Offres ou violations de données ? Évitez que le Black Friday ne devienne un Hack Friday

La période du Black Friday est devenue l’une des plus importantes périodes de promotion de l’année, avec des marques qui passent d’une seule journée de soldes à des offres qui durent une semaine ou plus. Les consommateurs les plus attentifs peuvent profiter de réductions importantes sur tout, des téléviseurs aux jouets. Cependant, cette période de remises intenses offre une opportunité importante aux escrocs qui cherchent à escroquer les acheteurs de leur argent durement gagné. Les gros titres avertissent déjà les consommateurs qu’il vaut mieux se demander si certaines offres ne sont pas vraiment trop belles pour être vraies. Le Guardian a même surnommé cette journée « Journée de la fraude noire »., les données d'Action Fraud montrant que la période de remise est une période privilégiée pour les escrocs.  

 Pour les entreprises, le Black Friday représente également un risque accru de cyberattaque. En novembre 2023, plus de 32,000 3,500 signalements de fraude et de cybercriminalité ont été adressés à Action Fraud. Plus de 30.4 XNUMX de ces signalements ont été effectués par des entreprises, qui ont déclaré des pertes financières de XNUMX millions de livres sterling.   

Comment les entreprises peuvent-elles rester en sécurité pendant une période de risque accru de cyberattaques ?  

Quels sont les principaux risques en matière de cybersécurité ?  

L'hameçonnage

Le phishing est l’une des formes de cyberattaques les plus courantes tout au long de l’année. Pourtant, des événements tels que le Black Friday offrent de plus grandes opportunités aux cybercriminels, en particulier avec l’augmentation des offres urgentes et à durée limitée proposées par des entreprises légitimes.   

Les fraudeurs profitent de l'augmentation des transactions et des offres en hameçonnant les clients, souvent en envoyant des e-mails promotionnels sophistiqués, à peine différenciables des e-mails légitimes. Ce faisant, ils peuvent récupérer les données des clients, les informations de paiement et bien plus encore.  

Les consommateurs ne sont pas les seuls à être en danger. Lors de leur chasse aux bonnes affaires, vos employés peuvent utiliser des appareils de l'entreprise ou même leurs propres appareils ayant accès aux comptes de l'entreprise, ce qui augmente le risque pour votre entreprise s'ils reçoivent accidentellement des e-mails de phishing.  

Mots de passe faibles   

Selon NordPass, 123456 reste le mot de passe le plus utilisé par les utilisateurs pour leurs comptes personnels et professionnels. La dernière étude de NordPass sur les 200 mots de passe les plus courants a révélé que ce mot de passe était utilisé plus de trois millions de fois et l'entreprise affirme qu'il faudrait moins d'une seconde à un pirate informatique pour le déchiffrer.   

Le Black Friday est l'occasion idéale pour les cybercriminels de tenter des attaques par force brute à grande échelle. Lors d'une attaque par force brute, les cybercriminels tentent des millions de combinaisons de mots de passe potentielles jusqu'à ce qu'ils obtiennent le bon résultat. Plus le mot de passe est faible, plus il peut être déchiffré rapidement.   

Les mots de passe peu fiables (c'est-à-dire les personnes qui réutilisent le même mot de passe ou des variantes de celui-ci sur plusieurs comptes) sont très courants. Il est donc facile pour un cybercriminel d'accéder à plusieurs comptes une fois qu'il a réussi à déchiffrer un seul mot de passe. Cela inclut les profils de messagerie, les réseaux d'entreprise et les systèmes d'entreprise, ce qui augmente le profil de risque d'une organisation.  

Vulnérabilités de la chaîne d'approvisionnement  

Nos Rapport sur l’état de la sécurité de l’information 2024 L'étude a révélé que la gestion des risques liés aux fournisseurs et aux tiers constitue le plus grand défi des organisations en matière de sécurité de l'information. 79 % des répondants ont déclaré avoir été touchés par un incident de cybersécurité ou de sécurité de l'information causé par un fournisseur tiers ou un partenaire de la chaîne d'approvisionnement au cours des 12 derniers mois. En fait, 45 % ont été touchés par plusieurs incidents.  

Les chaînes d'approvisionnement s'appuyant de plus en plus sur les systèmes informatiques, les acteurs malveillants ont de plus en plus de chances de cibler les maillons faibles. Or, la chaîne d'approvisionnement de votre entreprise n'est solide que si son maillon le plus faible est le sien. Chaque entité de votre chaîne d'approvisionnement peut devenir par inadvertance une passerelle vers votre propre infrastructure numérique. 

Ingénierie sociale

L’ingénierie sociale est un autre vecteur d’attaque auquel les entreprises doivent prêter attention. Par exemple, les entreprises de commerce électronique verront probablement les demandes de service client augmenter considérablement pendant le Black Friday, ce que les cybercriminels pourraient tenter d'exploiter.  

En règle générale, cette méthode d’attaque vise à acquérir les coordonnées des clients ou à commettre une fraude au remboursement, mais des fraudeurs ambitieux l’utiliseront également pour éviter les blocages.  

Les escroqueries sur les réseaux sociaux sont également répandues, avec des offres et des publicités ciblant les utilisateurs avec de faux produits et services entièrement axés sur la compromission des détails de la carte de débit ou la commission d'une fraude en ligne.  

