Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Jorge Steinfeld, Check Point Software Technologies : Les entreprises menacées par l’augmentation des cyber-attaques lors du Cybermonday et du shopping en ligne pour les fêtes de fin d’année

novembre 2011 par Jorge Steinfeld, directeur adjoint chargé des Systèmes d’Information chez Check Point Software Technologies

Créé en 2005 aux Etats-Unis, le « Cyber Monday » est une journée d’offres spéciales sur de nombreux sites de e-commerce. Il est donc synonyme de bonnes affaires pour les entreprises comme pour les particuliers. Mais c’est également un jour de fête pour les hackers ! Comptant parmi les plus grosses journées de shopping de l’année, le Cyber Monday est pour eux une occasion exceptionnelle d’exploiter les promotions de la grande distribution, les termes de recherche les plus répandus et le développement des achats en ligne. Les entreprises qui ne prennent pas quelques précautions risquent d’en être les victimes.

Cette journée particulière dédiée au shopping en ligne, tombe cette année le 28 novembre. (Le lundi qui suit la fête de Thanksgiving aux Etats-Unis.) C’est aujourd’hui la plus grosse journée de shopping en ligne de l’année. Selon une étude de Shop.org/BizRate, en 2005, 78 % des sites de commerce en ligne ont constaté une augmentation importante par rapport au même jour de l’année précédente. Malheureusement, nombreuses sont les entreprises qui ne sont pas conscientes de l’importance de cette journée pour les cybercriminels.

Or, les médias sociaux sont au centre de l’intérêt des hackers. Ils créent de faux profils sur les réseaux sociaux et sur les sites de e-commerce, de façon à imiter parfaitement les marques d’entreprises reconnues, et induisent les internautes à les consulter. Il est donc tout à fait possible que du contenu malveillant se cache derrière un tweet ou un lien dans Facebook. Or, si un employé de l’entreprise clique sur ce lien, c’est la totalité de l’environnement qui en danger !

La plupart des consommateurs se méfient et pensent être à même d’identifier un lien malveillant. Pourtant, une enquête récente de Check Point Software montre que le phishing et les réseaux sociaux sont les sources les plus répandues des attaques par des techniques sociales, c’est à dire, des attaques qui s’appuient sur des applications du Web 2.0 et des réseaux sociaux pour collecter des informations personnelles et professionnelles sur les individus, pour créer des profils spécifiques et pour obtenir des informations personnelles ou confidentielles. Il peut s’agir aussi bien du numéro d’une carte de crédit que d’informations confidentielles sur l’employeur de l’individu visé. Le rapport intitulé « The Risk of Social Engineering on Information Security » (« Les risques des techniques sociales pour la sécurité des informations ») montre que 86 % des professionnels de l’informatique et de la sécurité sont conscients ou très conscients des risques liés aux techniques sociales, et que quasiment la moitié des entreprises interrogées reconnaissent qu’elles ont été victimes de ces techniques plus de 25 fois au cours des deux dernières années.

Ces chiffres mettent en lumière une dure réalité : la technologie ne suffit pas à protéger une organisation. Les individus constituent un maillon critique du processus de sécurité, car des personnes malveillantes peuvent les pousser à faire des erreurs, provoquant ainsi des infections qui les mettront en danger, ainsi que leur entreprise. De nombreuses organisations ne sont pas suffisamment attentives au rôle des utilisateurs, alors que ceux-ci sont essentiels dans la sécurité d’une entreprise, et peuvent parfois en être le maillon faible. Une bonne façon de sensibiliser les utilisateurs est de les impliquer dans le processus de sécurité et de leur donner les moyens de prévenir et de résoudre les incidents en temps réel.

Les entreprises doivent absolument prendre les précautions nécessaires et communiquer les meilleures pratiques à leurs salariés, avant qu’elles ne subissent une attaque. Cette recommandation est particulièrement vraie pendant la période des fêtes. Fort heureusement, la mise en œuvre des bonnes pratiques permet souvent d’éviter le pire.

