Se connecter
Inscription
Mot de passe perdu
Publié le 28/11/2023 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
Pourquoi la vente au détail et pourquoi maintenant ?
Depuis longtemps, les détaillants bénéficient d’un traitement spécial des cybercriminels. Et la période la plus chargée de l’année est une occasion en or pour frapper. Pourquoi?
● Les détaillants détiennent des informations personnelles et financières de grande valeur de leurs clients venant des cartes de paiement. Cela ne surprend donc pas que 100 % des violations de données analysées par Verizon durant l’année avaient un motif financier.
● Pour le détail, les fêtes sont la période la plus importante au niveau des revenus. Le secteur est donc plus exposé aux cyber-menaces - rançongiciels ou dénis de service distribué (DDoS), faits pour extorquer de l’argent en refusant le service. Les concurrents peuvent aussi lancer des attaques DDoS pour priver leurs rivaux d’une clientèle et de revenus vitaux.
● En cette période, les employés, en particulier les équipes informatiques surchargées, se concentrent sur l'aide à l'entreprise pour générer le plus de revenus possible plutôt que sur la surveillance des cyber-menaces. Ils peuvent même modifier les filtres anti-fraude internes pour permettre l’approbation d’achats plus importants sans examen minutieux.
● Les détaillants s'appuient plus sur les systèmes numériques pour créer des expériences de commerce tous canaux, notamment des logiciels d'entreprise basés cloud, des appareils IoT en magasin et des applis mobiles destinées aux clients. Ainsi, ils élargissent (bien involontairement) la surface d’attaque potentielle.
En 2013, une des plus grandes violations de données jamais enregistrées a eu lieu lors des fêtes de fin d’année, lorsque des pirates ont volé 110 millions de dossiers clients au détaillant américain Target.
Quelles sont les plus grandes cyber-menaces pour les détaillants en cette saison ?
Les détaillants doivent défendre une plus grande surface d’attaque, mais aussi faire face à une variété de plus en plus large de tactiques, techniques et procédures (TTP) de leurs adversaires dont les objectifs sont soit de voler les données des clients et des employés, d’extorquer/perturber l’activité via DDoS, de frauder soit d’utiliser des robots pour obtenir un avantage concurrentiel. Parmi les cyber-menaces du commerce de détail, il y a :
● Les violations de données provenant d'identifiants d'employés volés, piratés ou hameçonnés ou de l'exploitation de vulnérabilités, comme dans les applis Web. Il en résulte des dommages financiers et de réputation avec impact sur les plans de croissance et les revenus.
● Ecrémage numérique (attaques Magecart), lorsque des acteurs malveillants exploitent des vulnérabilités pour insérer du code d'écrémage dans les pages de paiement ou via un fournisseur de logiciel/widget tiers. Difficiles à repérer, ces attaques peuvent nuire à la réputation. Selon Verizon, l’an dernier elles représentaient 18 % des violations dans le commerce de détail.
● Les rançongiciels sont une des principales menaces et les auteurs pourraient intensifier leurs attaques afin que davantage d'entreprises soient prêtes à payer pour récupérer et décrypter leurs données. Les PME sont dans la ligne de mire, car leurs contrôles de sécurité peuvent être moins efficaces.
● DDoS est un moyen populaire d'extorquer/perturber les détaillants. L'an dernier, le secteur a été la cible de près d'un cinquième (17 %) de ces attaques, en augmentation de 53 % sur un an, avec des pics observés lors du Black Friday.
● Attaques de la chaîne d'approvisionnement : elles peuvent viser un fournisseur numérique tel un éditeur de logiciels ou même un référentiel open source. Elles peuvent s’adresser à des entreprises de services professionnels ou même de nettoyage. La violation de Target fût possible car les pirates avaient volé les informations d'identification du réseau d'un fournisseur de CVC.
