Les données privées, l’Eldorado des cyberpirates

Par Bertrand Milot

« On n’est pas une banque! » Voici la phrase que j’entends le plus ces derniers temps. Une phrase qui finalement laisse sous-entendre que le besoin de sécurité des banques est énormément plus élevé que supposément celui des autres entreprises ou même d’autres industries. En réalité, comme déjà expliqué dans certaines de mes publications, nous sommes tous et toutes des cibles qui tentons tant bien que mal de ne pas devenir des victimes. Nos données sont des biens précieux, celles-ci sont exploitables contre nous, elles sont monnayables, elles ont toute une forme de valeur, peu importe qui nous sommes. Nos données RH, bancaires, sociales, légales ou d’assurances et celles de vos employés sont l’objet de cet article.

 

Souvenez-vous : McDonald’s Canada dit que 95 000 demandeurs d’emploi ont été compromis après avoir été piratés. Les informations compromises peuvent inclure des noms, des informations de contact et des antécédents d’emploi, ont déclaré les responsables de l’entreprise. Boeing révèle une violation de données de 36 000 employés après qu’un employé ait envoyé un courriel à son conjoint pour obtenir de l’aide : « Réfléchissez à deux fois avant de demander à votre conjoint de vous aider à formater un document, surtout s’il contient des renseignements personnels sur 36 000 de vos collègues. », explique Andrew McIntosh dans son article du 1er mars. Virgin America a alerté des milliers d’employés que les systèmes de l’entreprise ont été violés, conduisant à la compromission de leurs données personnelles. La compagnie aérienne américaine, qui a été acquise par Alaska Airlines en 2016, a informé les travailleurs par lettre, indiquant que l’incident s’est produit plus tôt cette année.

 

En 2015, quatre millions d’employés du gouvernement américain ont vu leurs données personnelles compromises lors d’une grave violation de données à l’Office fédéral du personnel, ont annoncé des responsables officiels. Plus largement, Pizza Hut avait révélé que son site Web et son application avaient été piratés le 1er octobre, avec des informations personnelles pour un nombre non divulgué de clients mis en péril. Le piratage aurait des informations de facturation compromises, y compris des adresses de livraison, des adresses courriel et des informations de carte de paiement contenant des numéros de compte, des dates d’expiration et des numéros CVV.

 

Récemment aussi, Deloitte, l’une des plus grandes sociétés comptables au monde, a été victime d’une cyberattaque. Les « hackers » auraient obtenu des détails de premier ordre de clients de l’organisation, y compris des noms d’utilisateur, des mots de passe, des données personnelles et même des courriels confidentiels détaillant des plans et des documents privés. Equifax, la société mondiale de solutions d’information bancaire, a signalé un incident majeur de cybersécurité, plus tôt cette année, touchant 143 millions de consommateurs aux États-Unis. La violation - initialement découverte le 29 juillet - aurait révélé les noms, les numéros de sécurité sociale, les dates de naissance et les adresses de près de la moitié de la population américaine. Cette brèche soulève des préoccupations à propos des données personnelles des employés.

 

crdit:depositphotos.com

La compagnie Bupa a subi une compromission de données (ce 13 juillet 2017) affectant 500 000 de ses clients au niveau du plan d’assurance santé international. Le groupe de soins de santé privé basé à Londres a déclaré qu’un employé de Bupa avait copié et supprimé de façon inappropriée des informations telles que les noms, les dates de naissance et certaines informations de contact, mais aucune information médicale n’était compromise. La société de prêts Wonga a été victime d’une importante violation de données qui aurait pu toucher jusqu’à 245 000 de ses clients, y compris les numéros de compte bancaire et les cotes de risques.

 

En 2016, le directeur général Benny Higgins de Tesco Bank a déclaré, dans un communiqué publié sur le site Internet de la firme, que 40 000 comptes avaient été compromis - et que la moitié d’entre eux s’était fait voler de l’argent. Bref, pourquoi votre entreprise serait-elle moins à risque?

 

L’enjeu dans tout ça, c’est que ces données se retrouvent propulsées et en vente sur le Dark Web. Elles permettent à des fraudeurs d’augmenter leur efficacité dans le cadre de cyberfraude, de fraude au président, de fraude au technicien bancaire, d’usurpation d’identité, de rançonnage et d’isolation frauduleuse des clients de leur propre compte bancaire. Tout ça pour souvent mener à de l’extorsion massive d’argent assuré contre la perte, la fraude ou le vol. Prenons un dernier exemple, l’exfiltration de données ayant eu lieu chez Mossack Fonseca ayant mené à l’affaire Panama Papers : combien de données ont été exfiltrées? Beaucoup. La fuite est l’une des plus importantes jamais publiées. Il y a 11,5 millions de documents pour 2,6 téraoctets d’informations extraites de la base de données de Mossack Fonseca. Cette volumétrie a été transférée petit à petit pendant plusieurs mois pour ne pas soulever de soupçons. Auriez-vous pu stopper l’hémorragie d’une telle cyberattaque? Est-ce que votre organisation est prête pour détecter un cybercrime en son sein?

 

Les solutions, faites tester et vérifier votre présence personnelle et organisationnelle sur le Dark Web par des professionnels. Changez vos mots de passe régulièrement et n’utilisez surtout pas le même partout. Choisissez un bon mot de passe dynamique et l’authentification à deux facteurs. Doutez de toute communication non sollicitée et soyez vigilant, car vous savez que le loup rôde aussi pour vous. Plus trivial : prenez l’habitude de lire l’information sur la protection de la vie privée : quels renseignements personnels sont recueillis? Cela vous paraît-il sensé, compte tenu du service offert? Ces renseignements seront-ils communiqués à des tiers? Vérifiez si le fournisseur s’engage à se conformer à des normes de sécurité ou de protection de la vie privée. Éteignez les appareils connectés à Internet lorsque vous n’en avez pas besoin : ce conseil vaut pour tous les appareils « intelligents » : fermez le réseau sans fil lorsque vous ne l’utilisez pas.

À proposMentions Légales