Les deux derniers mois de l’année sont maintenant bien établis comme la période de pointe pour les détaillants en ligne et que les détaillants se préparent pour la période de Noël à venir – couplé ces jours-ci avec la propagation mondiale du Black Friday et Cyber Monday « vacances » composées par les détaillants américains – il n’est pas surprenant pour quiconque avec un demi-cerveau que les cybercriminels seront saliver à la perspective de nouvelles cibles et vulnérables sites de vente au détail.
En 2020, la manne d’achat en ligne devrait être plus importante que jamais, grâce à la pandémie continue de Covid-19 et à divers arrêts de détaillants hors ligne forçant plus de gens que jamais en ligne, s’exposant à des risques accrus.
« Que les consommateurs se tournent vers les achats en ligne pour rattraper l’excitation de frapper la grande rue ou de naviguer sur Internet pour que les offres passent le temps pendant le verrouillage, il est important qu’ils restent en sécurité lorsqu’ils magasinent en ligne pendant la période des Fêtes », explique Mark Crichton, directeur principal de la gestion des produits de sécurité chez OneSpan.
« En raison des restrictions continues, les consommateurs se préparent pour les achats numériques des Fêtes, mais ils doivent rester vigilants pour éviter de tomber en faute de liens malveillants comme ils se tourner vers l’encaisse sur « trop beau pour manquer » les offres.
« Cette année, la menace est accrue que des recherches récentes ont montré que 48% des consommateurs britanniques prévoient d’éviter les zones commerciales animées et ce trafic va sans aucun doute stimuler l’activité de commerce électronique. Il est probable que les consommateurs seront exposés à d’autres attaques cette année et que les consommateurs doivent rester vigilants, car les offres légitimes des détaillants, par courriel et par texte, pourraient être reproduites par des cybercriminels », a-t-il déclaré.
Selon une étude menée par McAfee, 50% des consommateurs britanniques ont déjà augmenté la quantité d’achats en ligne qu’ils font pendant la pandémie, avec 80% d’achats en ligne une fois par semaine, et 40% des résidents du Royaume-Uni prévoient de faire plus de achats de Noël en ligne.
Nouvelles circonstances, nouveaux risques
Mais il n’y a pas que les escrocs, le prix des articles en demande comme la PlayStation 5, ou les sites web compromis avec les écumoires de cartes de crédit Magecart, dont il faut être conscient. En 2020, grâce à la pandémie, l’orgie des dépenses de consommation a des implications pour chaque stratégie de sécurité des entreprises, pas seulement pour les détaillants.
Grâce au coronavirus, la grande histoire technologique de l’année a été le passage important et sans précédent au travail à distance, qui a brouillé les frontières entre le travail et les sphères personnelles, en particulier en ce qui concerne l’utilisation des appareils.
Ceci est mis en évidence dans une autre étude mondiale récemment publiée par sailpoint spécialiste IAM, qui a constaté que près d’un dixième des ordinateurs de travail au Royaume-Uni sont maintenant utilisés pour des besoins personnels, le plus souvent pour vérifier les e-mails personnels, magasiner en ligne, vérifier les nouvelles ou utiliser les médias sociaux.
Cela augmente considérablement le risque pour l’entreprise moyenne, comme un glissement de la part d’un employé faisant des achats en ligne pourrait potentiellement donner aux acteurs malveillants un accès complet aux systèmes d’entreprise.
Adam Philpott, président de McAfee Europe, Moyen-Orient et Afrique (EMEA), déclare : « Les lignes floues entre l’activité en ligne sur les appareils d’entreprise et les appareils personnels du personnel travaillant à distance obligeront les organisations à envisager une nouvelle menace potentielle cette année : les achats de Noël.
« Alors que les cybercriminels lancent des escroqueries sophistiquées pour s’attaquer aux nombreux Britanniques qui se tournent vers les achats en ligne au moyen de dispositifs personnels et de travail, les entreprises doivent tenir compte des ramifications pour la sécurité de l’entreprise.
Les employés utilisent maintenant leurs appareils d’entreprise pour des tâches quotidiennes – telles que les achats – ce qui crée de nouveaux risques pour l’entreprise.
Chris Waynforth, Imperva
« Pour tenir les cyber-attaquants à distance, il est essentiel que les organisations aillent au-delà de l’établissement de protocoles de base pour créer et maintenir un environnement sûr. »
Chris Waynforth, vice-président régional chez Imperva, est également en état d’alerte. « La frontière entre le travail et les loisirs a disparu et les employés utilisent maintenant leurs appareils d’entreprise pour des tâches quotidiennes – comme le magasinage – ce qui crée de nouveaux risques pour l’entreprise », dit-il.
