Responsable mondial de la sécurité de l'information (CISO) pour Proofpoint.
Nous vivons dans un monde numérique où les données sont la nouvelle monnaie des entreprises et des cybercriminels. De nombreux fournisseurs de services en ligne collectent d'énormes quantités de données sur les consommateurs, et les pirates peuvent utiliser ces données pour violer votre organisation.
Même une attaque contre un service client peut avoir des conséquences dangereuses pour votre entreprise. Vous devez comprendre quel type de données sont collectées par les outils numériques que vos employés utilisent et comment ces données créent des risques de cybersécurité pour votre organisation.
Les données de vos employés sur le marché
Chaque jour, des consommateurs, y compris vos employés, échangent leur vie privée contre des services et des applications en ligne. Réseaux sociaux, services de streaming vidéo et musical, moteurs de recherche, plateformes de communication mobile - toutes ces entreprises collectent de grandes quantités d'informations allant des détails personnels et de paiement, de la localisation GPS et des habitudes de navigation aux détails techniques tels que les cookies du navigateur, l'ID de l'appareil et les adresses IP. Certains de ces services creusent profondément dans les profils des consommateurs, collectant des détails tels que la race ou l'origine ethnique, les croyances religieuses, l'orientation politique et les préférences d'achat.
La plupart du temps, les plates-formes ont besoin des données collectées pour fournir et améliorer leurs services. Des détails tels que les informations sur le navigateur ou l'appareil, par exemple, sont nécessaires pour prévenir la fraude, permettant aux sites Web d'utiliser ces informations pour identifier les utilisateurs légitimes. Et pour les services en ligne gratuits, la monétisation de l'activité des utilisateurs et des informations privées telles que les habitudes de navigation leur permet de tirer des revenus qui soutiennent ces services.
PLUS DE CONSEILLER FORBESMeilleures compagnies d'assurance voyage
ParAmy DaniseEditorMeilleurs plans d'assurance voyage Covid-19
ParAmy DaniseEditorAlors, pourquoi votre organisation devrait-elle s'inquiéter si les employés partagent leurs informations personnelles avec le services commerciaux ou sociaux qu'ils consomment sur leur temps libre ? Dans le monde interconnecté d'aujourd'hui, la vie personnelle et la vie professionnelle des employés s'entremêlent. Les données de vos employés qui existent sur le marché donnent aux acteurs de la menace beaucoup de poids contre votre organisation et la rendent vulnérable aux attaques. Il est essentiel de mettre en place une protection efficace contre ces vulnérabilités.
Comment les mauvais acteurs exploitent les données
Il peut être difficile de comprendre les volumes sans précédent d'informations personnelles à la disposition des cybercriminels. Mais nous pouvons nous faire une idée en examinant les compromissions de données qui se produisent chaque année. Par exemple, les États-Unis ont enregistré un record de 1 862 compromissions de données en 2021, soit une augmentation de 68 % par rapport à 2020, selon les conclusions du Identity Theft Resource Center.
Les enregistrements compromis finissent par se retrouver sur le dark web, où ils sont librement disponibles au prix des matières premières. Les acteurs malveillants extraient des informations personnelles de ces enregistrements, les complètent avec des détails qu'ils trouvent sur les réseaux sociaux et utilisent ces informations pour lancer des attaques de phishing ciblées par e-mail. Étant donné que les attaquants peuvent personnaliser les messages en fonction de ce qu'ils apprennent sur les cibles, les e-mails semblent plus authentiques et sont plus susceptibles de contraindre les destinataires à agir, qu'il s'agisse d'ouvrir une pièce jointe contenant des logiciels malveillants ou de cliquer sur un lien qui collecte leurs informations d'identification.
Une seule action d'un employé (un clic imprudent) suffit pour que les attaquants prennent pied dans votre organisation, puis se déplacent latéralement jusqu'à ce qu'ils réalisent leur intention ultime. Le hedge fund australien Levitas Capital en est un exemple. Un faux lien d'invitation Zoom envoyé au cofondateur de l'entreprise a conduit l'entreprise à payer 8,7 millions de dollars en factures frauduleuses. Levitas a cessé ses activités peu de temps après, blâmant la décision sur les dommages irréparables de l'attaque.
Implications pour votre organisation
Les recherches de Proofpoint montrent que le taux de réussite des attaques de phishing est en augmentation. Les résultats de notre étude State of the Phish ont révélé que 83 % des organisations interrogées ont subi au moins une attaque de phishing par e-mail réussie en 2021, contre seulement 57 % l'année précédente. Les attaquants se sont davantage concentrés sur la compromission des personnes plutôt que sur les systèmes, l'enquête révélant une augmentation de 18 % d'une année sur l'autre des attaques par compromission des e-mails professionnels.
Les auteurs de menaces réussiront à compromettre les organisations tant que l'hameçonnage restera une technique très efficace. Selon les conclusions publiées dans le rapport annuel Verizon Data Breach Investigations Report (DBIR), le phishing a été la principale action impliquée dans les violations de données au cours des deux dernières années. Les résultats du DBIR ont également révélé que 85 % des violations impliquent une action humaine, soulignant davantage le fait que les menaces centrées sur les personnes ont d'énormes implications pour toute organisation.
Défendre votre élément humain avec conscience
Les coûts des violations ont également augmenté. Selon les conclusions rapportées dans le rapport 2021 d'IBM sur le coût d'une violation de données, le coût moyen a augmenté de la plus grande marge en 17 ans, passant de 3,86 millions de dollars en 2020 à 4,24 millions de dollars en 2021. L'expansion des exigences réglementaires contribue à cette tendance.
Le règlement général sur la protection des données (RGPD) de l'Union européenne, qui approche de sa quatrième année depuis son entrée en vigueur, continue d'être la référence en matière de réglementation de la confidentialité. Aux États-Unis, la Californie a ouvert la voie en adoptant la première réglementation de type RGPD, la California Consumer Privacy Act (CCA). Cela a été suivi d'un amendement important, le California Privacy Rights Act (CPRA). L'année dernière, la Virginie et le Colorado ont également adopté des réglementations similaires en matière de confidentialité.
Cette année marque un début actif dans le paysage réglementaire de la cybersécurité et de la confidentialité. Jusqu'à présent, l'Utah a adopté le Consumer Privacy Act et la SEC a proposé de nouvelles règles de cybersécurité. La région Asie-Pacifique a également été très active, avec plusieurs lois nationales sur la confidentialité des données à l'étude. Et à la fin de l'année dernière, la Chine a adopté la loi sur la protection des informations personnelles (PIPL), la loi la plus rapide à entrer en vigueur après sa promulgation. Avec seulement quelques mois de préavis, les organisations ont dû se démener pour se conformer.
Compte tenu des pratiques de collecte de données par les entreprises technologiques grand public, des acteurs malveillants qui exploitent ces données pour compromettre les organisations et d'un paysage réglementaire en constante évolution, la meilleure façon de protéger votre entreprise contre la seule erreur d'un employé involontaire ou négligent est la communication. Éduquez vos employés sur l'étendue des informations que les services en ligne collectent à leur sujet directement et indirectement, et comment cela affecte non seulement leur vie privée, mais toute votre organisation.
Forbes Technology Council est une communauté sur invitation uniquement pour les DSI, les CTO et les cadres technologiques de classe mondiale. Suis-je éligible ?