Agence web » Actualités du digital » Vol d’identité – Pourquoi les entreprises sont ciblées –

Vol d’identité – Pourquoi les entreprises sont ciblées –

Tas de clés argentées sur feuille cryptée.
Shutterstock / Cousin_Avi

Traditionnellement une préoccupation pour les particuliers, l’usurpation d’identité est désormais une préoccupation des entreprises. Cela peut éroder la loyauté des employés et faire croire aux clients que vous êtes trop risqué pour être associé.

Infractions, amendes et dommages

Les violations des informations personnelles identifiables (PII) ou l’utilisation inappropriée des PII peuvent entraîner de lourdes amendes. En Europe, la première vague d’amendes importantes en vertu de la loi générale sur la protection des données s’est écrasée sur les entreprises malchanceuses. H&M (Hennes & Mauritz Online Shop) a été condamné à une amende équivalente à 41 millions USD.

Et le RGPD ne s’applique pas qu’aux entreprises européennes. Si vous employez des Européens, faites du commerce ou opérez en Europe – et si vous avez un site Web accessible depuis l’Europe et qu’il contient une adresse e-mail que les gens peuvent utiliser pour vous contacter, cela compte comme du commerce – le RGPD s’applique également à vous. C’est ainsi que Google a été condamné à une amende de 58,5 millions de dollars.

Bien sûr, le RGPD n’est qu’un règlement. Aux États-Unis, la législation sur la protection des données est dispersée dans tout le Code des États-Unis dans des actes tels que le Driver’s Privacy Protection Act de 1994 (DPPA), le Children’s Online Privacy Protection Act (COPPA) et le nouveau Californian Consumer Protection Act (CCPA).

Comme si les amendes n’étaient pas assez graves, les atteintes à la réputation qui accompagnent une violation ou une autre non-conformité liée aux données peuvent avoir un impact considérable sur une entreprise et ses relations avec les clients. Les relations commerciales nécessitent une attention particulière. Il faut du temps et des efforts pour les entretenir et les entretenir. Mais ils peuvent être brisés et perdus du jour au lendemain par de mauvaises relations publiques. Parfois, il existe une mauvaise publicité.

Toutes les entreprises détiennent les PII des employés, des fournisseurs et des clients. Ils doivent être conscients qu’ils sont responsables de la collecte, de la sauvegarde et de l’utilisation légitime de ces données. Selon le rapport 2020 Cost of a Data Breach d’IBM, l’impact financier sur une entreprise par PII perdu record est de 150 USD.

Si les informations personnelles volées permettent à un acteur menaçant de se faire passer pour un membre de votre personnel afin qu’il puisse communiquer de manière convaincante avec un client, un fournisseur, la banque ou une personne de votre service comptable habilité à transférer de l’argent, le coût sera beaucoup plus élevé. .

PII et vol d’identité

Le vol d’identité est un terme générique couvrant une variété de fraudes impliquant des cartes de crédit, des contrats de location-vente, des baux, des achats en ligne et des services bancaires en ligne. Le vol d’identité est souvent associé à des informations personnelles volées ou autrement divulguées.

Depuis le moment où les ordinateurs sont devenus courants dans le monde des affaires, les entreprises ont collecté, stocké et traité des informations personnelles. Toute donnée unique sur une personne est PII. Vous n’avez pas besoin de stocker l’intégralité du puzzle numérique de données qui identifie définitivement quelqu’un pour que vos données soient considérées comme des informations personnelles. Si vous détenez ne serait-ce qu’une seule pièce du puzzle, cet extrait de données est classé comme PII et doit être protégé tout aussi fortement qu’un vidage de données complet de cette personne.

Du point de vue de l’acteur menaçant, obtenir un enregistrement complet des données sur quelqu’un revient à frapper paydirt. Mais de petites informations leur sont toujours utiles, tout comme de nombreuses pépites plus petites – si vous en trouvez suffisamment – peuvent constituer un gain intéressant. Plus vous détenez de PII et plus le nombre de personnes sur lesquelles vous détenez des données est élevé, plus vous êtes une cible attrayante.

Mais cela ne veut pas dire que les petites entreprises vont être ignorées par les criminels. Et en fait, ils peuvent être une cible privilégiée car il est peu probable qu’ils disposent d’un ensemble de protections et de contrôles de cybersécurité aussi rigoureux qu’une organisation à l’échelle de l’entreprise, ni d’un corps de personnel dédié pour les mettre en œuvre et les superviser.

