se distinguent souvent des systèmes de protection légitimes. Autrement dit, les pirates informatiques expérimentés parviennent souvent à différencier un système légitime d’un honeypot en utilisant des techniques avancées.
En résumé, les honeypots peuvent aider les chercheurs et administrateurs réseau à comprendre les menaces qui sont susceptibles de porter atteinte aux systèmes en réseau. Néanmoins, il faut qu’ils soient configurés correctement, sinon ils peuvent constituer un moyen pour les pirates d’accéder à des systèmes légitimes ou servir de rampe de lancement pour d’autres attaques cybercriminelles.
Conseils pratiques sur la mise en place d’un honeypot de malwares
Un honeypot de malwares peut être très bénéfique pour une organisation.
Cependant, il est important de l’installer correctement et d’engager suffisamment de ressources pour sa maintenance et son entretien.
Un honeypot de malwares n’aura que peu d’utilité, sauf s’il peut facilement être identifié comme un faux système et s’il peut être utilisé comme une plate-forme pour attaquer votre système.
Vous trouverez ci-dessous quelques conseils et astuces pour commencer.
Quel degré d’interaction recherchez-vous ?
Lorsque vous configurez un honeypot de malwares, vous devez décider du niveau d’interaction que vous souhaitez. Quelle marge de manœuvre donnerez-vous à un pirate informatique ? Quelle quantité d’activité êtes-vous prêt à autoriser ?
D’une manière générale, plus vous permettez d’interactions, plus vous aurez besoin de temps afin de configurer et de maintenir votre honeypot de malwares.
Vous devez également garder à l’esprit que plus vous permettez d’interactions, plus le risque que l’attaquant s’échappe du honeypot et lance une attaque sur vos systèmes est élevé. En effet, les honeypots de malwares à forte interaction exécutent de véritables systèmes d’exploitation. Par contre, si vous êtes satisfait de l’interaction de bas niveau, vous pouvez utiliser l’émulation, ce qui nécessite moins de maintenance et comporte moins de risques.
Les systèmes de honeypots de malwares prêts à l’emploi sont peut-être le point de départ le plus facile, bien qu’il existe des options open source qui peuvent être modifiées pour répondre à vos besoins. Ce n’est pas parce que vous utilisez un honeypot commercial que vous devez dépenser beaucoup. Il y a beaucoup d’options gratuites à essayer.
Honeypots de malwares, et plus encore…
Un paquet d’attaques informatiques est généralement le point de départ logique avant de passer à des options open source ou à des systèmes de honeypots coûteux et complets.
Vous pouvez évaluer l’intérêt d’utiliser un honeypot pour détecter les malwares. Si cela s’avère utile, vous pouvez consacrer plus de temps et de ressources au développement d’un honeypot entièrement personnalisé pour votre organisation.
Vous pouvez également commencer avec un honeypot de malwares et, si vous êtes satisfait des résultats, configurer un honeypot pour SCADA/ICS et pour vos services Web.
Nous vous suggérons les honeypots suivants pour commencer :
Honeyd
Un excellent choix pour simuler plusieurs hôtes et services sur une seule machine en utilisant la virtualisation. Ce honeypot à faible interaction permet de mettre en place un réseau convaincant impliquant de nombreux systèmes d’exploitation tels que Windows, Linux et Unix au niveau de la pile TCP/IP. Il est capable d’identifier passivement les hôtes distants.
Kippo
Il existe une façon courante de fournir un accès shell à distance sur un système d’exploitation. En effet, vous pouvez utiliser le protocole réseau Secure Shell (SSH). En utilisant ce protocole, vous pouvez établir une connexion distante sécurisée sur un réseau non sécurisé afin d’accéder à un shell distant. Mais pour s’y connecter, l’utilisateur doit d’abord s’authentifier auprès du serveur SSH. Le problème est que les pirates peuvent s’authentifier en récupérant le mot de passe lors d’une attaque par force brute.
Kippo est un honeypot à interaction moyenne conçu pour enregistrer toutes les attaques par force brute et toutes les interactions shell réalisées par les pirates. Il dispose d’un faux système de fichiers qui peut simuler un serveur Debian Linux. C’est ce que les attaquants voient lors de la connexion, c’est-à-dire qu’ils peuvent naviguer sur le serveur, mais ils ne peuvent pas faire de réels dégâts.
