La meilleure ligne de défense contre les programmes de piratage de vacances est un ensemble complet stratégie de réponse aux incidents qui se concentre sur les vulnérabilités des utilisateurs finaux.
La saison des fêtes est à nos portes et avec elle une multitude d’escroqueries à la cybersécurité s’attaquant aux vulnérabilités des utilisateurs finaux.
Étant donné que les employés utilisent souvent leurs e-mails professionnels et leurs téléphones portables comme principal point de contact, ces escroqueries deviennent rapidement une menace pour les systèmes informatiques des employeurs. Avec autant de personnes qui achètent en ligne, suivent les expéditions et saisissent des données sensibles sur plusieurs sites Web, les pirates de vacances sont préparés et prêts à attaquer vos réseaux en tirant parti des actions en ligne et de l’utilisation du téléphone portable de vos employés.
Selon le FBI, les deux types les plus fréquents de escroqueries de vacances comprennent les délits de non-livraison et de non-paiement – lorsqu’un consommateur paie pour un produit ou un service qui n’est jamais livré ou que des produits sont expédiés sans que le vendeur ne reçoive le paiement. Les cybercriminels sont également friands de la fraude par carte-cadeau et de la fraude aux enchères, ainsi que des tentatives de phishing par e-mail ou SMS qui déguisent des liens malveillants en confirmations d’achat, informations de suivi de commande ou notifications d’expédition.
En cette période de l’année en particulier, les cybercriminels comptent sur des personnes trop distraites pour se rendre compte qu’elles ont cliqué sur un lien malveillant ou saisi leurs identifiants de connexion sur un site Web frauduleux.
Le nombre accru de menaces de cybersécurité pendant les vacances souligne à quel point il est important de mettre en place une stratégie complète de réponse aux incidents (IR), protégeant à la fois vos employés et l’infrastructure numérique de votre entreprise.
Construire une stratégie de réponse aux incidents pour les vacances
Un plan de réponse aux incidents complet – qui est essentiellement les politiques et procédures de cybersécurité utilisées pour identifier, contenir et éliminer les attaques – est essentiel aux opérations commerciales tout au long de l’année. Mais comme les vacances s’accompagnent d’un ensemble unique de menaces de cybersécurité, il vaut la peine de revoir votre plan pour vous assurer qu’il est « préparé » pour la saison des fêtes.
Selon le SANS Institute, une stratégie globale de RI est centrée sur six objectifs principaux : préparation, identification, confinement, éradication, récupération et leçons apprises.
Bien que vous n’ayez peut-être pas besoin de mettre à jour chaque étape de votre stratégie de RI dans les semaines à venir, il vaut la peine de revoir les politiques et les procédures afin de pouvoir les adapter pour les vacances.
Les 6 phases d’une stratégie complète de réponse aux incidents
- Préparation : il s’agit de la première phase et implique l’examen des mesures et des politiques de sécurité existantes ; effectuer des évaluations des risques pour trouver les vulnérabilités potentielles ; et établir un plan de communication qui définit les protocoles et alerte le personnel des risques de sécurité potentiels. Pendant les vacances, l’étape de préparation de votre plan IR est cruciale car elle vous donne la possibilité de communiquer les menaces spécifiques aux vacances et de mettre les roues en mouvement pour faire face à ces menaces dès qu’elles sont identifiées.
- Identification : L’étape d’identification correspond au moment où un incident a été identifié, qu’il soit survenu ou en cours. Cela peut se produire de plusieurs manières : par une équipe interne, un consultant tiers ou un fournisseur de services gérés, ou, dans le pire des cas, parce que l’incident a entraîné une violation de données ou une infiltration de votre réseau. Étant donné que de nombreux hacks de cybersécurité de vacances impliquent des informations d’identification d’utilisateur final, il vaut la peine de composer des mécanismes de sécurité qui surveillent la façon dont vos réseaux sont accessibles.
- Confinement : L’objectif de l’étape de confinement est de minimiser les dommages causés par un incident de sécurité. Cette étape varie en fonction de l’incident et peut inclure des protocoles tels que l’isolement d’un appareil, la désactivation des comptes de messagerie ou la déconnexion des systèmes vulnérables du réseau principal. Étant donné que les actions de confinement ont souvent de graves implications commerciales, il est impératif que les décisions à court et à long terme soient déterminées à l’avance afin qu’il n’y ait pas de bousculade de dernière minute pour résoudre le problème de sécurité.
- Éradication : une fois que vous avez maîtrisé l’incident de sécurité, l’étape suivante consiste à vous assurer que la menace a été complètement supprimée. Cela peut également impliquer des mesures d’enquête pour savoir qui, quoi, quand, où et pourquoi l’incident s’est produit. L’éradication peut impliquer des procédures de nettoyage de disque, la restauration des systèmes vers une version de sauvegarde propre ou une réimage complète du disque. L’étape d’éradication peut également inclure la suppression des fichiers malveillants, la modification des clés de registre et éventuellement la réinstallation des systèmes d’exploitation.
- Récupération : L’étape de récupération est la lumière au bout du tunnel, permettant à votre organisation de reprendre ses activités comme d’habitude. Comme pour le confinement, il est préférable d’établir des protocoles de récupération à l’avance afin que des mesures appropriées soient prises pour garantir la sécurité des systèmes.
- Leçons apprises : Au cours de la phase des leçons apprises, vous devrez documenter ce qui s’est passé et noter comment votre stratégie de RI a fonctionné à chaque étape. C’est un moment clé pour examiner des détails tels que le temps qu’il a fallu pour détecter et contenir l’incident. Y avait-il des signes de logiciels malveillants persistants ou de systèmes compromis après l’éradication ? Était-ce une arnaque liée à un programme de piratage de vacances ? Et si oui, que pouvez-vous faire pour l’empêcher l’année prochaine ?
Stratégies de réponse aux incidents pour les équipes de sécurité allégées
Pour les petites et moyennes entreprises dotées d’équipes de sécurité informatique réduites ou d’un personnel informatique composé d’une seule personne, une « stratégie globale de réponse aux incidents » peut sembler hors de portée.
Mais la réalité est qu’avec la bonne technologie de cybersécurité, les équipes qui manquent de main-d’œuvre et de ressources peuvent mettre en œuvre une stratégie IR à grande échelle qui protège le réseau et les systèmes de leur organisation tout au long de l’année.
Pendant les vacances, ces outils de sécurité automatisés deviennent de plus en plus précieux car ils sont capables de suivre l’afflux de risques de sécurité causés par les pirates de vacances. L’utilisation d’une plate-forme de réponse automatisée aux incidents qui comprend des services de détection et de réponse gérés (MDR) permet aux équipes de sécurité informatique de maintenir les opérations de sécurité opérationnelles 24h/24 et 7j/7, quels que soient leur taille ou leur niveau de compétence. Les équipes informatiques sont en mesure d’identifier et de répondre aux incidents plus rapidement, atténuant les dommages et réduisant l’impact d’un incident de sécurité sur l’ensemble de l’entreprise.
Pour aider les responsables de la sécurité à élaborer des stratégies IR plus solides, Cynet fournit Réponse accélérée aux incidents ainsi que des contenus tels que des plongées approfondies dans les six étapes d’une stratégie IR complète, des webinaires animés par des experts et des analystes IR, et des outils comprenant des modèles de rapport IR.
Considérez-le comme le cadeau de Cynet pour vous pendant cette saison des fêtes.
Visitez le hub de réponse accélérée aux incidents de Cynet pour en savoir plus.