Plus de 150 000 sites Web de petites entreprises américaines pourraient être infectés par des logiciels malveillants à tout moment. Voici comment vous protéger.

juin
12 2019

9 min de lecture

C'était le 2 mars 2016 et la journée de Melissa Marchand à Cape Cod a commencé comme une autre. Elle a conduit son travail chez Hyannis Whale Watcher Cruises dans sa berline de taille moyenne, a pris un café au lait avec 1% de lait dans son café local et s'est assise à son bureau pour consulter ses courriels. Ensuite, Marchand a reçu l'appel que aucun gestionnaire de site Web n'a jamais voulu recevoir: le site était en panne et personne ne savait comment le réparer.

Après avoir appelé le fournisseur d'hébergement Web, la nouvelle a été de pire en pire: les baleines. net avait été piraté et, à sa plus grande horreur, tous les visiteurs étaient redirigés vers des sites pornographiques. Google avait même signalé les résultats de recherche de l'entreprise, avertissant les clients potentiels que le site pourrait être piraté.

"C'était un cauchemar total: je ne savais pas que quelque chose comme cela pourrait se produire", a déclaré Marchand dans une interview accordée à Entrepreneur . «Je dirais que 75 à 80% de nos réservations sont effectuées en ligne. Ainsi, lorsque notre site est en panne, nous ne faisons plus que dans l’eau.»

À la suggestion du fournisseur, Marchand appelle SiteLock, une entreprise de sécurité de site Web, et accordé à ses représentants l'accès au site. SiteLock a découvert que les pirates informatiques avaient exploité une faille de sécurité dans un plugin WordPress, ce qui leur donnait l'accès nécessaire pour rediriger les visiteurs vers des sites Web racés.

À la fin de la journée de travail, Marchand était assise dans sa voiture sur le parking de son gymnase. parler au téléphone avec un représentant de SiteLock pour examiner le plan d'action. Elle a finalement senti que tout irait bien.

Trois jours plus tard, Whales.net était de nouveau opérationnel, mais il a fallu trois semaines supplémentaires à Google pour supprimer l'avertissement de liste noire dans les résultats de recherche de l'entreprise.

Un piratage a eu lieu environ un mois avant le début de la saison d’observation des baleines à la mi-avril. Même si ce n’était pas la haute saison, la société n’avait toujours pas accès aux groupes de pré-réservation des écoles et camps. Marchand estimait que l'attaque avait perdu environ 10% de ses affaires en mars et en avril.

Un risque pour les petites entreprises du monde entier

Les propriétaires de petites entreprises ont été victimes de 43% des violations de données surveillées entre le 1er novembre 2017 et 31 octobre 2018, selon un rapport de Verizon 2019 . Le rapport suit les incidents de sécurité dans tous les secteurs, mais les secteurs les plus vulnérables cette année sont la vente au détail, l'hébergement et les soins de santé.

À quoi ressemble le problème à l'échelle nationale? Si nous prenons la taille de l'échantillon des sites infectés, SiteLock a déclaré avoir trouvé en 2018 – environ 47 244 sur 6 056 969 personnes contrôlées – et appliquer ce pourcentage aux sites Web du estimés à 30,2 millions moins le . ] estimés à 36% qui n'en ont pas, nous pouvons donc estimer que le nombre de sites Web infectés de petites entreprises serait d'environ 150 757.

En tant que propriétaire d'une petite entreprise, vous ne pouvez pas croire que quelqu'un le ferait Mark Risher, responsable de la sécurité des comptes chez Google

«Nous parlons parfois de la distinction entre cibles de choix et cibles de hasard, explique Mark Risher, responsable de la sécurité des comptes chez Google. Dit Risher. «Les cibles du hasard, c’est quand l’attaquant tente d’essayer quelque chose – il traverse le parking pour voir si l’une des portes de la voiture s’est déverrouillée. La cible de choix, c’est quand ils se concentrent sur cette voiture brillante et voyante, et c’est celle-là où ils veulent s’introduire – et ils essaieront les vitres, les portes… le toit ouvrant. Je pense que pour les petites entreprises, il y a cette tentation de supposer: «Personne ne me choisirait jamais; je ne ferai donc que patiner anonymement. "Mais le problème, c'est qu'ils ne prennent pas en compte le degré d'automatisation utilisé par les pirates."

