Le commerce de détail sous le feu des critiques : détecteriez-vous une violation si elle se produisait maintenant ?

Les détaillants et leurs fournisseurs traversent actuellement une période difficile au Royaume-Uni. Une série de failles de sécurité majeures liées à des rançongiciels a laissé les rayons vides, terni la réputation des entreprises et provoqué la chute des cours boursiers. Ces incidents rappellent également que les attaquants sont toujours plus rapides que les défenseurs et que trop d'organisations considèrent encore la conformité comme un exercice rétrospectif.

Pour reprendre le dessus, les détaillants britanniques et leurs pairs d’autres secteurs doivent commencer à considérer la conformité et la gestion des risques comme une démarche dynamique et en temps réel.

Les attaques contre les détaillants mettent en évidence les avantages des pirates informatiques

Quatre failles de sécurité ont secoué les secteurs de la distribution et de la logistique ces dernières semaines. Voici ce que nous savons à ce jour et l'impact sur chaque entreprise victime.

Mark & ​​Spencer : L'enseigne phare a révélé un « incident » le 21 avril. La situation a rapidement dégénéré et l'entreprise a été contrainte de suspendre les paiements sans contact, le Click & Collect et les commandes en ligne. Les stocks ont également été faibles dans certains magasins après cela. l'incident a touché les centres logistiques. MS dit maintenant Des données clients ont été volées. L'entreprise perdrait 40 millions de livres sterling de chiffre d'affaires par semaine, tandis que le cours de son action a chuté de 12 % (au 19 mai).

Les rapports suggèrent que des acteurs de menaces sophistiqués liés au collectif « Scattered Spider » ont chiffré certains des hôtes VMware ESXi de l'entreprise avec la variante du ransomware DragonForce. C'est revendiqué Un tiers compromis (Tata Consulting Services) disposant d'identifiants sur ses systèmes pourrait avoir été le point d'entrée initial. Les auteurs de la menace ont peut-être pu causer davantage de dégâts avec cette attaque, car ils ont frappé juste avant le long week-end de Pâques.

Coopérative: Les mêmes acteurs de la menace derrière le raid M&S sont revendiquer la responsabilité suite à une attaque par rançongiciel contre le septième plus grand détaillant du Royaume-Uni. L'entreprise aurait mis fin à l'attaque après avoir détecté une activité réseau inhabituelle, ce qui l'aurait empêché de déployer le rançongiciel, mais pas à temps pour l'exfiltration d'importantes données. volumes de données des membresLes stocks de certains magasins ont également été affectés. L'impact financier sur l'entreprise n'est pas encore connu, mais la nouvelle infrastructure de sécurité informatique, les processus de réponse aux incidents et de reprise d'activité coûteront probablement des millions de livres sterling.

Harrods : L'emblématique grand magasin Knightsbridge est resté muet sur l'attaque révélée le 1er mai. Il affirme avoir repéré et déjoué une tentative d'accès non autorisée. « Notre équipe de sécurité informatique expérimentée a immédiatement pris des mesures proactives pour sécuriser les systèmes et, par conséquent, nous avons restreint l'accès à Internet sur nos sites aujourd'hui », indique un communiqué. L'attaque ne semble pas avoir affecté ses points de vente en ligne ni ses points de vente physiques.

Peter Green réfrigéré : La dernière victime en date à s'ajouter à la liste des victimes de cyberattaques est un partenaire logistique peu connu de Tesco, Sainsbury's, Aldi et d'autres supermarchés. L'attaque par rançongiciel a eu lieu la semaine du 12 mai, mais l'entreprise affirme que « les activités de transport de l'entreprise se sont poursuivies sans impact ». Si les livraisons étaient affectées, cela pourrait coûter cher aux fournisseurs, étant donné que l'entreprise propose une logistique de chaîne d'approvisionnement en entrepôt frigorifique.

Comment les détaillants peuvent-ils éviter un sort similaire ?

Les détaillants britanniques ne sont pas les seuls. Le géant français de la mode Dior a clients asiatiques avertis d'une violation de données, tandis que Google affirme que les acteurs de Scattered Spider sont également ciblant les détaillants américains. C'est pourquoi les leçons apprises sont importantes pour les RSSI du monde entier. Alors, que pouvons-nous dire de ces incidents ?