Kippo possède également d’excellentes capacités de journalisation et permet de visionner la rediffusion d’une attaque. De plus, il permet de créer des systèmes de fichiers complets.
Dionaea
C’est un bon honeypot de malwares basé sur Windows. Dionaea peut piéger les malwares qui exploitent les vulnérabilités exposées par les services offerts à un réseau.
Son but ultime est d’obtenir une copie du malware.
Ghost USB
Il s’agit d’un honeypot qui détecte les malwares diffusés via des clés USB. En gros, Ghost USB imite un périphérique de stockage USB.
Au cas où votre machine serait infectée par un malware utilisant de tels dispositifs pour se propager, Ghost USB incitera le malware à infecter le dispositif émulé.
Glastopf
Glastopf est un honeypot avec une faible interaction.
Son principe consiste à émuler un serveur web vulnérable qui héberge de nombreuses applications et pages web présentant des milliers de vulnérabilités.
Thug
C’est un honeypot côté client qui imite un navigateur Web. L’outil sert à explorer et interagir avec un site web malveillant afin de détecter le code malveillant ainsi que les objets qu’il contient.
On utilise souvent le terme « Thug » pour l’apprentissage et l’analyse des malwares ou pour la découverte de menaces.
Paquets de honeypots puissants
Il existe trois excellents ensembles complets de honeypots qui sont énumérés ci-dessous. Il peut être préférable de payer pour ces forfaits plutôt que de consacrer le temps et les ressources nécessaires au développement de votre propre système de honeypot personnalisé.
Capteur KFS
C’est un système de honeypots basé sur Windows avec une excellente fonctionnalité et flexibilité. Il est cher, mais c’est le choix des professionnels.
Pourquoi l’utiliser ?
Le Capteur KFS détecte les menaces inconnues, tout en améliorant la sécurité et en offrant une solution économique. C’est une solution économique qui ne nécessite que peu de maintenance.
En tant qu’honeypot, le capteur KFS est conçu pour attirer et détecter les pirates et les malwares en simulant des services système vulnérables.
De plus, il peut être préconfiguré pour surveiller tous les ports UDP, TCP et ICMP. Le honeypot peut démarrer la surveillance dès son installation et il est possible de le personnaliser si vous voulez ajouter des services supplémentaires.
MHN
MHN (ou littéralement Modern Honeypot Network) est un honeypot open source qui permet une configuration et une personnalisation faciles, avec une large gamme d’outils. Il fonctionne à l’aide d’une base de données Mongo.
Pourquoi l’utiliser ?
Ce honeypot est caractérisé par une interaction faible ou forte, selon sa complexité. Les configurations à forte interaction peuvent encourager les pirates à passer beaucoup de temps à exploiter un environnement factice, ce qui laisse de nombreux indices et fait perdre son temps.
Pour les configurations à faible interaction, le honeypot ne recueille que les informations de base sur les comportements invasifs des pirates. Son avantage est qu’il utilise moins de ressources.
HoneyDrive
C’est une application virtuelle (OVA) avec Xubunti pour Linux. Elle est fournie avec une gamme d’outils d’analyse, ainsi qu’un choix de 10 logiciels de honeypot préinstallés.
Pourquoi l’utiliser ?
Ce honeypot vous fait gagner du temps, car les principaux logiciels qui y sont liés sont préconfigurés et préinstallés pour fonctionner dès le départ.
À propos du honeypot CAPTCHA
La capture et le blocage des spams ont créé (et créeront toujours) l’un des plus grands désagréments sur Internet. L’une des solutions pour éviter ce problème est l’utilisation d’un champ CAPTCHA. Il vous protège contre les spams potentiels et de nombreux types d’abus automatisés.
Cette méthode fonctionne bien, mais elle présente quelques inconvénients. En fait, vous devez ajouter un champ de saisie de caractères encombrant sur tous vos formulaires. Là encore, vous pouvez penser que ce n’est pas un problème, mais vous allez souvent vous heurter à la conception, notamment si vous essayez de placer un formulaire de messagerie électronique dans un espace restreint. Pour bloquer rapidement les spams, vous pouvez simplement utiliser un honeypot CAPTCHA.
La méthode du honeypot CAPTCHA est assez simple. Il suffit de mettre un champ supplémentaire dans votre formulaire qui sera caché aux utilisateurs humains (c’est-à-dire que les humains ne devront pas remplir). La plupart des robots de spam recherchent des formulaires, puis ils remplissent tous les champs disponibles et les envoient. Si le robot remplit le champ CAPTCHA du honeypot, vous pourrez reconnaître qu’il s’agit d’un spam.
L’avantage du champ CAPTCHA caché est qu’il n’a pas d’impact sur l’expérience des utilisateurs finaux. Souvent, ces derniers ne savent même pas qu’il est mis en œuvre.
L’inconvénient de cette méthode est que, si les utilisateurs disposent d’une fonction de remplissage automatique ou d’un lecteur d’écran destiné à remplir les champs pour eux, ces outils peuvent aussi voir les champs invisibles et les remplir automatiquement, comme le ferait un spambot. Ceci entraînerait le rejet du formulaire.
Si vous avez installé un honeypot CAPTCHA et que vous recevez encore trop de spams, vous aurez probablement besoin d’une solution supplémentaire pour assurer une protection maximale de votre réseau.
Utiliser des honeypots basés dans le cloud est-elle une bonne idée ?
Les entreprises qui utilisent le cloud sont particulièrement vulnérables à une myriade de cybermenaces, dont certaines ne sont même pas encore connues.
Si vous souhaitiez protéger votre réseau, vos logiciels, vos données basées dans le cloud ou votre système de messagerie électronique contre d’éventuelles menaces, vous pouvez utiliser un honeypot. Il pourra recueillir les données sur les éventuelles attaques et personnaliser la protection de votre réseau contre les attaques futures.
Mais pourquoi héberger vos honeypots dans le cloud ?
Il est possible de déployer des honeypots directement sur votre cloud privé, mais la plupart des entreprises de sécurité ne le recommandent pas (ou ne le font pas), car cela pourrait faire courir des risques inutiles à vos systèmes. Une autre option consiste à utiliser le cloud public pour les héberger. Ainsi, vous pourrez mieux protéger votre réseau réel des attaques sur les vulnérabilités et de ne pas mettre en danger vos données sensibles. Vous pouvez également utiliser le cloud public pour détecter les cyberattaques provenant de différents pays du monde.
De plus, les honeypots basés dans le cloud peuvent être configurés pour découvrir les activités des cybercriminels de n’importe quelle partie du monde. Vous pourrez donc collecter des informations précieuses qui feront passer votre système de cybersécurité à un niveau supérieur.
Attention toutefois : un rapport d’étude publié par Sophos — qui portait sur dix serveurs cloud honeypots — a révélé que les cybercriminels peuvent rechercher automatiquement des buckets open cloud vulnérables. S’ils réussissent à entrer dans votre réseau, vos données sensibles seront exposées. Ils peuvent aussi se servir de vos serveurs cloud compromis comme relais afin d’accéder à d’autres réseaux ou serveurs.
Votre honeypot peut être détecté !
Comme on l’a dit ci-dessus, les honeypots présentent quelques inconvénients.
Ce n’est peut-être qu’une question de temps avant que votre honeypot ne soit détecté, et lorsque cela se produit, l’information est susceptible d’être partagée avec d’autres pirates. Heureusement, il existe de nombreux forfaits différents et il est possible de créer des honeypots personnalisés. Les pirates informatiques ne peuvent donc pas rechercher une signature unique pour identifier un système comme étant un honeypot.
Il y a des signes évidents qu’un système est un honeypot. Nous vous recommandons de prendre des mesures pour résoudre les problèmes suivants si vous voulez vous assurer qu’il n’est pas détecté comme un faux système.
Assurez-vous qu’il y ait de l’activité dans le système – Un signe certain d’un faux système est qu’aucune personne ne l’utilise !
Faites en sorte qu’il soit beaucoup trop facile de compromettre le système – en définissant par exemple « mot de passe » comme mot de passe.
Laissez les ports impairs ouverts et assurez-vous que les services hors du commun sont en cours d’exécution.
Presque aucun logiciel n’a été installé.
Les configurations par défaut des logiciels et des systèmes d’exploitation ont été installées.
La structure des fichiers est trop régulière et les noms de fichiers sont manifestement faux – les noms de fichiers tels que « liste de mots de passe utilisateur » et « numéros de sécurité sociale du personnel » sont irréalistes.