● Piratages de compte (ATO) : ils sont possibles par des identifiants volés, hameçonnés ou piratés. Peut-être est-ce le début d’une tentative majeure de violation, ou cela vise les clients dans le cadre de credential stuffing ou autres campagnes de force brute. Ici, on utilise des robots malveillants.
● Autres attaques de robots malveillants : scalping (la concurrence achète des produits très demandés et les revend à un prix plus élevé), fraude aux cartes de paiement/cadeaux et grattage des prix (permettant à la concurrence de baisse les prix). Ces robots représentent environ 30 % de tout le trafic Internet. Les deux tiers des sites Web britanniques sont incapables de bloquer même de simples attaques. On estime qu’en 2022 le trafic de robots malveillants a augmenté de 50 %.
● Les API (Application Programming Interface) sont au centre de la transformation numérique du détail et permettent des expériences client plus connectées et plus fluides. Mais les vulnérabilités et les erreurs de configuration permettent aussi aux pirates d’accéder plus facilement aux données des clients.
Comment se défendre contre les cyber-risques
Les détaillants doivent trouver un équilibre entre la sécurité, la productivité des employés et la croissance de leur entreprise. Ce n’est pas toujours facile, d’autant plus que le coût de la vie exerce une pression croissante sur la recherche du profit. Voici 10 bonnes pratiques à considérer :
● Formation régulière du personnel : assurez-vous que vos employés peuvent détecter même les attaques de phishing sophistiquées et vous disposerez d'une dernière ligne de défense.
● Audit des données : sachez de quelles données vous disposez, où elles sont stockées, où elles circulent et comment elles sont protégés. Cela dans le cadre de la conformité au RGPD.
● Cryptage fort des données : une fois que vous avez découvert et classé vos données, appliquez un cryptage fort aux informations les plus sensibles et ceci de manière continue.
● Gestion des correctifs basée risques : l'importance des correctifs logiciels ne peut être sous-estimée. Mais chaque année le nombre de nouvelles vulnérabilités peut être écrasant. Les systèmes automatisés basés sur les risques devraient contribuer à rationaliser le processus et à donner la priorité aux systèmes et vulnérabilités les plus importants.
● Sécurité de protection multicouche : considérez les fonctionnalités anti-malware et autres au niveau d'un serveur, d'un terminal, d'un réseau de messagerie et d'une couche cloud, comme barrière préventive contre les cyber-menaces.
● XDR : pour les menaces parvenant à contourner les contrôles préventifs, il faut une détection et une réponse étendues (XDR) puissantes, fonctionnant sur plusieurs couches, notamment pour prendre en charge la recherche des menaces et la réponse aux incidents.
● Sécurité de la chaîne d'approvisionnement : auditez tous les fournisseurs, y compris les partenaires numériques et les éditeurs de logiciels, pour vous assurer que leur situation sécuritaire est conforme à votre approche des risques.
● Contrôles d'accès stricts : les gestionnaires de mots de passe pour mots de passe forts et uniques et l'authentification multi facteur sont indispensables pour tous les comptes sensibles. Avec XDR, le chiffrement, la séparation du réseau et les contrôles préventifs, ces contrôles sont la base d'une approche de sécurité Zero Trust (Zero Trust security approach).
● Plan de reprise après sinistre/continuité des activités : l'examen des plans garantira que les processus opérationnels et les outils technologiques appropriés sont en place.
● Planification de réponse aux incidents : assurez-vous que les plans sont étanches et testés régulièrement, afin que tout le monde sache quoi faire dans le pire des cas et qu'on ne perde pas de temps pour répondre et contenir une menace.
Pour la majorité des détaillants, la conformité PCI DSS sera également une exigence essentielle pour fonctionner. C’est une opportunité plutôt qu’un fardeau. Ses exigences détaillées contribueront à créer une position sécuritaire plus mature et à minimiser l’exposition aux risques. Des technologies telles que le cryptage fort peuvent également contribuer à réduire les coûts et la charge administrative liés à la conformité.