Bien que, dans la plupart des cas, nous ignorions encore le mode opératoire précis des auteurs de ransomwares, nous pouvons affirmer que les bonnes pratiques de cyberhygiène, bien qu'importantes, ne constituent pas une solution miracle. Certes, des mesures comme l'application rapide de correctifs, l'authentification multifacteur (MFA) et la gestion des actifs sont essentielles pour minimiser la surface d'attaque. Mais les acteurs malveillants déterminés trouveront toujours un moyen d'atteindre leurs objectifs.

La surveillance continue du réseau, basée sur l'IA, est donc essentielle. Ces outils identifient les schémas de trafic « normaux », ce qui leur permet de déclencher plus efficacement l'alerte en cas d'anomalie sur le réseau. Les équipes d'opérations de sécurité (SecOps) peuvent ainsi réagir plus rapidement pour neutraliser les menaces avant qu'elles ne se propagent et/ou que les données ne soient exfiltrées et chiffrées.

Les outils automatisés d'évaluation des risques constituent un atout précieux. Ils permettent aux entreprises de surveiller en permanence leur environnement informatique afin de détecter les vulnérabilités non corrigées, les erreurs de configuration ou autres failles de sécurité nécessitant une correction. Ils tiennent compte du fait que ces environnements sont en constante évolution, notamment dans le cloud, et nécessitent donc une attention constante. Cela renforcera la résilience de l'organisation et bloquera les voies d'attaque potentielles. Mais là encore, seules l'IA et l'automatisation peuvent y parvenir efficacement, 24h/7, 365j/XNUMX et XNUMXj/an.

« La protection en cybersécurité n'est pas une finalité, mais un processus continu. Les acteurs malveillants évoluent constamment, et notre stratégie de sécurité doit en faire autant », explique Darren Williams, PDG de BlackFog, à ISMS.online. « Par conséquent, lors de l'étude de nouveaux outils, il est important de privilégier une protection par IA basée sur l'apprentissage automatique, en complément des approches plus statiques et basées sur les signatures utilisées par la plupart des outils. »

Une approche dynamique de la conformité

Plus généralement, les failles de sécurité survenues chez des détaillants britanniques soulignent une fois de plus que, pour de nombreuses organisations, la conformité aux normes et réglementations de bonnes pratiques peut souvent être trop réactive. Par exemple, les systèmes traditionnels de gestion de la sécurité de l'information (SGSI) reposent sur des évaluations ponctuelles qui ne s'adaptent pas aux nouveaux modèles économiques, aux menaces et aux technologies comme le cloud et l'IoT, ce qui peut élargir la surface d'attaque.

« En réalité, les équipes de sécurité doivent être efficaces en permanence, et les acteurs malveillants n'ont besoin de réussir qu'une seule fois », explique Dave McGrail, directeur du conseil aux entreprises chez Xalient, à ISMS.online. « Ce déséquilibre souligne la nécessité d'une approche plus dynamique et adaptative de la conformité en matière de cybersécurité et de gestion des SMSI. »

C’est exactement ce qu’encourage la norme ISO 27001:2022 à travers un processus de amélioration continue du SMSI, modélisation dynamique des risques et gestion adaptative des risques.

« À mesure que les menaces évoluent, nos défenses doivent évoluer. La mise à jour 2022 de la norme ISO 27001 accompagne cette évolution en encourageant des analyses de risques plus régulières, en intégrant des informations actualisées sur les menaces et en promouvant la sensibilisation de l'ensemble de l'organisation », explique Neil Lappage, fondateur de 59 Degrees North, à ISMS.online.

Il ne s'agit pas d'en faire plus pour le plaisir. Il s'agit de faire les choses différemment, d'intégrer la sensibilisation dès l'intégration, de repenser la notion de sécurité au quotidien et de donner aux collaborateurs les outils et la confiance nécessaires pour remettre en question les demandes inhabituelles. La technologie est utile, mais ce sont les collaborateurs qui font la plus grande différence, surtout lorsqu'ils sont informés, soutenus et intégrés à la vision globale. La cybersécurité n'est pas qu'un système ; c'est une culture, et c'est quelque chose que nous construisons tous ensemble.