Même les sites Web les moins victimes de la traite subissent toujours une moyenne de 62 attaques par jour, selon le journal. Recherche SiteLock. «Ces cybercriminels dirigent réellement des entreprises», a déclaré Neill Feather, président de la société. "Avec la facilité croissante d'automatisation des attaques, compromettre un millier de sites Web de petite taille est tout aussi lucratif qu'investir votre temps et tenter d'en compromettre un de plus gros."

John Loveland, responsable de la cybersécurité chez Verizon Les auteurs du rapport sur la violation des données ont déclaré que depuis la publication du rapport, il y a 12 ans, il a constaté une nette augmentation des attaques dans les petites et moyennes entreprises. Alors que les logiciels malveillants, les attaques par phishing et autres sont devenus «plus banalisés et plus facilement accessibles aux pirates informatiques moins qualifiés», a-t-il déclaré, «vous voyez que l'ouverture est ouverte… pour les types de cibles qui pourraient être utiles.»

des pirates informatiques qui sortent du marché? Il n’ya pas que des informations potentiellement lucratives sur les clients et des historiques de transactions. Il est également possible de personnaliser la réputation de votre site Web. En hébergeant des logiciels malveillants sur un site Web autrefois digne de confiance, un pirate informatique peut accroître la propagation d’une attaque – et en amplifier les conséquences – en optimisant l’optimisation de son moteur de recherche (SEO). Ils peuvent infecter les visiteurs du site qui recherchent le site de manière organique ou qui y accèdent via des liens de newsletters, articles ou autres activités, a déclaré Risher.

Même si vous externalisez des aspects de votre entreprise – rapports de temps et de dépenses, ressources humaines, , stockage de données client ou transactions financières – rien ne garantit que ces informations sont en sécurité lorsque votre propre site Web est compromis. M. Loveland a déclaré avoir constaté une légère hausse du phishing par courrier électronique spécialement conçu pour capturer les informations d'identification des utilisateurs pour les comptes de messagerie basés sur le Web, les outils de gestion de la relation client en ligne et d'autres plates-formes. Les rapports de compromission des informations d'identification ont augmenté de 280% depuis 2016, selon les rapports. une enquête annuelle réalisée par le fabricant de logiciels Proofpoint.

Comment vous protéger, vous et vos clients

Comment les propriétaires de petites entreprises peuvent-ils se protéger – et protéger leurs clients? Comme de nombreuses cyberattaques peuvent être attribuées à l'automatisation, la mise en place de protections de base contre le phishing, les logiciels malveillants et bien plus encore peut aider votre site à rester à l'abri de la moindre résistance.

Voici cinq façons d'améliorer la cybersécurité de votre petite entreprise.

1. Utilisez un gestionnaire de mots de passe.

Il existe de nombreux conseils en matière de mot de passe dans l’éther, mais le plus important est celui-ci, a déclaré Risher: Ne réutilisez pas le même mot de passe sur plusieurs sites. C’est une règle difficile à respecter pour des raisons de commodité – en particulier depuis que 86% des internautes déclarent avoir gardé la trace de leurs mots de passe via la mémorisation – mais les experts en cybersécurité recommandent aux gestionnaires de mots de passe des solutions efficaces et sécurisées. Les options de gestionnaire de mots de passe gratuites incluent LastPass Myki et LogMeOnce .