Escroqueries alimentées par l'IA

L'intelligence artificielle (IA) offre de nouvelles méthodes d'attaque aux acteurs malveillants, et la technologie devient de plus en plus populaire auprès des fraudeurs - notre rapport a révélé que 30 % des entreprises ont été touchées par un incident de deepfake au cours des 12 derniers mois.  

Cette technologie avancée peut être utilisée pour créer des sites Web frauduleux qui ressemblent exactement aux sites Web légitimes qu'ils imitent, et elle peut même créer des deepfakes audio ou vidéo pour mener des attaques de type BEC (Business Email Compromission). Cependant, il existe également des cas d'utilisation possibles pour le vol d'informations/d'identifiants, l'atteinte à la réputation ou même pour contourner l'authentification par reconnaissance faciale et vocale.  

De nombreuses entreprises B2B proposent à leurs clients potentiels des offres ou des réductions pour le Black Friday, ce qui ouvre une autre voie d'attaque potentielle pour les acteurs malveillants. La technologie de l'IA évolue et, qu'elle soit utilisée pour créer des e-mails frauduleux ou pour inciter les employés à effectuer des virements de fonds d'entreprise, il est clair que les escroqueries basées sur l'IA constituent une réelle menace pour les entreprises pendant le Black Friday et au-delà.  

Protégez votre entreprise contre les risques de cybersécurité du Black Friday  

Sensibilisation et éducation des employés à la cybersécurité

Un bon programme de formation et de sensibilisation à la cybersécurité permet à vos employés d'identifier et de signaler les cyberattaques potentielles. Votre programme de formation et de sensibilisation doit également décrire les processus à suivre, par exemple, le processus que le personnel doit suivre pour signaler les tentatives de phishing suspectées. En responsabilisant votre personnel, vous pouvez sécuriser davantage votre entreprise.  

Bonne hygiène des mots de passe

Tous vos employés doivent utiliser des mots de passe complexes qui :  

• Ne sont pas liés à des informations personnelles  

• Ne sont pas utilisés sur d'autres sites, y compris les sites non professionnels  

• Sont gardés confidentiels  

• Ne pas contenir le nom de votre entreprise ou le nom de votre produit.  

Vous pouvez également définir un nombre minimum de caractères requis (les meilleures pratiques suggèrent au moins 12 caractères). Les employés doivent également utiliser l'authentification multifacteur (MFA) et changer régulièrement de mot de passe. Votre organisation doit définir un mot de passe politique à ces exigences et assurez-vous que tout le monde les respecte.  

Gestion robuste de la technologie et de la sécurité de l'information

L’établissement et la mise en œuvre de solides pratiques de cybersécurité permettent à votre entreprise de réduire les risques et de promouvoir une sécurité et une gestion de l’information robustes.  

Les organisations doivent prendre en compte les éléments suivants :  

Gestion de l'accès—Une gestion efficace des droits et privilèges des utilisateurs et l'utilisation de contrôles tels que l'authentification multifacteur sur les comptes du personnel peuvent constituer des défenses essentielles contre le vol d'identifiants et les accès non autorisés. Par exemple, l'accès au moindre privilège garantit que les utilisateurs ne peuvent accéder qu'aux ressources nécessaires à l'exécution de leur tâche, limitant ainsi l'impact sur votre organisation en cas de compromission d'un compte.  

Protection des données—Des processus et des contrôles techniques appropriés sont essentiels pour identifier, classer et gérer en toute sécurité les données organisationnelles sous toutes leurs formes. Des outils tels que systèmes ou cadres de gestion de l’information peut aider les organisations à empêcher les cybercriminels d'accéder aux données de l'entreprise par le biais de courriers électroniques, de mauvaises configurations et de comportements de sécurité médiocres.  

Configuration sécurisée— Privilégiez les solutions d’ingénierie sécurisées dès le départ au lieu de les ajouter ultérieurement ou une fois qu’un incident s’est produit. Cette approche réduit considérablement les points d’entrée faibles dans les réseaux d’entreprise que les cybercriminels peuvent exploiter.  

Correctifs et mises à jour logicielles – Les attaquants exploitent souvent les vulnérabilités des logiciels obsolètes. Assurez-vous d’installer régulièrement des mises à jour et des correctifs pour les logiciels de votre organisation et sur les appareils de vos employés. Tenez compte de vos politiques et contrôles BYOD (Bring Your Own Device) pour garantir le niveau de sécurité le plus élevé.  

En mettant en place des contrôles efficaces et proportionnés pour gérer les données et les informations de votre organisation, vous pouvez vous assurer que votre entreprise a une longueur d'avance sur les cyber-risques accrus ce Black Friday. De plus, en démontrant de solides compétences en matière de gestion des informations et de gestion des risques, vous augmenterez la confiance des clients et renforcerez votre réputation et la réussite de votre entreprise.  

Renforcez votre gestion de l'information et votre posture face aux risques dès aujourd'hui   

Si vous souhaitez démarrer votre voyage vers une meilleure sécurité de l'information et de la cybersécurité, nous pouvons vous aider.  

Notre solution ISMS permet une approche simple, sécurisée et durable de la gestion de l'information avec ISO 27001, NIST, NIS 2 et d'autres cadres. Libérez votre avantage concurrentiel dès aujourd'hui – réservez votre démo.