« Avec le Black Friday et les fêtes de fin d’année, les détaillants ont une énorme bulle sur la tête, de sorte que les entreprises ont raison de s’inquiéter des employés qui utilisent des appareils de travail pour magasiner en ligne. Le trafic Web vers les sites de vente au détail a augmenté de 28 % par rapport à la moyenne hebdomadaire en 2020, grâce aux blocages mondiaux.
« Cela crée un terrain d’alimentation pour les pirates qui cherchent à gratter les détails de la carte et voler des données personnelles, mais avec tant de travailleurs maintenant accéder aux données à distance, ciblant les sites de vente au détail ouvre également la porte pour les pirates d’accéder aux systèmes d’entreprise.
« Les employés ne réalisent peut-être même pas que leur appareil a été compromis. Il s’agit d’une situation préoccupante, car une fois qu’un pirate a accès à un appareil, il peut gratter les informations d’identification, se déplacer latéralement à travers les systèmes et cibler vos joyaux de la couronne », explique Waynforth.
Une série d’événements malheureux
Qu’est-ce qu’une équipe de sécurité d’entreprise doit faire? Premièrement, il est important de comprendre qu’une violation orchestrée et ciblée d’une entreprise par l’intermédiaire d’un détaillant non apparenté et compromis est peu probable.
La raison en est tout simplement parce qu’elle s’appuie sur une chaîne complexe de circonstances pour se réunir dans le bon ordre. En bref, si vous ciblez une entreprise, pourquoi la compromettiez-vous par l’intermédiaire d’un site Web de vente au détail vulnérable et indépendant, alors que vous pourriez simplement cibler quelqu’un au ministère des Finances avec une fausse facture?
« Il y a beaucoup de si ici », explique Corey Nachreiner, directeur technique de WatchGuard Technologies. « Lorsqu’il s’agit de sites de vente au détail, les vulnérabilités des applications Web sont généralement votre principale préoccupation et il y a de nombreux types à craindre. Par exemple, l’injection SQL est un type de vulnérabilité d’application Web qui pourrait permettre à un attaquant de voler la base de données d’un site Web de détail, y compris ses données utilisateur et mot de passe.
Les vulnérabilités des applications Web peuvent mener à un large éventail de résultats, explique-t-il, mais elles donnent généralement aux acteurs malveillants un accès élevé aux données et aux ressources du site du détaillant, soit aux données que le détaillant détient sur la victime qui visite ce site – bref, si un employé visite un site Web vulnérable à partir de son appareil de travail, il y a peu de risque de compromettre cet appareil.
Toutefois, dans certains cas, l’exploitation de l’appareil devient possible, par exemple, dans une attaque de script cross-site (XSS) où un site Web piégé contient du code qui pourrait exploiter une vulnérabilité du navigateur pour charger des logiciels malveillants ou ransomware sur l’appareil.
Les attaques XSS devraient être particulièrement préoccupantes car elles semblent être particulièrement répandues en ce moment. Selon les données recueillies par Imperva, XSS était le principal vecteur d’attaque pour les attaques d’interface de programmation d’applications (PI) contre les détaillants en 2020, représentant 42% d’entre eux, et le troisième vecteur d’attaque le plus courant pour les attaques web, représentant 16% d’entre eux.
Néanmoins, le compromis par une telle attaque est toujours un processus en plusieurs étapes. « Pour que cela fonctionne, tout d’abord le site doit avoir une vulnérabilité XSS, deuxièmement, votre navigateur doit souffrir d’une vulnérabilité non patchée que les cibles de code malveillants de l’attaquant, et troisièmement, votre employé doit visiter la page piégée sur le site, dit Nachreiner.
« Ce … est possible, et c’est arrivé, mais ce n’est pas trop commun. Il est également important de noter que ces types de vulnérabilités d’applications Web ont un impact sur tous les types de sites Web au-delà des seules destinations de vente au détail.
Une violation accidentelle est plus probable
Il est beaucoup plus probable qu’un employé cause des dommages à son employeur en faisant par inadvertance quelque chose qu’il ne devrait pas avoir.
« Alors que de nombreux sites commerciaux sont parfaitement légitimes, nous savons qu’il existe de nombreuses campagnes malveillantes qui utilisent des événements de vente comme le Black Friday et le Cyber Monday pour inciter les consommateurs à cliquer sur des sites infâmes ou des liens qui pourraient finalement distribuer des logiciels malveillants », explique Nachreiner Computer Weekly.
