Protégez-vous et vos clients contre le vol d'identité et de données

Publié: 2016-06-17

Pssst… envie d'acheter 25 millions d'adresses mail et mots de passe ? Que diriez-vous de quelques données financières hautement confidentielles sur votre plus grand concurrent ?

Aujourd'hui, les spécialistes du marketing travaillent dur pour recueillir des informations détaillées sur leurs clients, afin que nous puissions trouver les bonnes personnes dans les bons comptes et cibler leurs intérêts avec un contenu personnalisé. De plus en plus, nous détenons davantage d'informations personnelles et exclusives.

Mais - pas un jour ne semble se passer sans qu'un nouveau cas d'entreprise se soit fait voler ses données. Si votre organisation stocke beaucoup de données, vous êtes une cible attrayante pour les voleurs d'identité et de données en ligne. Les données et les informations sont désormais la devise du Web, et les malfaiteurs aiment en obtenir le plus possible. Plus que jamais, vous devez faire preuve de diligence quant à la manière dont vous obtenez, stockez – et éventuellement détruisez – les données des consommateurs et des entreprises.

L'ampleur de la menace d'usurpation d'identité et de données

Le centre de ressources sur le vol d'identité (ITRC) compile et répertorie les violations de données confirmées par diverses sources médiatiques et/ou des listes de notification d'agences gouvernementales d'État. Cette liste est mise à jour quotidiennement et publiée chaque mardi.

Selon l'ITRC, il y a eu 781 violations en 2015.

  • Le secteur des entreprises est de nouveau en tête de la liste des infractions avec près de 40 % des infractions signalées publiquement en 2015, soit une augmentation de 8,1 % par rapport aux chiffres de 2014.
  • Le secteur de la santé/médical a enregistré 35,5 % du total des violations, une baisse de 8,6 % par rapport au niveau record de 44,1 % en 2014.
  • Le secteur bancaire/crédit/financier s'est classé troisième avec 9,1 % des violations et près du double du nombre de violations signalées en 2014. C'était la première fois que ce secteur se classait parmi les trois premiers.

"Les violations sont devenues la troisième certitude dans la vie", a déclaré Adam Levin, président et fondateur d'IDT911, un fournisseur de services de défense contre les violations d'identité et de données. "Il est prudent de supposer que le nombre réel de violations est beaucoup plus élevé que ce qui est signalé."

Jusqu'à présent en 2016, les violations très médiatisées incluent le ministère américain de la Justice (10 000 employés du Département de la sécurité intérieure, 20 000 employés du FBI), Snapchat (700 employés actuels et anciens), Verizon Enterprise Solutions (environ 1,5 million de clients), la Commission philippine sur les élections (les informations personnelles de chaque électeur aux Philippines - environ 55 millions de personnes), et bien plus encore.

Type de vol de données

Quel que soit votre secteur d'activité, si vos propres données sont violées, ou celles de vos clients ou clients, cela affectera vos résultats. La protection de la marque et la gérance des données sont les éléments constitutifs du marché numérique. Sans ces principes en place, vos clients peuvent (et vont) commencer à remettre en question votre engagement envers la sécurité de leurs données.

Alors, que recherchent les méchants ?

Les voleurs ciblent des informations personnelles, financières et autres informations personnelles identifiables (PII), notamment :

  • Noms et adresses
  • Numéro de téléphone
  • Adresses mail
  • Numéros de sécurité sociale
  • Numéros de compte bancaire
  • Numéros de carte de crédit et de débit
  • Mots de passe du compte
  • Questions et réponses de sécurité

Comment fonctionnent les violations de données ?

Les attaques peuvent prendre de nombreuses formes et peuvent être combinées spécifiquement pour fournir dans certaines circonstances une approche à plusieurs volets pour l'incident. Ceux-ci incluent mais ne sont pas limités à.

Hameçonnage

Les escroqueries par hameçonnage sont généralement des courriels frauduleux semblant provenir d'entreprises légitimes (par exemple, votre université, votre fournisseur de services Internet, votre banque). Cliquez sur un lien dans le message - alors tout l'enfer se déchaîne et vous pourriez vous retrouver nettoyé. La violation de SnapChat était un incident de phishing.

Le piratage

Le piratage et les pirates sont le plus souvent associés à des attaques de programmes malveillants sur Internet et d'autres réseaux. Cela entraîne de nombreux problèmes qui peuvent affecter l'infrastructure et les logiciels.

