Cinq principales menaces à la sécurité Internet pour les petites entreprises

Anonim

Note de l’éditeur: Une tendance clé qui colore le monde des petites entreprises est la transformation de nos ordinateurs en systèmes d’entreprise critiques sans lesquels nous ne pouvons pas fonctionner. Mais ne pensez pas que vos systèmes informatiques sont à l’abri des attaques, car cela «n’arrivera pas à mon entreprise». En fait, c’est possible. Ron Teixeira, directeur exécutif de la National Cyber ​​Security Alliance, décrit dans cet article invité les cinq principales menaces informatiques auxquelles les petites entreprises peuvent être confrontées et ce qu'il convient de faire.

$config[code] not found

Par Ron Teixeira

Au cours des deux dernières années, un certain nombre d'affaires de violation de données de grande envergure impliquant de grandes entreprises. Bien que cela puisse donner l’impression que seules les grandes entreprises sont ciblées par les pirates informatiques et les voleurs, en réalité, les pirates informatiques s’adressent de plus en plus aux petites entreprises car elles n’ont généralement ni les ressources ni le savoir-faire dont elles disposent.

Toutefois, cela ne signifie pas que les petites entreprises doivent dépenser une somme importante d'argent et de ressources pour se protéger des dernières menaces. En fait, selon un récent rapport de Symantec sur les menaces, 82% des données perdues ou volées auraient pu être évitées si l'entreprise appliquait un simple plan de cybersécurité.

Pour commencer à élaborer un plan de cybersécurité, vous devez comprendre les menaces Internet et comprendre en quoi la protection de votre entreprise contre ces menaces affecte directement votre résultat net. En conséquence, la National Cyber ​​Security Alliance, dont les partenaires comprennent le Department of Homeland Security, le Federal Bureau of Investigations, la Small Business Administration, le National Institute for Standards and Technology, Symantec, Microsoft, CA, McAfee, AOL et RSA, ont Cinq menaces auxquelles votre petite entreprise peut être confrontée sur Internet, analyses de rentabilisation sur la manière dont ces menaces peuvent vous blesser et mesures pratiques que vous pouvez prendre pour les éviter.

Voici un résumé des cinq principales menaces:

  • # 1: Code malveillant. Une bombe logicielle d'une entreprise manufacturière du nord-est a détruit tous les programmes de l'entreprise et les générateurs de code. Par la suite, l'entreprise a perdu des millions de dollars, a été délogée de son poste dans l'industrie et a finalement dû licencier 80 travailleurs. Pour vous assurer que cela ne vous arrive pas, installez et utilisez des programmes anti-virus, anti-spyware et des pare-feu sur tous les ordinateurs de votre entreprise. De plus, assurez-vous que tous les logiciels sont à jour et contiennent les correctifs les plus récents (logiciels d’exploitation, anti-virus, anti-spyware, anti-adware, pare-feu et logiciels de bureautique).
  • # 2: Ordinateur portable ou appareil mobile volé / perdu. L’an dernier, un ordinateur portable d’un employé du ministère des Anciens Combattants a été volé à son domicile. L’ordinateur portable contenait 26,5 millions d’histoires médicales d'anciens combattants. Finalement, l'ordinateur portable a été récupéré et les données n'ont pas été utilisées. Toutefois, la VA a dû notifier 26,5 millions d'anciens combattants de l'incident, ce qui a entraîné des audiences au Congrès et un examen public. Pour vous assurer que cela ne vous arrive pas, protégez les données de vos clients lorsque vous les transportez n'importe où sur un périphérique portable en cryptant toutes les données qui y résident. Les programmes de cryptage encodent les données ou les rendent illisibles aux yeux des étrangers, jusqu'à ce que vous saisissiez un mot de passe ou une clé de cryptage.
  • # 3: Phishing Spear. Un fabricant de bicyclettes de taille moyenne a beaucoup utilisé le courrier électronique pour mener ses affaires. Au cours d'une journée de travail, l'entreprise a reçu jusqu'à 50 000 courriers électroniques non sollicités (spam) et de phishing. Dans un cas, un employé a reçu un e-mail de «spear phishing» émanant du service informatique et lui a demandé de confirmer le «mot de passe de l'administrateur». Heureusement pour la société, l'employé a demandé au responsable hiérarchique de « mot de passe administrateur », a-t-il enquêté plus avant et a réalisé que le courrier électronique était une arnaque. Pour vous assurer que cela ne vous arrive pas, demandez à tous les employés de contacter leur responsable, ou simplement de prendre le téléphone et de contacter la personne qui a envoyé le courrier directement. Il est important d'informer vos employés de ce qu'est une attaque de phishing et de rechercher tout élément suspect dans leur boîte de réception.
  • # 4: Réseaux Internet sans fil non sécurisés. Selon des informations parues dans la presse, des pirates informatiques ont mis au point la "plus grande violation de données jamais vue" via un réseau sans fil. Plus de 47 millions de clients ont volé des informations financières dans une chaîne de vente au détail mondiale à l’aide de pirates informatiques qui avaient découvert un réseau sans fil sécurisé par la méthode de cryptage la plus basse disponible. À l’heure actuelle, cette faille de sécurité a coûté à la société 17 millions de dollars, et en particulier 12 millions de dollars par trimestre, soit 3 cents par action. Pour vous assurer que cela ne vous arrive pas, lors de la configuration d’un réseau sans fil, assurez-vous que le mot de passe par défaut est modifié et chiffrez votre réseau sans fil avec WPA (Wi-Fi Protected Access).
  • # 5: Menace d'initié / d'employés mécontents. Ancien employé d'une entreprise chargée des opérations aériennes pour le compte de grandes entreprises automobiles, il a supprimé des informations cruciales sur l'emploi deux semaines après sa démission de son poste. L'incident a causé des dommages d'environ 34 000 $. Pour vous assurer que cela ne vous arrive pas, répartissez les fonctions et responsabilités critiques entre les employés de l’organisation, limitant ainsi le risque qu’une personne puisse commettre un sabotage ou une fraude sans l’aide d’autres employés de l’organisation.

Lisez ci-dessous pour plus d'informations et des conseils détaillés sur la protection de vos systèmes informatiques -

1. Code malveillant (logiciel espion / virus / cheval de Troie / vers)

Selon une étude réalisée par le FBI en 2006 sur la criminalité informatique, les logiciels malveillants constituaient le plus grand nombre de cyber-attaques signalées, ce qui a entraîné une perte moyenne de 69 125 $ par incident. Les logiciels malveillants sont des programmes informatiques installés secrètement sur votre ordinateur. Ils peuvent soit endommager votre réseau informatique, par exemple en supprimant des fichiers critiques, soit être utilisés pour voler des mots de passe ou déverrouiller des logiciels de sécurité afin qu'un pirate informatique puisse dérober des informations sur les clients ou les employés. La plupart du temps, les criminels ont recours à ces types de programmes pour obtenir un gain financier, que ce soit par extorsion ou vol.

Étude de cas:

Une entreprise de fabrication du nord-est du pays a remporté des contrats d’une valeur de plusieurs millions de dollars pour la fabrication d’appareils de mesure et d’instrumentation pour la NASA et la US Navy. Cependant, un matin, les travailleurs se sont trouvés dans l’impossibilité de se connecter au système d’exploitation. Ils ont plutôt reçu le message que le système était «en réparation». Peu de temps après, le serveur de la société est tombé en panne, éliminant ainsi tous les programmes d’outillage et de fabrication de l’usine. Lorsque le responsable est allé chercher des cassettes, il a constaté qu'elles avaient disparu et que les postes de travail individuels avaient également été supprimés. Le directeur financier de la société a déclaré que la bombe logicielle avait détruit tous les programmes et les générateurs de code permettant à la société de personnaliser ses produits et de réduire ainsi les coûts. La société a par la suite perdu des millions de dollars, a été délogée de son poste dans l'industrie et a finalement dû licencier 80 travailleurs. La société peut se consoler du fait que le coupable a finalement été arrêté et condamné.

Conseil:

  • Installez et utilisez des programmes anti-virus, anti-spyware et des pare-feu sur tous les ordinateurs de votre entreprise.
  • Assurez-vous que vos ordinateurs sont protégés par un pare-feu. Les pare-feu peuvent être des appliances distinctes, intégrées à des systèmes sans fil, ou un pare-feu logiciel fourni avec de nombreuses suites de sécurité commerciales.
  • De plus, assurez-vous que tous les logiciels sont à jour et contiennent les correctifs les plus récents (logiciels d’exploitation, anti-virus, anti-spyware, anti-adware, pare-feu et logiciels de bureautique).

2. Ordinateur portable ou appareil mobile volé / perdu

Croyez-le ou non, les ordinateurs portables volés ou perdus sont l’un des moyens les plus courants de perdre des données critiques. Selon une étude du FBI sur la criminalité (PDF) réalisée en 2006, un ordinateur portable volé ou égaré entraînait généralement une perte moyenne de 30 570 dollars.Toutefois, un incident de grande envergure ou obligeant une entreprise à contacter tous ses clients, du fait que leurs données financières ou personnelles ont pu être perdues ou volées, peut entraîner des pertes bien plus importantes en raison de la perte de confiance des consommateurs, de leur réputation entachée et même de leur perte. responsabilité juridique.

Étude de cas:

L’année dernière, un employé du ministère des Affaires des anciens combattants a emporté chez lui un ordinateur portable qui contenait 26,5 millions d’histoires médicales. Alors que l’employé n’était pas chez lui, un intrus est entré par effraction et a volé l’ordinateur portable contenant les données relatives aux anciens combattants. Finalement, l'ordinateur portable a été récupéré et les données n'ont pas été utilisées. Toutefois, la VA a dû notifier 26,5 millions d'anciens combattants de l'incident, ce qui a entraîné des audiences au Congrès et un examen public. Ce phénomène ne se limite pas au gouvernement. En 2006, un certain nombre d’affaires très médiatisées impliquant des ordinateurs portables perdus ou volés ont donné lieu à des violations de données. Un ordinateur portable contenant 250 000 clients Ameriprise a été volé dans une voiture. On a volé un ordinateur portable dans le système hospitalier de soins de santé providentiels, qui contenait des milliers de dossiers médicaux de patients.

Conseil:

  • Protégez les données de vos clients lorsque vous les transportez n’importe où sur un périphérique portable en cryptant toutes les données qu’il contient. Les programmes de cryptage encodent les données ou les rendent illisibles aux yeux des étrangers, jusqu'à ce que vous saisissiez un mot de passe ou une clé de cryptage. Si un ordinateur portable avec des données sensibles est volé ou perdu, mais que les données sont cryptées, il est hautement improbable que quiconque puisse les lire. Le cryptage est votre dernière ligne de défense si des données sont perdues ou volées. Certains programmes de cryptage sont intégrés à des logiciels financiers et de bases de données populaires. Consultez simplement le manuel du propriétaire de votre logiciel pour savoir si cette fonctionnalité est disponible et comment l’activer. Dans certains cas, vous aurez peut-être besoin d'un programme supplémentaire pour chiffrer correctement vos données sensibles.

3. Phear Spear

Le spear phishing décrit toute attaque de phishing hautement ciblée. Spear Phishers envoie des courriels qui semblent authentiques à tous les employés ou membres d'une société, d'un organisme gouvernemental, d'une organisation ou d'un groupe. Le message peut sembler provenir d’un employeur ou d’un collègue qui pourrait envoyer un message électronique à l’ensemble des membres de la société, par exemple le responsable des ressources humaines ou la personne qui gère les systèmes informatiques, et inclure éventuellement des demandes de noms d'utilisateur ou mots de passe.

La vérité est que les informations de l'expéditeur du courrier électronique ont été falsifiées ou «usurpées». Alors que les escroqueries par phishing sont conçues pour voler des informations à des particuliers, les escroqueries par hameçonnage permettent d'accéder à l'ensemble du système informatique d'une entreprise.

Si un employé répond avec un nom d'utilisateur ou un mot de passe, ou si vous cliquez sur des liens ou ouvrez des pièces jointes dans un courrier électronique, une fenêtre contextuelle ou un site Web de spear phishing, ils pourraient mettre votre entreprise ou votre organisation en danger.

Étude de cas:

Un fabricant de vélos de taille moyenne, qui fabriquait des vélos utilisés dans des courses bien connues, comptait énormément sur la messagerie électronique pour mener ses activités à bien. Au cours d'une journée de travail, l'entreprise a reçu jusqu'à 50 000 courriers électroniques non sollicités (spam) et de phishing. En conséquence, la société a installé de nombreux filtres anti-spam afin de protéger les employés contre les courriels frauduleux. Cependant, de nombreux courriels frauduleux parviennent toujours aux employés. Dans un cas, un employé a reçu un e-mail de «spear phishing» émanant du service informatique et lui a demandé de confirmer le «mot de passe de l'administrateur». Heureusement pour la société, l'employé a demandé au responsable hiérarchique de « mot de passe administrateur », a-t-il enquêté plus avant et a réalisé que le courrier électronique était une arnaque. Bien que cet exemple n’ait pas entraîné de perte financière, il pourrait facilement avoir un problème commun à toutes les entreprises.

Conseil:

  • Les employés ne doivent jamais répondre à des spams ou à des messages contextuels prétendant provenir d’une entreprise ou d’une organisation avec laquelle vous pourriez avoir affaire, par exemple un fournisseur de services Internet, une banque, un service de paiement en ligne ou même un organisme gouvernemental. Les entreprises légitimes ne demanderont pas d'informations sensibles par courrier électronique ou par un lien.
  • En outre, si un employé reçoit un courrier électronique qui ressemble à celui d’un autre employé et demande un mot de passe ou tout type d’information sur son compte, il ne doit pas y répondre ni fournir d’information confidentielle par courrier électronique. Demandez plutôt à l'employé de contacter son responsable ou prenez simplement le téléphone et contactez la personne qui a envoyé l'e-mail directement.
  • Il est important d'informer vos employés de ce qu'est une attaque de phishing et de rechercher tout élément suspect dans leur boîte de réception. Le meilleur moyen d'éviter de devenir victime d'une attaque de phishing est de faire savoir à tout le monde que cela se produit avant que quiconque ne perde des informations personnelles.

4. Réseaux Internet sans fil non sécurisés

Les consommateurs et les entreprises adoptent et mettent rapidement en place des réseaux Internet sans fil. Selon une étude d'InfoTech, la pénétration des réseaux Internet sans fil atteindra 80% d'ici 2008. Les réseaux Internet sans fil offrent aux entreprises la possibilité de rationaliser leurs réseaux et de constituer un réseau avec très peu d'infrastructures ou de câbles, mais il existe des risques de sécurité auxquels les entreprises doivent faire face. utilisant des réseaux Internet sans fil. Les pirates informatiques et les fraudeurs peuvent accéder aux ordinateurs des entreprises via un réseau Internet sans fil ouvert et, de ce fait, pourraient voler des informations sur les clients, voire des informations confidentielles. Malheureusement, de nombreuses entreprises ne prennent pas les mesures nécessaires pour sécuriser leurs réseaux sans fil. Selon une étude Symantec / Small Business Technology Institute réalisée en 2005, 60% des petites entreprises disposent de réseaux sans fil ouverts. En outre, de nombreuses autres petites entreprises peuvent ne pas utiliser une sécurité sans fil suffisamment puissante pour protéger leurs systèmes. Ne pas sécuriser correctement un réseau sans fil revient à laisser la porte ouverte toute la nuit.

Étude de cas:

Selon des informations parues dans la presse, des pirates informatiques ont mis au point la "plus grande violation de données jamais vue" via un réseau sans fil. Plus de 47 millions de clients ont volé des informations financières dans une chaîne de vente au détail mondiale à l’aide de pirates informatiques qui avaient découvert un réseau sans fil sécurisé par la méthode de cryptage la plus basse disponible. En 2005, deux pirates informatiques se seraient garés devant un magasin et auraient utilisé une antenne sans fil de télescope pour décoder les données entre des scanners de paiement portables, leur permettant ainsi de s'introduire dans la base de données de la société mère et de récupérer les données de cartes de crédit et de débit de près de 47 millions de clients. On pense que les pirates ont eu accès à la base de données de cartes de crédit pendant plus de deux ans sans avoir été détectés. Au lieu d'utiliser le logiciel de cryptage le plus récent pour sécuriser son réseau sans fil - l'accès WPA (Wi-Fi Protected Access), la chaîne de vente au détail a utilisé une ancienne forme de cryptage appelée WEP (Wireless Equivalent Privacy), qui, selon certains experts, peut être facilement utilisée. piraté en aussi peu que 60 secondes. À l’heure actuelle, cette faille de sécurité a coûté à la société 17 millions de dollars, et en particulier 12 millions de dollars par trimestre, soit 3 cents par action.