« Comme les employés ne sont pas toujours soucieux de la sécurité lorsqu’il s’agit des sites qu’ils visitent, il est parfois préférable d’empêcher simplement l’accès à des sites non sanctionnés par le travail sur les machines d’entreprise », dit-il.
La bonne nouvelle pour les responsables de la sécurité de l’information (CISOs) est qu’en activant certains contrôles de sécurité comme le système de noms de domaine (DNS) ou le filtrage web qui bloquent automatiquement l’accès aux liens malveillants sur laquelle un employé peut être enclin à cliquer, il peut renforcer ses défenses avec un minimum d’agitation.
Claire Hatcher, responsable mondiale de la solution de prévention de la fraude chez Kaspersky, reconnaît qu’il est pratiquement impossible d’empêcher les employés distants d’utiliser des appareils de travail pour des raisons personnelles. « Ainsi, il est essentiel que tous les ordinateurs portables, téléphones et autres technologies soient fournis avec des produits de sécurité Internet de bonne réputation », dit-elle.
« Les solutions de cybersécurité avec des technologies anti-phishing basées sur le comportement peuvent envoyer des notifications si les utilisateurs essaient de visiter une page Web de phishing, ce qui peut aider à protéger les appareils de travail distants lorsqu’ils sont utilisés pour des activités personnelles », dit-elle.
M. Waynforth d’Imperva affirme que le boom des achats en ligne est l’occasion idéale pour les DSI de réinventer leur pratique en matière de sécurité des données et d’adopter une approche centrée sur les données.
« Étant donné que le périmètre traditionnel du réseau a maintenant disparu, les entreprises doivent renverser leur pensée et adopter une vue intérieure pour s’assurer que les joyaux de la couronne sont sécuritaires », dit-il.
Comme le personal et les frontières de travail se mélangent, il est souvent déraisonnable de s’attendre à la police des gens dans leurs propres maisons
Ian Pratt, HP Systèmes personnels
« Les équipes de sécurité doivent scanner régulièrement leurs data stores pour comprendre quelles vulnérabilités ou configurations erronées pourraient exister qu’un attaquant pourrait exploiter. Comme les chercheurs d’Imperva l’ont découvert, il ne faut qu’une heure à un pirate pour faire une connexion avec une base de données cloud exposée, et seulement 10 heures avant leur première attaque.
« En outre, le suivi des activités de base de données [DAM] et la sécurité des données cloud sont des outils essentiels pour gagner en visibilité sur l’accès aux données sensibles et aux incidents de sécurité potentiels en temps réel », explique-t-il.
Mais attention à ne pas aller trop loin avec de telles mesures, car des politiques trop restrictives peuvent aussi être une source de risque, comme Ian Pratt, Le responsable mondial de la sécurité de HP Personal Systems explique : « Mettre des mesures pour bloquer cette activité – comme la liste noire des sites Web – peut entraîner des comportements encore plus risqués à mesure que les utilisateurs trouvent des moyens de contourner des outils de sécurité prohibitifs. De plus, à mesure que les frontières personnelles et de travail se mélangent, il est souvent déraisonnable de s’attendre à ce que les policiers soient chez eux.
« Les organisations doivent trouver de nouvelles façons de protéger les utilisateurs et de leur permettre de faire des erreurs. En indiquant la sécurité dans les périphériques à partir du matériel, les organisations peuvent protéger les utilisateurs en cliquant sur des liens malveillants en ayant le contenu ouvert dans un environnement virtuel isolé.
« Cette « cage » virtuelle – qui est transparente pour l’utilisateur – fonctionne sur son propre matériel virtualisé, de sorte qu’elle ne peut pas accéder à d’autres onglets de navigateur ou quoi que ce soit d’autre sur le système, infecter le PC hôte ou se propager à travers le réseau d’entreprise. Cela signifie que si un employé clique sur un site voyou, il ne peut pas être compromis », explique Pratt.
Enseignez bien à vos humains
Stuart Reed, directeur britannique d’Orange Cyberdefense, affirme que les mesures techniques contre le phishing sont sans aucun doute plus robustes et sophistiquées aujourd’hui que jamais. Mais, prévient-il, cela n’élimine pas complètement les risques – nous ne sommes tous que des êtres humains, après tout.
« Les humains sont plus complexes et plus difficiles à prévoir dans certains scénarios, tout en étant faciles à manipuler dans d’autres. La sensibilisation à la sécurité sensibilise les employés aux techniques de manipulation qui pourraient être utilisées contre eux et met en évidence les avantages de l’adaptation de leur comportement en matière de sécurité de l’information. Le renforcement de la résilience face aux attaques d’ingénierie sociale constitue une ligne de défense importante », dit-il.