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et https://www.eset.com/be-fr/
Depuis longtemps, les détaillants bénéficient d’un traitement spécial des cybercriminels. Et la période la plus chargée de l’année est une occasion en or pour frapper. Pourquoi?
● Les détaillants détiennent des informations personnelles et financières de grande valeur de leurs clients venant des cartes de paiement. Cela ne surprend donc pas que 100 % des violations de données analysées par Verizon durant l’année avaient un motif financier.
● Pour le détail, les fêtes sont la période la plus importante au niveau des revenus. Le secteur est donc plus exposé aux cyber-menaces - rançongiciels ou dénis de service distribué (DDoS), faits pour extorquer de l’argent en refusant le service. Les concurrents peuvent aussi lancer des attaques DDoS pour priver leurs rivaux d’une clientèle et de revenus vitaux.
● En cette période, les employés, en particulier les équipes informatiques surchargées, se concentrent sur l'aide à l'entreprise pour générer le plus de revenus possible plutôt que sur la surveillance des cyber-menaces. Ils peuvent même modifier les filtres anti-fraude internes pour permettre l’approbation d’achats plus importants sans examen minutieux.
● Les détaillants s'appuient plus sur les systèmes numériques pour créer des expériences de commerce tous canaux, notamment des logiciels d'entreprise basés cloud, des appareils IoT en magasin et des applis mobiles destinées aux clients. Ainsi, ils élargissent (bien involontairement) la surface d’attaque potentielle.
En 2013, une des plus grandes violations de données jamais enregistrées a eu lieu lors des fêtes de fin d’année, lorsque des pirates ont volé 110 millions de dossiers clients au détaillant américain Target.
Quelles sont les plus grandes cyber-menaces pour les détaillants en cette saison ?
Les détaillants doivent défendre une plus grande surface d’attaque, mais aussi faire face à une variété de plus en plus large de tactiques, techniques et procédures (TTP) de leurs adversaires dont les objectifs sont soit de voler les données des clients et des employés, d’extorquer/perturber l’activité via DDoS, de frauder soit d’utiliser des robots pour obtenir un avantage concurrentiel. Parmi les cyber-menaces du commerce de détail, il y a :
● Les violations de données provenant d'identifiants d'employés volés, piratés ou hameçonnés ou de l'exploitation de vulnérabilités, comme dans les applis Web. Il en résulte des dommages financiers et de réputation avec impact sur les plans de croissance et les revenus.
● Ecrémage numérique (attaques Magecart), lorsque des acteurs malveillants exploitent des vulnérabilités pour insérer du code d'écrémage dans les pages de paiement ou via un fournisseur de logiciel/widget tiers. Difficiles à repérer, ces attaques peuvent nuire à la réputation. Selon Verizon, l’an dernier elles représentaient 18 % des violations dans le commerce de détail.
● Les rançongiciels sont une des principales menaces et les auteurs pourraient intensifier leurs attaques afin que davantage d'entreprises soient prêtes à payer pour récupérer et décrypter leurs données. Les PME sont dans la ligne de mire, car leurs contrôles de sécurité peuvent être moins efficaces.
● DDoS est un moyen populaire d'extorquer/perturber les détaillants. L'an dernier, le secteur a été la cible de près d'un cinquième (17 %) de ces attaques, en augmentation de 53 % sur un an, avec des pics observés lors du Black Friday.
● Attaques de la chaîne d'approvisionnement : elles peuvent viser un fournisseur numérique tel un éditeur de logiciels ou même un référentiel open source. Elles peuvent s’adresser à des entreprises de services professionnels ou même de nettoyage. La violation de Target fût possible car les pirates avaient volé les informations d'identification du réseau d'un fournisseur de CVC.
● Piratages de compte (ATO) : ils sont possibles par des identifiants volés, hameçonnés ou piratés. Peut-être est-ce le début d’une tentative majeure de violation, ou cela vise les clients dans le cadre de credential stuffing ou autres campagnes de force brute. Ici, on utilise des robots malveillants.