Il est révolu le temps de fouiller dans les poubelles des gens ou dans les poubelles d’une entreprise à la recherche d’informations sur papier pour créer une personnalité viable de vol d’identité. Ce type de fraude est devenu high-tech et très précieux. Inévitablement, il a attiré l’attention du crime organisé. Les voleurs de données opèrent soit pour des groupes du crime organisé, qui utiliseront les informations personnelles volées pour commettre des fraudes, soit il s’agit de petites opérations cybercriminelles qui vendront les données sur le Dark Web.

Certaines PII volées offrent une brève fenêtre d’opportunité aux acteurs de la menace. Peu de temps après que les informations sont utilisées par les acteurs de la menace, elles sont remarquées par la victime. La victime alerte le fournisseur de services – comme la banque, la société de carte de crédit, les achats en ligne ou la sécurité sociale – et le compte est gelé, ou toute autre mesure à prendre. Mais parfois, les actions frauduleuses ne sont pas détectées pendant un certain temps.

Pourquoi des violations se produisent

Erreurs d’initié

Des accidents se produisent, comme laisser un ordinateur portable dans un train ou envoyer une feuille de calcul par e-mail à la mauvaise personne. Certains accidents surviennent parce que les politiques et procédures ne sont pas suivies – souvent en période de pression ou de stress – et que les pratiques prescrites sont ignorées ou que les coins sont coupés.

Les attaques de phishing et de spear-phishing sont utilisées par les acteurs de la menace pour contraindre les membres du personnel à installer par inadvertance des logiciels malveillants, tels que des rootkits et des chevaux de Troie d’accès à distance (RAT). La pression de l’emploi entre également en jeu ici. Le personnel harcelé et en difficulté est moins susceptible de s’arrêter et de parcourir une liste de contrôle mentale pour déterminer si un e-mail ou sa pièce jointe est réel ou malveillant.

Insiders malveillants

Les employés mécontents peuvent créer des violations de données PII pour appliquer ce qu’ils considèrent comme une justice vengeresse contre l’entreprise. D’autres pourraient voler des PII pour essayer d’en tirer profit financièrement. Ce sont peut-être des usines qui ont réussi à trouver un emploi dans votre entreprise, mais en réalité, elles travaillent pour un concurrent et elles mènent de l’espionnage industriel.

Attaques extérieures

La majorité des violations de données PII sont dues à des menaces externes. Comme le vol d’identité est devenu une activité lucrative (criminelle) et que le crime organisé s’y intéresse, les attaques sont coordonnées et sophistiquées. Ils peuvent lancer des attaques de phishing, exploiter des vulnérabilités ou utiliser des attaques par dictionnaire pour déterminer quels mots de passe sont utilisés.

Le cryptage est votre ami

qu39est-ce-que-le-hsts-et-comment-le-configurer-cloudsavvy-9247648
Shutterstock / Pavel Ignatov

Le cryptage est votre ami, mais ce n’est pas une panacée universelle de la cybersécurité. Vous devez toujours utiliser les défenses technologiques appropriées, une gouvernance informatique robuste avec des politiques et des procédures et une formation du personnel à la sensibilisation à la cybersécurité pour essayer de protéger vos systèmes.

Les données doivent être chiffrées sur les périphériques de stockage, tels que les disques durs, les disques externes et les systèmes de sauvegarde. Les sauvegardes hors site et locales doivent être chiffrées. Tous les appareils mobiles, y compris les ordinateurs portables, les smartphones, les tablettes, les clés USB et les CD-ROM doivent être chiffrés.

Le cryptage n’arrêtera pas le vol des données. Espérons que vos autres mesures défensives le seront. Mais le chiffrement des données devrait empêcher les cybercriminels d’en bénéficier. C’est comme utiliser un pack de teinture avec du papier-monnaie. Si le coffre-fort est volé, le pack de colorant explose, tachant de manière indélébile l’argent et le rendant inutile. Le pack de colorants n’empêchera pas un coffre-fort d’être volé et ouvert, mais il n’y a pas de récompense pour les criminels.