Pour Nachreiner chez WatchGuard, l’angle humain se manifeste en termes d’attitudes laxistes à l’égard de la sécurité des mots de passe. Dans le contexte de la sécurité de détail, il s’agit d’un point de défaillance potentiel énorme et dangereux pour les entreprises et quelque chose qui est difficile à contrôler pour les équipes de sécurité.
« Les principales préoccupations que j’ai avec les sites de vente au détail ont spécifiquement à voir avec leur propre sécurité. Lorsque ces sites subissent des atteintes à la protection des données et des fuites de données, les mots de passe des utilisateurs sont exposés », explique-t-il.
« Malheureusement, des études montrent que beaucoup de gens réutilisent le même mot de passe partout. Ainsi, si le mot de passe d’entreprise d’un utilisateur correspond à un mot de passe divulgué à partir de l’un des sites qu’il visite sur son temps personnel, son employeur est également à risque.
Dans l’atténuation, bien que l’hygiène des mots de passe soit importante, du point de vue de l’employeur si un employé utilise le même mot de passe que sur un site de vente au détail pour son logon d’entreprise, dans une violation de données, il importe moins que l’employé accède au site de vente au détail par lui-même, l’appareil de l’entreprise ou d’un ami, parce que le mot de passe sera toujours exposé.
M. Nachreiner affirme que du point de vue d’un employé, la principale préoccupation devrait être le partage excessive de renseignements personnels et privés. « Par exemple, de nombreux utilisateurs quotidiens permettent aux navigateurs d’enregistrer leurs mots de passe. Si vous enregistrez vos mots de passe sur votre machine de travail, votre employeur ou tout attaquant qui compromet cette machine peut y avoir accès », dit-il.
« La même question s’applique au stockage des détails de votre carte de crédit dans les navigateurs locaux, ce que je déconseille fortement. Votre entreprise et ses systèmes informatiques pourraient être la cible de certaines attaques, et si vous avez des renseignements personnels sur un appareil de travail, cela pourrait finir par vous affecter directement », dit-il.
« Mais il va dans les deux sens. Si vous êtes victime d’une cyberattaque en raison du laxisme de l’hygiène de sécurité personnelle et que vous utilisez des appareils de travail pour des choses comme les achats en ligne et les services bancaires, vous pourriez ouvrir votre employeur à une violation.
Acceptation et bonne volonté
Hatcher de Kaspersky encourage les OSIC à faire reconnaître et à suivre quatre politiques clés pour se protéger.
Tout d’abord, ils ne devraient magasiner que dans des magasins en ligne légitimes, accessibles en tapant l’adresse ou en la sélectionnant à partir de signets plutôt que d’un lien – les barres d’adresse du navigateur peuvent aider à vérifier si le Website est authentique, portant une icône de cadenas et utilisant HTTPS.
Deuxièmement, les paiements ne devraient être effectués que par carte de crédit ou par des services de paiement robustes pour s’assurer que les transactions sont protégées.
Troisièmement, les employés qui magasinent devraient être encouragés à vérifier les rabais – s’ils reçoivent une offre spéciale dans un courriel ou un texte, vérifiez l’expéditeur et tous les liens Web sont authentiques avant de cliquer.
Enfin, les employés devraient être encouragés à gérer leurs propres mots de passe à l’aide d’outils de gestion des mots de passe qui stockent en toute sécurité des informations d’identification uniques pour les comptes en ligne.
« Nous recommandons que les CISOs acceptent que certains achats du Black Friday se produisent sur les appareils d’entreprise », explique Hatcher.
La bonne nouvelle pour les équipes de sécurité d’entreprise et les CISOs, c’est qu’il y a de doux avantages pour eux à faire les choses correctement.
« Dans un monde post-Covid où il devient pratiquement impossible de séparer nos vies personnelles et professionnelles, l’un des avantages que les employeurs peuvent offrir est d’aider à sécuriser la vie personnelle des employés en mettant en œuvre des politiques et des protections pour permettre en toute sécurité des activités personnelles comme les achats en ligne sur des machines de travail », explique Nachreiner de WatchGuard.
En effet, peut-être un peu contre-intuitivement, faire les choses correctement pourrait bien rendre plus sûr de naviguer sur le site Web d’un détaillant sur un appareil de travail qu’un appareil personnel, de sorte qu’un CISO bienveillant pourrait générer une certaine bonne volonté en permettant un usage personnel sécurisé par les employés qui travaillent à distance.
Technologie3 ans ago
Monde3 ans ago
Monde2 ans ago
Monde3 ans ago
Monde3 ans ago
France3 ans ago
France3 ans ago
France2 ans ago