● Autres attaques de robots malveillants : scalping (la concurrence achète des produits très demandés et les revend à un prix plus élevé), fraude aux cartes de paiement/cadeaux et grattage des prix (permettant à la concurrence de baisse les prix). Ces robots représentent environ 30 % de tout le trafic Internet. Les deux tiers des sites Web britanniques sont incapables de bloquer même de simples attaques. On estime qu’en 2022 le trafic de robots malveillants a augmenté de 50 %.
● Les API (Application Programming Interface) sont au centre de la transformation numérique du détail et permettent des expériences client plus connectées et plus fluides. Mais les vulnérabilités et les erreurs de configuration permettent aussi aux pirates d’accéder plus facilement aux données des clients.
Comment se défendre contre les cyber-risques
Les détaillants doivent trouver un équilibre entre la sécurité, la productivité des employés et la croissance de leur entreprise. Ce n’est pas toujours facile, d’autant plus que le coût de la vie exerce une pression croissante sur la recherche du profit. Voici 10 bonnes pratiques à considérer :
● Formation régulière du personnel : assurez-vous que vos employés peuvent détecter même les attaques de phishing sophistiquées et vous disposerez d'une dernière ligne de défense.
● Audit des données : sachez de quelles données vous disposez, où elles sont stockées, où elles circulent et comment elles sont protégés. Cela dans le cadre de la conformité au RGPD.
● Cryptage fort des données : une fois que vous avez découvert et classé vos données, appliquez un cryptage fort aux informations les plus sensibles et ceci de manière continue.
● Gestion des correctifs basée risques : l'importance des correctifs logiciels ne peut être sous-estimée. Mais chaque année le nombre de nouvelles vulnérabilités peut être écrasant. Les systèmes automatisés basés sur les risques devraient contribuer à rationaliser le processus et à donner la priorité aux systèmes et vulnérabilités les plus importants.
● Sécurité de protection multicouche : considérez les fonctionnalités anti-malware et autres au niveau d'un serveur, d'un terminal, d'un réseau de messagerie et d'une couche cloud, comme barrière préventive contre les cyber-menaces.
● XDR : pour les menaces parvenant à contourner les contrôles préventifs, il faut une détection et une réponse étendues (XDR) puissantes, fonctionnant sur plusieurs couches, notamment pour prendre en charge la recherche des menaces et la réponse aux incidents.
● Sécurité de la chaîne d'approvisionnement : auditez tous les fournisseurs, y compris les partenaires numériques et les éditeurs de logiciels, pour vous assurer que leur situation sécuritaire est conforme à votre approche des risques.
● Contrôles d'accès stricts : les gestionnaires de mots de passe pour mots de passe forts et uniques et l'authentification multi facteur sont indispensables pour tous les comptes sensibles. Avec XDR, le chiffrement, la séparation du réseau et les contrôles préventifs, ces contrôles sont la base d'une approche de sécurité Zero Trust (Zero Trust security approach).
● Plan de reprise après sinistre/continuité des activités : l'examen des plans garantira que les processus opérationnels et les outils technologiques appropriés sont en place.
● Planification de réponse aux incidents : assurez-vous que les plans sont étanches et testés régulièrement, afin que tout le monde sache quoi faire dans le pire des cas et qu'on ne perde pas de temps pour répondre et contenir une menace.
Pour la majorité des détaillants, la conformité PCI DSS sera également une exigence essentielle pour fonctionner. C’est une opportunité plutôt qu’un fardeau. Ses exigences détaillées contribueront à créer une position sécuritaire plus mature et à minimiser l’exposition aux risques. Des technologies telles que le cryptage fort peuvent également contribuer à réduire les coûts et la charge administrative liés à la conformité.
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et https://www.eset.com/be-fr/
Liens associés
24/04/2024 @ 16:21:26
Poster un commentaire
Jeux Vidéos
Android
Droit
