Crédit : Dreamstime
Les incidents de sécurité ont atteint des niveaux record tout au long de 2022, avec le les principaux risques consistent en des violations d’informations et des ransomwares, en conduisant des escroqueries financières et en des pertes dues au paiement de rançons. Le nombre d’attaques de logiciels malveillants reconnus ne cesse d’augmenter. Un rapport actuel de la société britannique IT Governance a identifié 112 événements de sécurité divulgués publiquement en août 2022 couvrant des marchés cruciaux à travers le monde.
Ces failles de sécurité ont entraîné la compromission de 97 456 345 enregistrements. Les attaques de logiciels malveillants comprises tout au long de 2022 coûtent des millions de dollars aux entreprises. Au cours du premier semestre 2022, il y a eu au total 236,1 millions d’attaques de ransomwares dans le monde selon Statista. Les pirates utilisent généralement des campagnes de phishing intelligentes pour accéder aux qualifications des membres du personnel afin de lancer ces attaques.
Social ingénierie
Il existe actuellement plusieurs ruses de piratage, mais l’ingénierie sociale doit figurer en tête de liste des menaces croissantes de chaque OSC. Ces hacks peuvent inclure tout, des faux messages de banques avec des liens de spam, des messages directs FB suspects de bons amis aux mauvais acteurs hameçonnant les qualifications des employés pour accéder aux systèmes de l’entreprise.
Victimiser et tromper les employés sans méfiance est devenu l’un des moyens les plus simples pour les pirates d’accéder aux systèmes de l’entreprise. Trouvez un travailleur sans méfiance, accédez aux qualifications de ce travailleur et prenez les clés du royaume. Comme le dit l’énoncé, il est beaucoup plus facile d’entrer en utilisant les secrets de la porte d’entrée que de pirater par une porte dérobée.
Collectivement, nous devons adopter une méthode plus moderne et protégée pour confirmer l’identité d’un individu. identité et dépassez les anciennes méthodes de multiples noms d’utilisateur, mots de passe et réponses aux problèmes de sécurité. Même la MFA n’est plus infaillible.
Uber, Twillio, Mailchimp hacks
Toute organisation est exposée à un risque de violation d’informations ou d’atteinte à la sécurité. C’est ce qui s’est passé pour Uber l’été dernier. Un hacker social a créé les qualifications d’un membre du personnel d’Uber et a accédé à l’intranet interne d’Uber, au système Slack de l’entreprise, à l’administrateur Google Workspace, aux comptes AWS d’Uber, aux panneaux de contrôle financier, etc.
Un autre exemple marquant s’est déjà produit en 2022 lorsque la société de sécurité Group-IB a découvert que des membres du personnel de Twilio, MailChimp et Klavioyo étaient les victimes involontaires d’une énorme campagne de phishing. Cette attaque a mis en péril près de 9 400 comptes dans plus de 130 organisations. Bon nombre de ces travailleurs étaient basés aux États-Unis et possédaient déjà le service d’identité et d’accès à la gestion d’Okta.
Il y a également eu d’autres attaques plus tôt cette année. J’en ai couvert l’actualité dans ma chronique CIO en juin. Par exemple, le piratage de Lapsus $ incluait les entreprises Cisco, NVIDIA, Samsung, T-Mobile, Vodafone et potentiellement d’autres organisations importantes.
Et les OSC, gardez à l’esprit que même les plates-formes développées pour vous protéger, vous et votre les employés sont piratés. En août, l’entreprise de gestion de mots de passe LastPass a annoncé que ses systèmes avaient en fait été piratés.
Les CSO et les administrateurs système pensaient que l’authentification MFA (authentification multi-facteurs) ou 2FA (authentification à 2 facteurs) étaient des solutions parfaites. Aujourd’hui, même ces processus sont piratés, et les mauvaises étoiles acquièrent un accès non autorisé aux informations et informations des utilisateurs.
Législation émergente
Avec des personnes victimes de phishing / attaques de fraude, les législateurs du Royaume-Uni et des États-Unis gardent à l’esprit. Il existe une proposition au Royaume-Uni selon laquelle les banques et d’autres banques rembourseraient les victimes d’escroqueries en ligne.
Le régulateur des systèmes de paiement a révélé en septembre qu’il souhaitait que l’industrie des paiements change sa façon de gérer l’APP (Authorised Push Payment ) arnaques. Les procédures proposées exigent que les banques remboursent les montants volés de plus de 100 ₤ aux victimes de fraude.
Les banques basées au Royaume-Uni seront obligées d’indemniser un client, même s’il s’agissait d’une attaque de phishing rendue possible par la méconnaissance du client bancaire. La banque sera toujours tenue d’aider à rembourser l’argent perdu.
Aux États-Unis, la sénatrice du Massachusetts Elizabeth Warren promeut également une législation similaire à la suite de son analyse des consommateurs de Zelle qui ont signalé de l’argent volé.
Les institutions financières devraient porter une attention particulière aux plans d’escroquerie pour mieux protéger leurs consommateurs. En sécurisant leurs clients, les banques protégeront également leurs résultats. Les problèmes de cybersécurité ne sont pas simplement un problème de sécurité ou de nom de marque ; ils finissent également par devenir un problème monétaire punitif.
Comment les OSC peuvent résister
Les OSC doivent redoubler d’efforts pour éviter les tentatives de phishing autour des systèmes internes. C’est l’une des actions les plus critiques à entreprendre. Non seulement vos clients sont piratés et leurs informations sont exposées, mais même les entreprises qui gèrent les qualifications et accèdent au contrôle (Duo, OKTA, LastPass) ont été mises en danger, ce qui aggrave encore le problème.
Sécuriser le porte d’entrée reste le meilleur moyen de dominer face à ces menaces. Adopter une technique à plusieurs niveaux pour réévaluer l’identité des membres de votre personnel, de vos partenaires et de vos clients est un excellent point de départ. Si vous n’envisagez pas actuellement de le faire, il est temps de commencer à envisager la prochaine génération de gestion des identités et d’accéder aux éléments de contrôle introduits sur le marché. Ces systèmes innovants peuvent bien mieux développer non seulement l’identité du gadget qui se connecte, mais également l’identité de la personne qui utilise le gadget. De plus, l’identité doit être une préoccupation constante, pas simplement au début de la journée, du quart de travail ou de la session en ligne.
Les nouveaux systèmes basés sur l’IA peuvent accomplir cela sans développer de fenêtres contextuelles frustrantes de re- l’authentification, en combinant une variété de signaux comportementaux et éventuellement biométriques en temps réel. Zero Trust a fini par être une expression usée dans l’industrie, mais il est maintenant temps de commencer à publier des options qui vous permettent, en tant que CSO, de vraiment faire confiance à qui accède à vos réseaux et informations.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur