Comment les violations de données et les fuites peuvent affecter vos employés –
Lorsqu’il s’agit de violations et de fuites de données, les entreprises ont tendance à être conscientes des dommages qu’elles pourraient infliger à leur base d’utilisateurs. Mais tandis que les entreprises non affectées analysent la situation pour s’assurer qu’elles ne sont pas les prochaines, elles négligent souvent les dommages déjà causés par leurs employés.
Sommaire
Les violations de données sont en augmentation
L’augmentation n’est pas seulement limitée à la fréquence des incidents signalés, mais également au volume de données, d’enregistrements et de fichiers compromis. Car alors que le nombre de violations a drastiquement chuté entre 2019 et 2020, le volume de dossiers exposés a plus que doublé.
Mais dans un monde où les violations et les fuites de données sont quotidiennes, c’est chaque entreprise pour elle-même. Et comme la prévention n’est plus une option viable, les entreprises se concentrent désormais sur l’intervention et le contrôle des dommages. Pourtant, la majorité des efforts sont dirigés vers un groupe démographique de consommateurs moyens et leurs besoins en matière de confidentialité et de sécurité, et non vers les personnes qui travaillent dans des entreprises disposant de leurs propres bases de données confidentielles.
La principale motivation des pirates informatiques est le gain financier, mais cela ne se reflète pas toujours dans le type de données qu’ils ciblent lors d’une violation, même indirectement. Les pirates qui volent des données pour les vendre sur le dark web tirent rarement profit des informations financières, surtout s’il s’agit de cartes de paiement prépayées.
Ce type d’informations ne se vend pas très bien sur le dark web car ils disposent rarement de fonds suffisants. Et les banques et les prestataires de services financiers ont tendance à avoir des exigences strictes en matière de sécurité et de vérification d’identité. Prenez, par exemple, le dernier incident des 600 000 cartes de paiement qui ont été divulguées sur le dark web. Ils contenaient à peine des fonds et chaque carte coûtait en moyenne moins de 50 $.
Ce sont les renseignements personnels qui pourraient être utilisés pour infliger le plus de dommages. Tout ce qui va du nom complet, du numéro de téléphone et de l’adresse e-mail d’une personne à son numéro de sécurité sociale et à ses informations et fichiers personnels.
Les cartes de paiement sont destinées aux pirates à la recherche d’un profit relativement sûr et rapide. Les informations personnelles sont utilisées par des individus malveillants à la recherche de cibles plus importantes.
Conséquences pour les employés
Tous les employés d’une industrie ou d’une entreprise sont des consommateurs d’une autre. Les violations de données et les fuites de ces entreprises peuvent affecter vos employés et votre entreprise de plusieurs manières.
Stress accru et productivité réduite
On ne peut nier l’impact émotionnel auquel les gens sont confrontés lorsqu’ils réalisent que leur vie privée a été violée. Et selon le type de données personnelles incluses dans la violation, leur vie personnelle et leur relation peuvent également avoir été affectées. Tout cela peut se répercuter dans leur environnement de travail, entraînant une baisse de la productivité et de la qualité du travail.
Les données et les informations personnelles compromises demandent beaucoup de travail pour être sécurisées et modifiées. Les employés pourraient être surmenés en visitant leur banque pour sécuriser leur compte et travailler sur le remplacement de tous les anciens e-mails et mots de passe de leurs comptes qui ne sont rien de moins qu’une bombe à retardement.
Contamination croisée
Les effets mentaux d’une violation de données sont centrés sur les employés, mais peuvent affecter leur travail. Pourtant, il y a toujours la menace la plus directe de contamination croisée.
Selon le type de violation dans lequel un ou plusieurs de vos employés ont été inclus, le type de données exposées diffère. Si la sensibilisation à la cybersécurité et à la distance numérique n’est pas prédominante dans votre entreprise, la fuite des informations d’un employé pourrait également compromettre la sécurité de vos actifs numériques.
S’ils utilisent la même adresse e-mail, le même numéro de téléphone ou même les mêmes mots de passe dans leurs comptes personnels que les comptes liés au travail, quiconque a eu accès à leurs informations et informations d’identification peut désormais infiltrer l’entreprise. Les conséquences pourraient être encore plus graves s’ils stockent des fichiers liés au travail sur des appareils personnels et un stockage en nuage.
Cibles plus faciles pour les programmes d’hameçonnage
Les attaques de phishing dépendent principalement de ce que l’auteur connaît de sa cible. Ainsi, alors que les escroqueries par hameçonnage consistant à gagner une loterie automatique, l’héritage d’un parent éloigné ou les frais de livraison de colis fonctionnent rarement de nos jours, les escroqueries hautement personnalisées sont plus difficiles à éviter. L’attaquant peut inclure des informations classifiées et sensibles sur sa cible, telles que son numéro de sécurité sociale, sa date et son lieu de naissance, pour sembler plus légitime.
Il est peu probable qu’une attaque de phishing motivée par une violation de données vise la personne elle-même. Après tout, ils peuvent savoir où travaille la personne ainsi que sa position et sa hiérarchie dans l’entreprise. Ils pourraient utiliser l’un de vos employés comme une passerelle vers votre entreprise dans son ensemble, de la même manière que les programmes de phishing ciblant directement les entreprises, mais avec un taux de réussite beaucoup plus élevé.
Solutions?
Vous ne pouvez pas faire grand-chose pour protéger les autres entreprises contre les violations et les fuites de données. Mais cela ne signifie pas que vous ne pouvez pas réagir correctement et vous préparer à la possibilité d’être indirectement inclus dans l’un d’eux.
Appliquer la distanciation numérique
La distanciation numérique dans un environnement de travail consiste à limiter ou à éliminer la connexion entre les appareils et les comptes personnels et professionnels des employés. Cette approche peut être plus difficile à mettre en œuvre dans les petites entreprises qui n’ont pas le budget pour fournir au personnel des appareils pour le travail, et les entreprises qui dépendent fortement des travailleurs à distance qui utilisent leurs ordinateurs portables et comptes personnels pour travailler sur des projets d’entreprise, comme utiliser leur e-mail pour vous connecter à une plate-forme réservée au travail.
Même si la séparation des appareils n’est pas incluse, vous devez toujours appliquer la séparation des comptes. Soulignez que chaque employé doit avoir des comptes de travail uniquement et des mots de passe forts qui ne sont jamais utilisés sur des comptes personnels, ainsi qu’un type de vérification d’identité tel que 2FA ou des connexions sans mot de passe.
Encourager la communication ouverte
Personne ne croit qu’ils pourraient jamais tomber dans le piège d’un stratagème de phishing, mais cela se produit toujours. En plus d’une formation régulière et intensive sur les dernières attaques de phishing, vous ne devez pas laisser les employés seuls lorsqu’il s’agit d’attaques de phishing complexes.
Favorisez une communication ouverte entre vos employés et les services informatiques et de sécurité de l’entreprise. Encouragez les employés à les contacter concernant tout e-mail ou message qu’ils jugent suspect. Vous devez également éviter de blâmer les employés par défaut. De cette façon, si un employé tombe dans le piège d’une attaque de phishing, il contacte immédiatement le service informatique au lieu de paniquer et de travailler lui-même à dissimuler le problème.
Offrir un soutien moral
Lorsqu’il s’agit de gérer le stress des employés et l’impact émotionnel qu’ils subissent après une violation de données, la seule chose que vous pouvez apporter est la compréhension et le soutien moral. De plus, plus vite ils remettront leur vie en ordre, plus vite ils pourront à nouveau travailler correctement.
Envisagez d’offrir aux victimes de violations de données et de fuites le temps libre et un horaire flexible dont elles peuvent avoir besoin pour rencontrer leur banque et visiter les bureaux du gouvernement pour modifier et sécuriser leurs informations personnelles.