Voici quelques conseils aux entreprises qui veulent passer les fêtes en toute tranquillité :

· S’ assurer que l’entreprise a installé les toutes dernières mises à jour de ses outils de prévention des intrusions, qui constituent la première ligne de défense de son réseau. Elle doit aussi mettre en place des mesures de prévention contre l’exploitation de ses vulnérabilités, et de sécurisation de tous ses points finaux.

· La majorité des enseignes de grande distribution utilisent aujourd’hui les médias sociaux pour proposer des promotions et des chèques-cadeaux. Une solution robuste de contrôle des applications et de filtrage des URL peut aider à limiter les risques auxquels s’exposent les salariés lorsqu’ils utilisent un site Web ou une application du Web 2.0. Les médias sociaux sont des outils remarquables de densification des relations entre les consommateurs et les entreprises. Mais ils ouvrent également des portes aux hackers qui répandent du contenu malveillant et des attaques virales. Le contrôle des applications identifie de nombreux programmes et applications et donne la possibilité de bloquer ou de limiter leur utilisation par les collaborateurs, en fonction de leurs besoins professionnels spécifiques. Cette approche peut améliorer l’intégrité du système et aider les entreprises à sécuriser et à gérer l’accès à des milliers d’applications du Web 2.0 dans l’entreprise, sans pour autant entraver son activité.

· Les entreprises doivent encourager leurs salariés à ne consulter que des sites sécurisés par SSL. Selon le navigateur utilisé, un site disposant d’un certificat SSL sera accompagné de l’icône d’un cadenas, ou fera changer la couleur de la barre d’adresse. L’utilisateur peut alors cliquer sur l’icône du cadenas pour vérifier l’identité du propriétaire du certificat. De plus, l’URL du site Web commencera par https://. SSL utilise un système complexe d’échange de clé entre votre navigateur et le serveur afin de chiffrer les données avant de les transmettre sur le réseau.

· L’entreprise et ses salariés disposent d’un antivirus à jour et des derniers correctifs des systèmes d’exploitation utilisés. C’est un aspect essentiel de la prévention des attaques.

· De nombreux salariés surfent et font des achats sur Internet à l’aide d’appareils mobiles. Ce mode d’utilisation accroit le risque, car les menaces sur la sécurité des communications mobile se développent très vite. Il est important de savoir quels sont les appareils mobiles qui accèdent aux ressources de l’entreprise et d’appliquer le bon niveau de contrôle des accès au réseau.

· La plupart des sites de commerce en ligne augmentent leur débit réseau et leur capacité pour faire face à l’augmentation du volume de transactions pendant les jours de forte activité. Pour cela, ils utilisent des sites d’hébergement flexible ou des sites sur le cloud pendant un court laps de temps (par exemple, pendant la période des fêtes, c’est à dire, pour un mois ou deux). Mais qu’advient-il des données stockées sur ces sites temporaires une fois que le contrat arrive à échéance ? L’entreprise qui fournit le site doit prévoir des procédures internes de sécurité adaptées, et les appliquer aux sites temporaires afin d’assurer la protection de ses propres données et de celles des consommateurs.

· Vérifiez que les passerelles de sécurité peuvent gérer l’augmentation de trafic, en particulier si votre entreprise prévoit une forte augmentation des volumes (enseigne de grande distribution, banque ou site de commerce électronique).

En bref, la période des fêtes est une période à risque. Le Cyber Monday est de plus la plus grosse journée de shopping en ligne de l’année, et c’est généralement une occasion de faire de bonnes affaires. Les entreprises doivent savoir que le nombre d’escroqueries, d’attaques, d’e-cartes ou d’e-mails frauduleux ou de tentatives de pishing est nettement plus important pendant cette période de l’année. Les entreprises qui prennent des précautions en s’appuyant à la fois sur la technologie et sur la sensibilisation de leurs utilisateurs peuvent considérablement réduire leur exposition en cette fin d’année.




Voir les articles précédents

    

Voir les articles suivants