Il vaut également la peine d’envisager l’inclusion ou non d’un « port de tromperie ».
Il s’agit d’un port ouvert, permettant à un attaquant de détecter un honeypot.
Quel est l’intérêt ?
Cela montrera à tout attaquant potentiel qu’il a affaire à une organisation qui a consacré beaucoup de temps et d’efforts à la cybersécurité.
Cela, en soi, peut suffire à convaincre les attaquants de regarder ailleurs et de poursuivre des cibles beaucoup plus faciles.
Les réglementations concernant les honeypots
La diversité de honeypots rend difficile l’appréhension des aspects juridiques liés à ces outils informatiques. Les honeypots servent à alarmer le personnel informatique d’une activité anormale, mais aussi à surveiller l’activité des cybercriminels. Face à cette diversité d’outils, il faut que les organisations se conforment à quelques règlementations.
Certain pays acceptent l’utilisation des honeypots, tandis que d’autres le condamnent. Depuis la mi-avril 2003, quelques états américains reconnaissent que cette pratique est illégale sur leurs territoires.
En France, le ministère de l’intérieur a affirmé que les organismes gouvernementaux français ne doivent pas utiliser les technologies basées sur les honeypots. Selon ladite insitution, un honeypot est une technique de leurre dont le but est d’éprouver et de comprendre les techniques d’intrusion sur des systèmes. En réalité, le droit pénal français prohibe toute forme de provocation à commettre une infraction. Cette technique ne devrait donc pas utilisée.
L’article 23 de la loi du 29 juillet 1881 sur la liberté de la presse confirme que toute action commise par le biais de certains canaux, et qui auront directement provoqué un ou plusieurs auteurs à commettre ladite action, est qualifiée de crime ou délit si la provocation a été suivie d’effet.
De plus, l’utilisation d’un honeypot ne relève pas seulement d’un problème légal, car l’outil peut récupérer des données à caractère personnel. Le traitement de ces informations doit faire l’objet d’une déclaration à la Commission nationale de l’informatique et des libertés (CNIL).
Les administrateurs réseaux qui souhaitent protéger leur réseau via les honeypots doivent donc se prémunir contre les poursuites judiciaires, même si ces poursuites devraient être dédiées aux hackers.
Nos conseils !
Comme susmentionnée, la mise en place d’un honeypot peut exiger beaucoup de ressources. Pour éviter cela, vous pouvez l’installer sur de vieux ordinateurs ou sur d’autres appareils que vous n’utilisez plus. Quant aux logiciels, vous pouvez choisir des honeypots prêts à l’emploi afin de réduire le travail interne nécessaire pour son déploiement.
Sachez que les honeypots ont un faible taux de faux positifs, contrairement aux systèmes traditionnels de détection d’intrusion (IDS) qui peuvent produire un niveau élevé de fausses alertes. Mais si vous savez utiliser les données collectées par vos honeypots pour les corréler avec d’autres journaux du système et du pare-feu, vous pourrez configurer l’IDS avec des alertes plus pertinentes pour produire moins de faux positifs. Ceci vous permet d’améliorer vos systèmes de cybersécurité.
Les honeypots peuvent également servir d’outils de formation pour votre personnel de sécurité informatique. Comme il s’agit d’un environnement contrôlé et sûr, il permet de montrer comment fonctionnent les cybercriminalités et d’examiner de nombreux types de menaces.
Les pare-feu ne sont pas efficaces pour contrer les menaces internes, par exemple, lorsqu’un employé qui envisage de quitter votre organisation et qui voudrait voler des fichiers avant de partir. Un honeypot peut vous donner certaines informations valables sur ces menaces internes.
Bien qu’un honeypot puisse cartographier les menaces internes ou celles venant de l’extérieur, il ne voit pas tout ce qui se passe, c’est-à-dire qu’il ne peut détecter que les activités qui sont dirigées vers lui. Si aucune menace n’a pas été dirigée contre le honeypot que votre organisation est à l’abri des actes cybercriminelles.
Ajoutez des couches de sécurité supplémentaires pour protéger votre réseau
Un honeypot peut vous aider à contrer certaines attaques en ligne, mais la meilleure solution est d’adopter un ensemble de solutions de cybersécurité comprenant les services de sécurité de base dont toutes les entreprises ont besoin afin qu’elles puissent mieux se protéger contre les principaux vecteurs d’attaques.