Logiciels malveillants

"Malware" est un terme abrégé signifiant "logiciel malveillant". Il s'agit d'un logiciel spécialement conçu pour accéder ou endommager un ordinateur à l'insu du propriétaire. La récente violation de données sur Twitter (juin 2016) – 32 millions d'identifiants de connexion Twitter sont désormais vendus sur le dark web – semble être le résultat de pirates infectant des navigateurs, notamment Firefox et Chrome, avec des logiciels malveillants.

Publicité malveillante

Est-ce l'utilisation de la publicité en ligne pour diffuser des logiciels malveillants. La publicité malveillante consiste à injecter un code malveillant qui peut se cacher sans être détecté. L'utilisateur n'a aucune idée des dommages potentiels qui peuvent être causés. Vous pouvez le récupérer à partir d'une publicité malveillante sur un site digne de confiance.

Logiciels de rançon

Il s'agit d'un type de logiciel malveillant conçu pour bloquer l'accès à un système informatique jusqu'à ce qu'une somme d'argent soit payée et que le blocage soit levé. Les chercheurs de Trend Micro ont récemment découvert une version mise à jour de FLocker, un logiciel de rançon pour écran de verrouillage mobile Android capable de verrouiller également les téléviseurs intelligents. "FLocker essaiera de vous convaincre que vous avez fait quelque chose d'illégal avec votre téléviseur et vous proposera de vous en sortir en payant la rançon. Pas dans Bitcoin comme la plupart des rançongiciels : celui-ci demande 200 $ de cartes-cadeaux iTunes.

Vol de matériel

Les ordinateurs portables, disques durs, etc. volés peuvent être un trésor pour les données et informations non sécurisées.

Exploitation des rejets accidentels

Cette catégorie de risque comprend le déversement de données, l'élimination inappropriée des actifs numériques et d'autres accidents ou vols d'employés.

Une fois qu'ils ont accès aux données, les voleurs utilisent les données volées pour :

  • Utiliser l'identité des personnes à mauvais escient
  • Commettre une fraude financière – toutes formes et tous types
  • Utiliser des informations volées pour commettre d'autres crimes
  • Blanchir de l'argent
  • Usurper l'identité de personnes à des fins de traque et de harcèlement
  • Effectuer des activités terroristes
  • Manipulation d'entreprise et autres types de manipulation

Une fois qu'elles se produisent, les violations de données affectent tous les aspects de votre entreprise et ont un effet direct sur de nombreux domaines fonctionnels, notamment le juridique, la finance, l'informatique, le marketing, les ventes et les services.

Que pouvez-vous faire pour empêcher le vol de données ?

Il n'y a rien qui vous rendra à l'épreuve des balles. Cela dit, il y a quelques étapes simples que vous pouvez faire pour protéger votre marque, vos clients et, en fin de compte, votre réputation.

Voici une liste de choses à faire pratique pour votre examen :

  • Votre première étape critique : la sécurité technique. Passez en revue toutes vos failles internes potentielles
  • Effectuez une évaluation complète des risques pour identifier les menaces, analyser les dommages potentiels et identifier les efforts d'atténuation raisonnables que vous prendriez en cas de violation
    • Comprendre le paysage juridique
    • Mettre en œuvre des politiques et des procédures conformes aux questions juridiques
  • Mettez à jour votre technologie antivirus et maintenez-la à jour
  • Formez vos employés pour développer des habitudes et une sensibilisation plus sûres en matière de traitement des données
  • Élaborer un programme écrit de sécurité des informations et une réponse aux incidents
    • Revoir périodiquement le programme pour se prémunir contre les menaces nouvelles et évolutives
    • Comprendre clairement quel est votre plan pour isoler et atténuer une ou plusieurs menaces
  • Exigez de vos fournisseurs qu'ils emploient les meilleures pratiques de sécurité
    • Intégrez ces exigences dans votre langage contractuel et incluez des pénalités en cas de non-conformité
  • Faites de la protection de la vie privée un mandat d'adoption de l'entreprise - créez une équipe de violation de données et donnez-lui le pouvoir d'apporter des modifications si nécessaire pour la sûreté et la sécurité

De nombreuses entreprises et organisations proposent des services et des informations sur les violations de données. L'Online Trust Alliance dispose d'informations considérables sur la manière de vous protéger en ligne et offre également des informations intéressantes sur la planification de la sensibilisation aux fuites de données.

N'oubliez pas que dans notre économie numérique, ce n'est pas un cas de « Si » - c'est un cas de « quand » une violation se produira. Comme l'a si bien dit John Chambers, PDG de Cisco pendant 20 ans : « Il existe deux types d'entreprises : celles qui ont été piratées et celles qui ne savent pas qu'elles ont été piratées.

Acclamations,

David