Les bonnes pratiques pour lutter contre la cybercriminalité
Les bonnes pratiques pour lutter contre la cybercriminalité |
Les entreprises modernes sont très vite confrontées aux dangers que représente un modèle commercial actif en permanence. Les clients ont de plus en plus recours à des outils en ligne pour accéder à des comptes, à des services ou à de l’expertise.
Quant aux employés, ils souhaitent pouvoir se connecter à distance et à tout moment aux réseaux de leur entreprise. D’où l’aspiration à un accès quotidien plus simple et plus pratique. Mais cette souplesse a aussi son revers. Les hackers, qui l’ont également bien compris, créent par conséquent des virus et des logiciels malveillants, dans l’unique intention de nuire. À la lumière des récentes révélations de l’organisme britannique Office for National Statistics selon lequel plus de 5,8 millions d’incidents de cybercriminalité ont eu lieu l’an dernier, il est crucial que les entreprises protègent les données de leur personnel et de leurs clients contre la cybercriminalité. Dans ce contexte, quelles sont les principales activités de cybercriminalité dont les entreprises ont à se prémunir, et que faire pour les combattre ?
La manipulation sociale (Social engineering) A l’ère du numérique, les pratiques de manipulation sociale sont devenues un problème préoccupant. Du fait que l’internet offre aux fraudeurs un voile d’anonymat, il est important que les sociétés qui détiennent des données clients sensibles soient au courant des pratiques les plus répandues parmi les hackers qui utilisent la manipulation sociale. Le phishing aussi appelé hameçonnage, est peut-être la forme la plus connue de piratage de fraude par abus de confiance. Il recouvre les tentatives de fraudeurs qui généralement déploient de multiples moyens pour acquérir des données sensibles telles que les noms d’utilisateur, les mots de passe et les détails de paiement en se faisant passer pour une personne connue ou des organismes de confiance par courrier électronique ou une autre forme de communication numérique. Récemment, les cas de hameçonnage beaucoup plus ciblé, où les hackers se présentent comme des personnes de confiance, sont à la hausse. En cas de succès de l’attaque, les données des clients ou les documents sensibles d’une entreprise et donc sa réputation – sont en danger. En effet, la recherche par Get Safe Online indique que la fraude liée au phishing a contribué aux organisations britanniques qui ont perdu plus de 1 milliard de livres sterling au cours de la dernière année en raison de la cybercriminalité. Selon l’enquête, réalisée avec Opinion Way et dévoilée en exclusivité par Europe 1, 81% des sociétés française ont été ciblées par des pirates informatiques en 2015. Le vishing et le smishing sont les variantes du phishing passant respectivement par les communications téléphoniques et SMS. Dans un cas comme dans l’autre, le principe est de récupérer les données sensibles de vos clients ou de votre entreprise. Compte tenu de l’impact dévastateur que peut avoir l’utilisation de la manipulation sociale par les cybercriminels sur les entreprises modernes, les dirigeants d’entreprise et les responsables informatiques doivent être très attentifs à ce type d’activités.
Menaces internes A l’instar de la manipulation sociale qui peut porter préjudice aux entreprises de l’extérieur, il est légitime de se méfier également des menaces internes. Votre personnel peut disposer de privilèges d’accès aux données sensibles et en faire usage pour nuire à votre entreprise. Les employés mis à l’écart, les prestataires présents ou le personnel de maintenance sur site pourraient également représenter un danger pour votre société. Les problèmes posés par les activités malveillantes des initiés ne sont pas toujours visibles immédiatement mais ils ne sauraient pour autant être ignorés. Prenons le cas d’un employé qui vient d’être licencié ou de perdre son poste dans une entreprise pour une autre raison. Il est possible que cette décision provoque chez lui de la colère et l’amène à vouloir exprimer son ressentiment envers son ancienne société. S’il possède toujours les droits d’accès au stockage partagé ou à des documents, il a la possibilité de modifier, supprimer ou falsifier les données ultrasensibles. De même, un prestataire exerçant sur le site et auquel un mot de passe temporaire a été attribué sans restrictions pour une courte durée peut représenter un danger. Qu’il s’agisse de corruption ou de communication de données financières, d’informations clients ou bien de droits d’authentification, les agissements de tels escrocs peuvent faire des ravages sur les entreprises de toutes tailles. Cependant, comme c’est le cas avec les dangers de la manipulation sociale, le fait de connaître et de mesurer la menace potentielle des initiés malveillants peut permettre de faire un grand pas en avant dans la prévention des activités de cybercriminalité visant les entreprises. Les responsables informatiques et les dirigeants d’entreprises doivent rester vigilants en accordant aux utilisateurs des droits d’accès limités à leurs besoins et se méfier des récentes évolutions des techniques frauduleuses pour protéger leur entreprise contre les intentions malveillantes des cybercriminels.
Comment riposter La lutte contre la cybercriminalité devrait dominer les débats et les plans stratégiques des dirigeants d’entreprise dans les années à venir. Pour optimiser leurs chances de l’emporter, les entreprises peuvent prendre plusieurs mesures.
________ Chip Epps est Vice President, Product Marketing, IAM Solutions de HID Global Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel. Par des actions d’expertises, d’audits, de formations et de sensibilisation dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84) Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles
|
Source : Les bonnes pratiques pour lutter contre la cybercriminalité Chip Epps, HID Global