En réalité, vous devez disposer de cinq services de sécurité clé, à savoir :
Une solution de cybersécurité de base ;
Un pare-feu ;
Une couche supplémentaire pour la sécurisation de la messagerie électronique ;
Un service de filtrage du DNS
Une solution de sécurisation des nœuds d’extrémité.
D’abord, le pare-feu est essentiel si vous voulez sécuriser votre périmètre réseau, en séparant les réseaux fiables de ceux qui ne le sont pas. Il peut également protéger vos ressources et votre infrastructure réseau contre les accès non autorisés. Pour plus de sécurité, vous pouvez même mettre en place plusieurs pare-feu.
Ensuite, la sécurité de la messagerie électronique est cruciale, car ce canal est le plus utilisé par les pirates pour mener leurs attaques. Sans cela, de nombreux e-mails malveillants ou de phishing risquent d’atteindre les boîtes de réception de vos employés. Ainsi, vous ne pourrez plus compter que sur leur capacité à réagir face aux attaques cybercriminelles.
Vous devez également déployer un filtre DNS pour vous protéger contre les attaques cybercriminelles, notamment les téléchargements par drive-by, les publicités malveillantes et les kits d’exploitation.
Même les meilleures honeypots ne permettent pas de bloquer toutes les menaces en ligne. Le filtrage DNS s’avère dans ce cas une couche de sécurité supplémentaire qui protégera votre organisation contre les attaques de malwares et de phishing. Il peut également assurer la protection de vos employés lorsqu’ils utilisent le WiFi public.
En ce qui concerne la sécurisation des nœuds d’extrémité, sachez que cette solution peut ajouter une couche supplémentaire à votre pile de sécurité. Au cas où l’une des solutions susmentionnées échouerait et que des malwares seraient téléchargés, la sécurisation des nœuds d’extrémité pourra fournir une protection supplémentaire. Vous pouvez utiliser un logiciel antivirus ou d’autres solutions plus avancées tels que les systèmes de détection d’intrusion.
Bon à savoir : Lorsque vous choisissez les solutions à adopter pour votre pile de sécurité, assurez-vous qu’elles peuvent fonctionner parfaitement ensemble. Il est donc recommandé de ne pas acheter vos solutions de sécurité auprès de fournisseurs différents.
Pour assurer la sécurité de votre réseau et de vos données, optez pour TitanHQ, leader mondial en matière de sécurité web et de la protection de la messagerie dans le cloud. La marque fournit des produits efficaces, faciles à utiliser et à gérer.
Les différents produits de TitanHQ
La marque propose trois solutions de base, notamment la sécurisation de la messagerie électronique (SpamTitan) ; le filtrage DNS (WebTitan) et la solution d’archivage des e-mails (ArcTitan).
Toutes ces solutions peuvent être à 100 % basées dans le cloud. Elles ont été développées pour que vous puissiez facilement l’intégrer dans votre pile de sécurité, en plus de votre système honeypot. Il est aussi possible de les mettre en place sur votre infrastructure existante. Vous pouvez même personnaliser l’interface utilisateur afin de n’inclure que les fonctionnalités dont vous avez besoin.
Si vous avez besoin de rapports, vous n’aurez aucun problème. La solution de TitanHQ est dotée d’une large gamme de rapports préconfigurés. Vous pouvez les planifier dans le but d’alléger votre charge administrative, surtout lorsque vous devez fournir des rapports à votre conseil d’administration. Bien entendu, vous pouvez aussi créer vos propres rapports.
Grâce à TitanHQ, votre entreprise pourra offrir facilement des services de sécurité fiables à vos employés et améliorer ses marges.
Pour en savoir plus sur nos produits ou pour toute autre information, contactez dès aujourd’hui notre équipe. Vous bénéficierez d’un essai gratuit pour vous permettre de constater par vous-même pourquoi de nombreuses entreprises ont choisi nos solutions.
Voici les bonnes pratiques en matière de cybersécurité pour les restaurants que vous pouvez adopter pour sécuriser votre réseau et empêcher les pirates informatiques d’accéder à votre système de point de vente et aux informations des cartes de crédit de vos clients.