Conseil:

  • Lorsque vous configurez un réseau sans fil, assurez-vous que le mot de passe par défaut est modifié. La plupart des périphériques réseau, y compris les points d'accès sans fil, sont préconfigurés avec des mots de passe administrateur par défaut pour simplifier la configuration. Ces mots de passe par défaut sont faciles à trouver en ligne et ne fournissent donc aucune protection. La modification des mots de passe par défaut complique la prise de contrôle du périphérique par les pirates.
  • De plus, assurez-vous de chiffrer votre réseau sans fil avec le chiffrement WPA. WEP (Wired Equivalent Privacy) et WPA (Wi-Fi Protected Access) cryptent les informations sur les périphériques sans fil. Cependant, le WEP pose un certain nombre de problèmes de sécurité qui le rendent moins efficace que le WPA. Vous devez donc rechercher spécifiquement les équipements prenant en charge le cryptage via WPA. Le cryptage des données empêcherait quiconque pouvant surveiller le trafic de votre réseau sans fil de visualiser vos données.

5. Menace d'initié / d'employés mécontents

Un employé mécontent ou un initié peut être plus dangereux qu'un pirate informatique le plus sophistiqué d'Internet. En fonction des stratégies de sécurité et de la gestion des mots de passe de votre entreprise, les initiés peuvent avoir un accès direct à vos données critiques. En conséquence, ils peuvent facilement les voler et les vendre à votre concurrent, voire même les supprimer intégralement, en causant des dommages irréparables. Vous pouvez prendre certaines mesures pour empêcher un initié ou un employé mécontent d’avoir accès aux informations clés et d’endommager vos réseaux informatiques.

Étude de cas:

Ancien employé d'une entreprise chargée des opérations aériennes pour le compte de grandes entreprises automobiles, il a supprimé des informations cruciales sur l'emploi deux semaines après sa démission de son poste. L'incident a causé des dommages d'environ 34 000 $. Selon certaines informations, l'employé était mécontent d'avoir été libéré par l'entreprise plus tôt que prévu. Le pare-feu de la société aurait été compromis et l’auteur s’est introduit dans la base de données des employés et a supprimé tous les enregistrements. Les déclarations de la société indiquent que l'ancien employé mécontent était l'une des trois seules personnes à connaître les informations de connexion et de mot de passe du pare-feu qui protégeait la base de données des employés.

Conseil:

Votre société peut se protéger des menaces internes ou mécontentes de ses employés de différentes manières:

  • Divisez les fonctions et responsabilités critiques entre les employés de l'organisation, limitant ainsi le risque qu'une personne puisse commettre un sabotage ou une fraude sans l'aide des autres employés de l'organisation.
  • Implémentez des stratégies de mot de passe et d'authentification strictes. Assurez-vous que chaque employé utilise des mots de passe contenant des lettres et des chiffres et n'utilise pas de noms ou de mots.
  • En outre, veillez à modifier les mots de passe tous les 90 jours et, surtout, à supprimer le compte d’un employé ou à remplacer les mots de passe par des systèmes critiques, après le départ d’un employé de votre entreprise. Cela rend plus difficile pour les employés mécontents d'endommager vos systèmes après leur départ.
  • Exercez une diligence raisonnable AVANT d’engager quelqu'un. Faites des vérifications des antécédents, des vérifications pédagogiques, etc. pour vous assurer que vous embauchez de bonnes personnes.
* * * * *

A propos de l'auteur: En tant que directeur exécutif de la National Cyber ​​Security Alliance (NCSA), Ron Teixeira est responsable de la gestion globale des programmes de sensibilisation à la cybersécurité et des efforts d'éducation nationale. Teixeira travaille en étroite collaboration avec divers organismes gouvernementaux, entreprises et organisations à but non lucratif pour sensibiliser davantage les utilisateurs aux problèmes de sécurité Internet et donner aux utilisateurs domestiques, aux petites entreprises et au monde de l'éducation des outils et des meilleures pratiques conçus pour garantir une expérience Internet sûre et enrichissante.

9 commentaires ▼