Le Black Friday approche à grands pas, et avec lui, les gros titres sur les détaillants en ligne enregistrant leur « meilleur jour de tous les temps » (depuis l'année dernière) et les articles intitulés « 10 des meilleures offres sur l'électricité ce Black Friday ».
Parallèlement à cette avalanche de gros titres et de bonnes affaires, viendront s'ajouter des conseils et des outils pour assurer la sécurité des consommateurs. Par exemple, le National Cyber Security Center (NCSC), en partenariat avec Action Fraud, a publié son Campagne Cyber-Aware ce mois-ci. La campagne exhorte les acheteurs festifs à « renforcer leur cybersécurité » après que de nouveaux chiffres ont révélé que les victimes d’escroqueries lors des achats en ligne ont perdu en moyenne 1,000 XNUMX £ par personne au cours de la même période l’année dernière.
Ce qui fait moins souvent la une des journaux, c'est la façon dont les entreprises peuvent rester en sécurité pendant cette période. Si le Black Friday offre des opportunités commerciales, il présente également un risque accru de cyberattaque pour de nombreuses organisations.
Les risques de cybersécurité auxquels sont confrontées les entreprises ce Black Friday
L'hameçonnage
Les attaques de phishing constituent la base de nombreuses cyberattaques et sont un problème toute l'année ; cependant, lors d'événements tels que le Black Friday, les taux de réussite des cybercriminels augmentent.
Les fraudeurs saisiront l'opportunité offerte par l'augmentation des transactions et des transactions réalisées par les clients victimes d'hameçonnage, en envoyant des e-mails promotionnels de plus en plus sophistiqués, à peine distinguables des e-mails légitimes, et réussissant ainsi à capturer les données des clients, les informations de paiement, etc.
Et les clients ne sont pas les seuls à risque. Votre personnel augmente également votre profil de risque ; ce sont des consommateurs et peuvent utiliser les appareils de l'entreprise lorsqu'ils recherchent les bonnes affaires du Black Friday, notamment en répondant à des e-mails de phishing.
Mots de passe faibles
Avec plus de la moitié des consommateurs en ligne utilisant régulièrement les mêmes combinaisons de mots de passe pour leurs comptes professionnels et personnels, selon Cifas, le Black Friday est le moment idéal pour les cybercriminels de se lancer dans des attaques par force brute à grande échelle. Lors d'une attaque par force brute, les fraudeurs tentent des millions de combinaisons de mots de passe potentielles jusqu'à ce qu'ils obtiennent le résultat correct.
Une fois que les cybercriminels disposent de ces informations, ils ont non seulement accès au compte initialement compromis, mais ils ont potentiellement accès à bien d'autres, notamment aux réseaux et systèmes d'entreprise, ce qui augmente considérablement le profil de risque d'une organisation.
Faux sites Web
Un autre cyber-risque auquel les entreprises sont confrontées est l’usurpation d’identité sur un site Web. Les cybercriminels créent de faux sites Web proposant des offres exceptionnelles pour tenter de compromettre les données des consommateurs et leurs informations financières.
Les fraudeurs redirigent le trafic des consommateurs depuis les sites Web authentiques de l'entreprise vers des sites Web malveillants qui usurpent de manière convaincante l'identité de la marque légitime. Ils y parviennent généralement « en ajoutant des mots au nom de l'entreprise, en épelant les mots différemment ou en ciblant la présence d'une marque dans un pays particulier », selon une étude de Poussée silencieuse.
Les fraudeurs installeront également des certificats SSL sur ces faux sites, créant ainsi une apparence de sécurité et de confiance pour les utilisateurs sans méfiance, utilisant HTTPS et le symbole du cadenas pour suggérer la légitimité.
Les dommages à la réputation des marques ainsi ciblées ne peuvent être sous-estimés.
Ingénierie sociale
L’ingénierie sociale est un autre vecteur d’attaque auquel les entreprises doivent prêter attention. Par exemple, les entreprises de commerce électronique verront probablement les demandes de service client augmenter considérablement pendant le Black Friday, ce que les cybercriminels pourraient tenter d'exploiter.
Généralement, cette méthode d'attaque visera à acquérir des informations sur les clients ou à commettre une fraude au remboursement, mais les fraudeurs ambitieux tenteront également d'éviter les blocages en utilisant cette méthode.
Les escroqueries sur les réseaux sociaux sont également répandues, avec des offres et des publicités ciblant les utilisateurs avec de faux produits et services entièrement axés sur la compromission des détails de la carte de débit ou la commission d'une fraude en ligne.
Anciennes applications
Un événement comme le Black Friday offre aux cybercriminels une couverture idéale pour tester les vulnérabilités des logiciels et applications populaires, tandis que l'attention se tourne vers la garantie que les applications peuvent gérer l'augmentation soudaine de la demande plutôt que vers la sécurité.
De nombreux consommateurs utiliseront soudainement des applications qu'ils n'ont pas utilisées ou mises à jour depuis des mois, offrant ainsi aux cybercriminels des moyens accessibles d'exploiter et d'accéder aux réseaux d'entreprise, aux données des clients ou aux identifiants de connexion.
Comment les entreprises peuvent-elles anticiper les risques de cybersécurité du Black Friday ?
Sensibilisation et éducation à la cybersécurité
La mise en œuvre de bonnes formations et pratiques en matière de cybersécurité sur les méthodes et processus par lesquels les acteurs malveillants tentent de compromettre les systèmes et d'influencer le comportement des individus est essentielle pour garder une longueur d'avance sur les attaquants. Ces comportements incluent :
Utiliser des mots de passe forts et un gestionnaire de mots de passe
Tous vos employés doivent utiliser des mots de passe complexes et une authentification à deux facteurs et changer régulièrement leurs mots de passe. Configurer un mot de passe politique à ces exigences et assurez-vous que tout le monde les respecte.
Reconnaître et signaler le phishing
Veiller à ce que vos employés sachent en toute confiance comment signaler et signaler les tentatives potentielles de phishing est essentiel pour lutter contre ce vecteur d'attaque. Donner du pouvoir au personnel grâce à des politiques, des processus et des formations régulières clairs permettra d’améliorer la sécurité et la gestion de l’information.
Gestion robuste de la technologie et de la sécurité de l’information
De solides pratiques de cybersécurité se répercutent également sur les systèmes que les organisations et les individus utilisent et, dans le cas des organisations, sur les politiques qu'ils mettent en œuvre pour promouvoir des processus robustes de sécurité et de gestion de l'information.
Les entreprises devraient considérer les éléments suivants :
Protection des données – Des processus et contrôles techniques appropriés pour identifier, classer et gérer en toute sécurité les données organisationnelles sous toutes leurs formes sont essentiels. Des outils tels que systèmes ou cadres de gestion de l’information peut aider les organisations à empêcher les cybercriminels d'accéder aux données de l'entreprise par le biais du courrier électronique, de mauvaises configurations et de mauvais comportements de sécurité.
Configuration sécurisée – Dans la mesure du possible, les organisations doivent se concentrer dès le départ sur des solutions d’ingénierie sécurisées au lieu de s’y atteler plus tard. Cette approche réduit considérablement les points d’entrée faibles dans les réseaux d’entreprise que les cybercriminels peuvent exploiter.
Gestion de l'accès – Une gestion efficace des droits et privilèges des utilisateurs et le recours à des contrôles tels que l’authentification multifacteur sur les comptes du personnel peuvent constituer une défense essentielle contre l’utilisation d’identifiants volés et les accès non autorisés.
Correctifs et mises à jour logicielles – Assurez l’installation régulière de mises à jour et de correctifs pour les logiciels dans votre organisation et sur les appareils de vos employés. Tenez compte de vos politiques et contrôles « apportez votre propre appareil » (BYOD) pour garantir le niveau de sécurité le plus robuste.
Assurer des contrôles efficaces et proportionnés pour gérer les données et informations organisationnelles permettra aux entreprises de garder une longueur d'avance sur les cyber-risques accrus ce Black Friday.
Démontrer de solides références en matière de gestion de l'information et de gestion des risques augmentera également la confiance des clients et le succès de votre entreprise.
Renforcez dès aujourd’hui votre gestion de l’information et votre posture face au risque
Si vous souhaitez commencer votre voyage vers une meilleure information et une meilleure cybersécurité, nous pouvons vous aider.
Notre solution ISMS permet une approche simple, sécurisée et durable de la gestion de l'information avec ISO 27001, NIST et d'autres cadres. Réalisez votre avantage concurrentiel dès aujourd’hui.