Les cybercriminels ciblent les systèmes de point de vente des restaurants
Si vous exploitez un restaurant très fréquenté, vous traiterez probablement des milliers de transactions par carte de crédit et de débit chaque mois. Chaque fois qu’une personne paie avec une carte, vous avez la responsabilité légale de vous assurer que les détails concernant cette carte et enregistrés par votre système de point de vente (PDV) restent privés, qu’ils ne puissent pas être volés par vos employés et qu’ils ne tombent pas sur la main des cybercriminels.
Depuis le début de l’année, il y a eu plusieurs cyberattaques majeures dans les restaurants, ce qui a entraîné le vol de numéros de carte de crédit et de débit des clients. En août, Darden Restaurants a découvert que des pirates informatiques avaient accédé au système de PDV utilisé des clients de ses restaurants Cheddar’s Scratch Kitchen et qu’ils avaient volé plus d’un demi-million de numéros de cartes de paiement.
Applebee’s, PDQ, Zippy’s et Chili’s ont tous été victimes de cyberattaques en 2018, ce qui a permis aux pirates d’accéder aux cartes de paiement de leurs clients. L’année dernière, plusieurs cyberattaques ont également eu lieu dans d’autres établissements, y compris Shoney’s, Arby’s, Chipotle, et la chaîne Sonic Drive-In.
Les cyberattaques dans les restaurants sont notables en raison du nombre de numéros de cartes volés. Celle contre Cheddar’s aurait entraîné le vol de plus d’un demi-million de numéros de cartes de paiement, de dates d’expiration et de codes CVV ; tandis que l’atteinte à la protection des données contre Sonic aurait concerné des millions de clients.
Toutes les cyberattaques contre les restaurants ne sont pas menées contre les grandes chaînes de restaurants. Des restaurants de plus petite taille sont également attaqués. Ces petits établissements ne traitent peut-être pas autant de transactions par carte de paiement qu’une chaîne de la taille d’Applebee’s. Pourtant, les attaques peuvent s’avérer rentables pour les criminels.
Les détails des cartes de paiement se vendent jusqu’à 7 dollars. Un vol de 1 000 numéros de carte dans un petit restaurant pourrait donc générer un profit décent ; alors que l’effort mené par les cybercriminels pour attaquer ces petits restaurants est souvent bien inférieur à celui d’une attaque sur une grande chaîne.
Tous les restaurants risquent d’être piratés. Des mesures doivent donc être prises pour rendre l’accès à leurs réseaux, à leurs systèmes de PDV et à leurs données de clients aussi difficiles que possible pour les pirates informatiques. C’est dans cette optique que nous avons dressé la liste des pratiques exemplaires en matière de cybersécurité que les restaurants doivent adopter pour éviter une atteinte à la protection des données.
Bonnes pratiques en matière de cybersécurité pour les restaurants
Vous trouverez ci-dessous une liste des bonnes pratiques en matière de cybersécurité que les restaurants doivent adopter pour rendre l’accès à leurs réseaux et à leurs données plus difficile pour les pirates informatiques. Bien entendu, il n’y a pas de solution miracle pour mettre fin à toutes les cyberattaques, mais ces pratiques exemplaires vous aideront à améliorer votre système de sécurité.
La segmentation du réseau est un must
Si vous avez un restaurant, vous aurez probablement plusieurs ordinateurs en service ainsi que de nombreux autres appareils qui se connectent à votre réseau via une connexion Ethernet ou WiFi.
Chaque appareil qui se connecte à votre réseau pourrait être un point d’entrée pour un hacker. Il est donc important de mettre en place des mesures de telle sorte que, si un dispositif était compromis, les pirates informatiques n’auront pas l’accès à l’ensemble de votre réseau.
Votre système de PDV doit être séparé des autres parties du réseau, et les utilisateurs ne devraient pas avoir accès qu’à une partie du réseau, c’est-à-dire celle qui est nécessaire pour l’accomplissement des tâches qui leur sont assignées.
La gestion des correctifs et l’analyse de la vulnérabilité
Il suffit qu’une vulnérabilité ne soit pas traitée pour que vous soyez vulnérable aux attaques cybercriminels.
Il est donc essentiel de procéder à un inventaire de tous les périphériques qui se connectent à votre réseau et de s’assurer que les correctifs et les mises à jour logicielles nécessaires soient appliqués sur tous ces périphériques dès qu’ils sont disponibles.