En outre, une violation de données cryptées est un délit beaucoup moins pernicieux aux yeux de la législation sur la protection des données que la perte de PII en texte brut.

La technologie de cryptage est aujourd’hui disponible pour les entreprises dans une variété de produits. Souvent, il fait partie intégrante d’une offre de produit, telle que la messagerie Microsoft 365.

Des produits sont également disponibles pour vous permettre de chiffrer vos systèmes sur site. Sachez qu’après avoir choisi et déployé un produit de chiffrement, vous devez toujours examiner périodiquement les différents produits de chiffrement. Même un programme de cryptage le plus performant pourrait présenter une faille dans ses algorithmes qui rend son cryptage vulnérable à l’exploitation. Alors, ne faites pas votre choix de produit et oubliez-le. Assurez-vous que votre décision de produit est toujours valable aujourd’hui.

Le chiffrement apporte ses propres frais généraux de gouvernance et de maintenance. Les routines de chiffrement utilisent des clés de chiffrement. Ce sont des chaînes de caractères et de symboles apparemment aléatoires qui sont utilisés avec l’algorithme pour coder et décoder les données. Et comme toutes les clés importantes, elles doivent être protégées et leur accès doit être régi et contrôlé. Vous devez aborder ces sujets lors de la planification du déploiement d’un chiffrement à grande échelle dans votre entreprise.

Déploiement du chiffrement

Si vous ne disposez pas d’un registre d’actifs de données, effectuez un audit des données et créez-en un. Au minimum, vous devez savoir quelles données vous détenez, où elles sont stockées, qui doit y accéder et à quel point elles sont sensibles ou critiques. La législation locale, telle que le RGPD, peut exiger que vous soyez beaucoup plus précis que cela.

Catégorisez vos données

Catégorisez les données en bandes, telles que:

  • Données restreintes: Les violations de cette catégorie de données causeront des dommages importants à l’entreprise, d’une manière ou d’une autre. Les plus hauts niveaux de contrôle et de protection doivent être appliqués à ces données.
  • Données privées: Toutes les données d’entreprise qui ne sont ni restreintes ni publiques sont considérées comme privées. L’accès non autorisé aux données privées comporte un risque modéré pour l’entreprise. Un niveau raisonnable de contrôle et de protection doit être appliqué à ces données.
  • Données publiques: Nécessite peu ou pas de contrôle et de protection.

Établir la période d’expiration des données

Si les données ont une date après laquelle il est peu probable qu’elles soient utiles et que vous savez que votre cryptage ne peut pas être annulé pendant cette période, vos données peuvent être considérées comme sûres.

Certaines données, telles que les cartes de crédit, ont une date d’expiration claire. Si quelqu’un obtient le numéro de carte de crédit et le code de la valeur de vérification de la carte (CVV), il ne dispose que de la date d’expiration de la carte pour les utiliser.

D’autres données, telles que des éléments de PII, auront un délai dans lequel il est raisonnable de s’attendre à ce qu’une victime de fraude liée à l’identité remarque que quelque chose ne va pas, comme des entrées étranges sur un relevé bancaire.

Effectuer une diligence raisonnable et une étude de marché

Guidé par les étapes précédentes et votre registre d’actifs de données – et votre budget, bien sûr – examinez les outils de chiffrement disponibles et sélectionnez celui qui correspond le mieux à vos besoins.

Définir des politiques et des procédures

Créer ou actualiser les politiques et procédures existantes pour fournir un contrôle et des conseils sur l’utilisation de l’outil de cryptage et le contrôle et la sauvegarde des clés de cryptage.

Organiser la formation du personnel

Offrez des sessions de formation à votre personnel afin qu’il comprenne les raisons des changements, quelles sont les nouvelles méthodes de travail et ce que l’on attend d’eux. Précisez que ces mesures sont conçues pour les protéger ainsi que leurs données.

Incluez ce type de briefing dans le cadre du processus d’intégration des nouveaux employés.

N’oubliez pas les bases

Les connexions à distance à votre entreprise ou à des ressources basées sur le cloud doivent être établies à l’aide de protocoles sécurisés et chiffrés, et toutes les applications et tous les systèmes d’exploitation doivent être corrigés avec les dernières mises à niveau et correctifs de sécurité.

N’oubliez pas que le cryptage protège les données volées – il n’empêchera pas le vol de données.

★★★★★