Fermez la porte d’entrée : Prévenir les attaques de phishing

Les incidents de sécurité ont atteint des niveaux record tout au long de 2022, les principales menaces étant les violations de données et les ransomwares, la fraude financière et les pertes liées aux paiements de rançon.

Le nombre d’attaques de logiciels malveillants connus ne cesse d’augmenter. Un rapport récent de la société britannique IT Governance a identifié 112 incidents de sécurité divulgués publiquement en août 2022 aux États-Unis, au Royaume-Uni, en Europe, en Amérique du Sud et ailleurs. Ces failles de sécurité ont entraîné la compromission de 97 456 345 enregistrements. Connu attaques de logiciels malveillants en 2022 coûtent des millions de dollars aux entreprises. Au cours du premier semestre 2022, il y a eu un total de 236,1 millions d’attaques de ransomwares dans le monde selon Homme d’État. Les pirates utilisent souvent des campagnes de phishing intelligentes pour accéder aux informations d’identification des employés afin de lancer ces attaques.

Ingénierie sociale

Il existe actuellement de nombreuses ruses de piratage différentes, mais l’ingénierie sociale doit figurer en tête de liste des menaces croissantes de chaque OSC. Ces hacks peuvent inclure tout, des faux messages des banques avec des liens de spam, des messages directs FB suspects d’amis aux mauvais acteurs hameçonnant les informations d’identification des employés pour accéder aux systèmes de l’entreprise.

S’attaquer aux employés sans méfiance et les duper est devenu l’un des moyens les plus simples pour les pirates d’accéder aux systèmes de l’entreprise. Trouvez un employé sans méfiance, accédez aux informations d’identification de cet employé et volez les clés du royaume. Comme le dit le dicton, il est plus facile d’entrer en utilisant les clés de la porte d’entrée que de pirater par une porte dérobée.

Collectivement, nous devons adopter une approche plus moyen moderne et sécurisé de vérifier l’identité d’un individu et dépassez les anciennes méthodes de plusieurs noms d’utilisateur, mots de passe et réponses aux questions de sécurité. Même l’AMF n’est plus infaillible.

Uber, Twillio, Mailchimp piratent

Toute organisation est exposée à un risque de violation de données ou d’intrusion dans la sécurité. C’est ce qui est arrivé à Uber l’été dernier. Un pirate informatique ingénierie sociale des informations d’identification d’un employé d’Uber et a eu accès à l’intranet interne d’Uber, au système Slack de l’entreprise, à l’administrateur Google Workspace, aux comptes AWS d’Uber, aux tableaux de bord financiers, etc.

Un autre exemple frappant s’est produit plus tôt en 2022 lorsqu’une entreprise de sécurité Groupe-IB découvert que les employés de Twilio, MailChimp et Klavioyo ont été les victimes involontaires d’une campagne de phishing massive. Cette attaque a compromis près de 9 400 comptes dans plus de 130 organisations. Bon nombre de ces employés étaient basés aux États-Unis et utilisaient le service de gestion des identités et des accès d’Okta.

Il y a également eu d’autres attaques plus tôt cette année. J’ai couvert les nouvelles de ceux-ci dans mon Chronique du CIO en juin. Par exemple, le piratage Lapsus$ impliquait les entreprises Cisco, NVIDIA, Samsung, T-Mobile, Vodafone et peut-être d’autres organisations notables.

Et les OSC, notez que même les plateformes conçues pour vous protéger, vous et vos employés, sont piratées. En août, société de gestion de mots de passe LastPass a annoncé que ses systèmes avaient été piratés.

Les OSC et les administrateurs système pensaient que MFA (authentification multi-facteurs) ou 2FA (authentification à 2 facteurs) étaient des solutions idéales. Mais maintenant, même ces processus sont piratés et des acteurs malveillants obtiennent un accès non autorisé aux données et informations des utilisateurs.

Législation émergente

Les personnes étant victimes d’attaques de phishing/fraude, les législateurs britanniques et américains en prennent note. Il existe une proposition au Royaume-Uni selon laquelle les banques et autres institutions financières rembourser les victimes de fraude en ligne.

La Régulateur des systèmes de paiement annoncé en septembre qu’il veut que l’industrie des paiements change sa façon de gérer les escroqueries APP (Authorised Push Payment). Les mesures proposées obligent les banques à rembourser les montants volés de plus de 100 £ aux victimes de fraude.

Les banques basées au Royaume-Uni seront tenues d’indemniser un client, même si il s’agissait d’une attaque de phishing rendue possible par l’ignorance du client bancaire. La banque sera toujours obligée d’aider à rembourser les sommes perdues.

Aux États-Unis, la sénatrice du Massachusetts Elizabeth Warren fait également pression pour une législation similaire à la suite de son analyse des clients de Zelle qui a signalé de l’argent volé.

Les institutions financières doivent porter une attention particulière aux stratagèmes de fraude afin de mieux protéger leurs clients. En protégeant leurs clients, les banques protégeront également leurs résultats. Les problèmes de cybersécurité ne sont pas seulement un problème de sécurité ou de marque ; ils deviennent également un problème financier punitif.

Comment les OSC peuvent riposter

Les OSC doivent redoubler d’efforts pour prévenir les tentatives de phishing dans et autour des systèmes internes. C’est l’une des actions les plus critiques à entreprendre. Non seulement vos clients sont piratés et leurs informations sont exposées, mais maintenant même les entreprises qui gèrent les informations d’identification et le contrôle d’accès (Duo, OKTA, LastPass) ont été compromises, ce qui aggrave encore le problème.

Verrouiller la porte d’entrée reste le meilleur moyen de l’emporter contre ces menaces. Adopter une approche à plusieurs niveaux pour repenser l’identité de vos employés, partenaires et clients est un bon point de départ. Si vous n’envisagez pas déjà de le faire, il est temps de commencer à regarder la prochaine génération de produits de gestion d’identité et de contrôle d’accès qui seront introduits sur le marché.

Ces systèmes innovants peuvent mieux établir l’identité non seulement de l’appareil qui se connecte, mais également l’identité de la personne qui utilise l’appareil. De plus, l’identité doit être un problème continu, pas seulement au début de la journée, du quart de travail ou de la session en ligne. Les nouveaux systèmes basés sur l’IA peuvent y parvenir sans créer de fenêtres contextuelles gênantes de réauthentification continue, en combinant une variété de signaux comportementaux et éventuellement biométriques en temps réel.

Zero Trust est devenu une expression surutilisée dans l’industrie, mais il est maintenant temps de commencer à déployer des solutions qui vous permettent, en tant que CSO, de vraiment faire confiance à qui accède à vos réseaux et données.