Vous devriez également effectuer régulièrement des analyses de vulnérabilité pour identifier les éventuelles vulnérabilités et prendre rapidement des mesures pour vous assurer que ces failles soient corrigées.
Sécurisez votre périmètre avec un pare-feu
L’une des plus importantes solutions de cybersécurité que vous devez mettre en œuvre pour empêcher les pirates d’accéder à votre réseau est un pare-feu.
Un pare-feu surveille et contrôle le trafic réseau entrant et sortant et sert de barrière entre un réseau interne de confiance et un réseau externe non fiable. Il est également un élément important de la conformité PCI (un ensemble de normes destinées aux entreprises qui doivent gérer et sécuriser des données).
Implémentez un filtre antispam pour bloquer les e-mails malveillants
Le courrier électronique est le vecteur le plus couramment utilisé par les pirates pour installer des logiciels malveillants. Les attaques de phishing sont courantes et constituent un moyen facile pour ces derniers d’obtenir des informations d’identification et de prendre pied sur le réseau.
Utilisez un filtre antispam tel que SpamTitan pour empêcher les messages malveillants d’être envoyés dans les boîtes de réception des utilisateurs finaux et pour bloquer tous les e-mails malveillants.
Protégez votre réseau WiFi avec une solution de filtrage Web
Votre réseau WiFi est un point d’entrée potentiel pour un hacker. Il doit donc être sécurisé. Si vous fournissez un accès WiFi à vos clients, assurez-vous qu’ils ne disposent que d’un accès à un réseau invité et non à un réseau utilisé par votre personnel.
Implémenter un filtre Web vous permet de contrôler ce que les utilisateurs peuvent faire lorsqu’ils sont connectés à votre réseau. Il vous aidera à empêcher le téléchargement de malwares. Il peut également être configuré pour bloquer l’accès aux sites Web à risque.
WebTitan est un filtre Web idéal pour les restaurants qui veulent améliorer leur sécurité WiFi.
Achetez un logiciel antivirus
Le logiciel antivirus est l’une des solutions logicielles les plus élémentaires pour se protéger contre les malwares.
Ces malwares sont généralement installés sur les systèmes de PDV pour enregistrer et exfiltrer les informations relatives aux cartes de paiement.
Pour y remédier, vous devez non seulement vous assurer qu’une solution antivirus puissante est installée, mais vous devez aussi procéder à des analyses régulières de votre réseau.
Fournir une formation de sensibilisation à la sécurité à votre personnel
Vos employés sont un point faible potentiel dans vos défenses informatiques.
Ne présumez pas qu’ils sont conscients des enjeux en matière sécurité informatique. Enseignez à vos collaborateurs les meilleures pratiques en matière de cybersécurité pour les restaurants.
Offrez-leur une formation antiphishing et expliquez-leur les comportements à risque qui pourraient facilement conduire à une atteinte contre de la protection des données.
Sauvegardez… Et sauvegardez à nouveau !
Vous devez effectuer des sauvegardes régulières de toutes vos données essentielles pour vous protéger contre les pirates et vous protéger des attaques de ransomware.
En cas de catastrophe, vous devrez enregistrer toutes vos données.
Adoptez l’approche 3-2-1 pour créer des sauvegardes. Créez trois copies, sur deux supports distincts, et stockez une copie hors site, en toute sécurité, sur un périphérique isolé, c’est-à-dire un système qui n’est pas connecté à Internet.
Éduquez vos vendeurs
L’accès à votre réseau peut être obtenu par l’intermédiaire de vos fournisseurs.
Sachez que la cyberattaque contre les restaurants PDQ s’est produite via un outil d’accès à distance utilisé par l’un de ses fournisseurs de technologie. Si un fournisseur est capable de se connecter à votre réseau, il est essentiel qu’il dispose des contrôles de sécurité appropriés. Assurez-vous de vérifier le niveau de sécurité de votre fournisseur et les contrôles qu’il a mis en place pour empêcher le piratage informatique avant de lui accorder un accès à votre réseau.
Si vous adoptez ces meilleures pratiques en matière de cybersécurité pour les restaurants, les pirates informatiques auront plus de difficulté à accéder à votre réseau. Vous devriez ainsi être en mesure d’éviter une faille de sécurité dont les conséquences peuvent être coûteuses pour votre établissement.