2. Définissez des méthodes de récupération de compte de messagerie pour vous protéger contre les attaques de phishing.

Les attaques de phishing constituent un problème persistant de cybersécurité pour les grandes et les petites entreprises: 83 pour cent des répondants au sondage de phishing annuel de Proofpoint ont signalé avoir subi des attaques de phishing en 2018. , une augmentation par rapport à 76% l’année précédente. Il est essentiel pour la sécurité de la messagerie électronique d'adopter une culture plus cyber-consciente – notamment rester vigilant quant à l'identification des attaques potentielles de phishing, des liens suspects et des expéditeurs factices –

Si vous êtes un utilisateur de Gmail, ] suggère que l'ajout d'un numéro de téléphone de récupération à votre compte pourrait bloquer jusqu'à 100% des cyberattaques de bots automatisés, 99% des attaques de phishing en masse et 66% des attaques ciblées. C’est utile, car dans le cas d’une connexion inconnue ou suspecte, votre téléphone recevra un code SMS ou une invite sur l’appareil pour vérification. Sans numéro de téléphone récupéré, Google s'appuiera sur des défis plus faibles, tels que le rappel du dernier lieu de connexion. Bien que cela bloque toujours la plupart des attaques automatisées, l'efficacité contre le phishing chute à 10%.

3. Sauvegardez vos données pour vous protéger contre les ransomwares.

Ransomware – une cyberattaque dans laquelle un pirate informatique contrôle votre ordinateur et / ou vos données contre rançon – a déclenché une «frénésie d'activités liées à la cybercriminalité centrées sur les petites et moyennes entreprises ", A déclaré Loveland. Selon le rapport Verizon, il s’agissait en fait de la deuxième variété de programmes malveillants en 2019, avec 24% des incidents de sécurité. Les pirates le voient généralement comme une option potentiellement peu risquée et très rentable. Il est donc important de mettre en place des protections pour une telle attaque. En d'autres termes, sauvegardez l'intégralité de vos données pour ne pas être à la merci du pirate. . Des outils tels que Google Drive et Dropbox peuvent vous aider, ainsi que des programmes de sauvegarde automatique tels que Code42 (tous facturés en supplément). Vous pouvez également acheter un disque dur externe à stockage élevé pour tout sauvegarder vous-même.

4. Engagez un outil de sécurité DNS dédié pour bloquer les sites suspects.

Les ordinateurs ne pouvant communiquer que par numéros, le système de noms de domaine (DNS) fait partie des fondements d'Internet en ce qu'il agit comme un "traducteur" entre un nom de domaine que vous entrez. et une adresse IP résultante. Le DNS n’ayant pas été conçu à l’origine avec une sécurité de haut niveau, l’utilisation d’un DNSSEC (extension de sécurité DNS) peut vous aider à vous protéger contre les sites Web suspects et les redirections résultant de programmes malveillants, d’attaques par hameçonnage, etc. Les outils vérifient la validité d'un site plusieurs fois au cours de votre processus de recherche de domaine. Et bien que les fournisseurs de services Internet offrent généralement un certain niveau de sécurité DNS, les experts affirment qu’il est plus efficace d’utiliser un outil DNSSEC dédié. Les options gratuites incluent OpenDNS et Quad9 DNS . «[It’s] est une initiative peu coûteuse et simple qui peut empêcher les utilisateurs d'accéder à de mauvaises adresses IP», a déclaré Loveland.

5. Envisagez de vous abonner à une entreprise de sécurité de site Web.

Payer un abonnement mensuel à une entreprise de sécurité de site Web n'est peut-être pas idéal, mais cela pourrait vous coûter cher en raison de la perte d'activités à cause d'un site piraté. Diminuer la vulnérabilité aux attaques signifie installer les correctifs de sécurité et les mises à jour pour tous vos outils en ligne le plus rapidement possible, ce qui peut s'avérer difficile pour un propriétaire de petite entreprise.

«Il est tentant pour un propriétaire de petite entreprise de dire« Je ». m très pratique – je peux le faire moi-même », a déclaré Risher. «Mais la réalité est que même si vous êtes très technique, vous ne travaillerez peut-être pas 24h / 24 et… vous effectuerez des opérations de maintenance et de surveillance 24h / 24, 7j / 7. C'est certainement de l'argent bien dépensé pour qu'une grande organisation le fasse à votre place. "