La technologie moderne et la connexion constante de la société à Internet permettent une créativité plus grande que jamais dans les affaires – y compris le marché noir. Les cybercriminels découvrent avec soin de nouvelles façons d’exploiter les réseaux les plus sensibles du monde. La protection des données des entreprises est un défi croissant, mais la sensibilisation est la première étape. Voici les 10 principales menaces qui pèsent sur la sécurité de l’information aujourd’hui :
La technologie avec une sécurité faible – De nouvelles technologies sortent chaque jour. La plupart du temps, les nouveaux gadgets ont une forme d’accès à Internet mais aucun plan de sécurité. Cela présente un risque très sérieux – chaque connexion non sécurisée est synonyme de vulnérabilité. Le développement rapide de la technologie est un témoignage des innovateurs, mais la sécurité accuse un sérieux retard1.
Attaque par les médias sociaux – Les cybercriminels utilisent les médias sociaux comme moyen de diffusion d’une attaque géographique complexe appelée « water holing ». Les attaquants identifient et infectent un groupe de sites Web qu’ils pensent que les membres de l’organisation ciblée vont visiter2.
Malware mobile – Les experts en sécurité ont vu le risque dans la sécurité des appareils mobiles depuis les premiers stades de leur connectivité à Internet. La faute minimale de mobile parmi la longue liste d’attaques récentes a les utilisateurs beaucoup moins concernés qu’ils ne devraient l’être. Compte tenu de la dépendance indéfectible de notre culture aux téléphones portables et du fait que les cybercriminels les ont peu ciblés, cela crée une menace catastrophique.
Entrée par un tiers – Les cybercriminels préfèrent le chemin de la moindre résistance. Target est l’enfant-vedette d’une attaque majeure du réseau par des points d’entrée tiers. Le fournisseur de systèmes de chauffage, de ventilation et de climatisation du détaillant mondial a été le malheureux entrepreneur dont les informations d’identification ont été volées et utilisées pour dérober des ensembles de données financières concernant 70 millions de clients3.
Négliger une configuration appropriée – Les outils de big data sont livrés avec la possibilité d’être personnalisés pour répondre aux besoins d’une organisation. Les entreprises continuent de négliger l’importance de configurer correctement les paramètres de sécurité. Le New York Times a récemment été victime d’une violation de données parce qu’il n’a activé qu’une seule des nombreuses fonctionnalités critiques nécessaires pour protéger pleinement les informations de l’organisation4.
Les logiciels de sécurité obsolètes – La mise à jour des logiciels de sécurité est une pratique de gestion technologique de base et une étape obligatoire pour protéger les big data. Les logiciels sont développés pour se défendre contre les menaces connues. Cela signifie que tout nouveau code malveillant qui frappe une version obsolète du logiciel de sécurité ne sera pas détecté.
Ingénierie sociale – Les cybercriminels savent que les techniques d’intrusion ont une durée de vie limitée. Ils se sont tournés vers des méthodes non techniques fiables comme l’ingénierie sociale, qui reposent sur l’interaction sociale et la manipulation psychologique pour accéder à des données confidentielles. Cette forme d’intrusion est imprévisible et efficace.
L’absence de chiffrement – La protection des données commerciales sensibles en transit et au repos est une mesure que peu d’industries ont encore adoptée, malgré son efficacité. Le secteur de la santé traite des données extrêmement sensibles et comprend la gravité de leur perte – c’est pourquoi la conformité HIPAA exige que chaque ordinateur soit crypté.
Données d’entreprise sur des appareils personnels – Qu’une organisation distribue des téléphones d’entreprise ou non, des données confidentielles sont toujours accessibles sur des appareils personnels. Des outils de gestion mobile existent pour limiter les fonctionnalités, mais sécuriser les failles n’a pas fait partie de la liste des priorités de nombreuses organisations.
Technologie de sécurité inadéquate – Investir dans un logiciel qui surveille la sécurité d’un réseau est devenu une tendance croissante dans l’espace de l’entreprise après la douloureuse déchirure de 2014 en matière de violations de données. Le logiciel est conçu pour envoyer des alertes lorsque des tentatives d’intrusion se produisent, cependant les alertes ne sont précieuses que si quelqu’un est disponible pour y répondre. Les entreprises comptent trop sur la technologie pour se protéger entièrement contre les attaques alors qu’elle est censée être un outil géré.
Pour en savoir plus sur le programme de maîtrise en ligne en gestion de la technologie de l’Université de Georgetown, demandez plus d’informations ou contactez un représentant des admissions au (202) 687-8888.
Sources
1Ten Napel, Novealthy, Mano. « Wearables et Quantified Self exigent une conception axée sur la sécurité ». Wired.com. Conde Nast Digital, 2015. Web. 12 sept. 2015.
2Sterling, Bruce. » Spear-phishing et Water-holing « . Wired.com. Conde Nast Digital, 10 oct. 2012. Web. 12 sept. 2015.
3Krebs, Brian. » La faille Target, en chiffres « . Krebs on Security RSS. Krebs on Security, 14 mai 2014. Web. 12 sept. 2015.
4 « Les leçons de cybersécurité de la brèche de sécurité du New York Times ». GovDefenders. DLT Solutions, 2013. Web. 12 sept. 2015.