BLOG

Marque, entreprise et fraude

Miniature de Lori MacVittie
Lori MacVittie
Publié le 09 mai 2016

Le phishing et la fraude sont le plus souvent (et malheureusement) associés aux secteurs financier et bancaire.  

La fraude n’est qu’un autre mot pour désigner la tromperie, la duperie, la supercherie et la chicane. Et c’est exactement par ces moyens que les attaquants obtiennent chaque jour les informations d’identification des utilisateurs d’entreprise. Par le biais du phishing et des malwares déposés sur les actifs des entreprises par le simple fait de naviguer. Oh, je sais, vous ne laissez pas les utilisateurs d'entreprise parcourir ce genre de sites. Mais est-ce que vous les laissez parcourir la BBC ? Newsweek ? Le New York Times ? Et MSN ? Tous ont récemment été victimes de malvertising , où des malfaiteurs utilisent des sites de premier plan pour diffuser des publicités en ligne contenant des logiciels malveillants via des sociétés de publicité en ligne. Oh, vous avez bien sûr un logiciel antivirus en cours d'exécution. Mais seulement 25 % des logiciels malveillants du monde réel sont détectés par les antivirus selon les Cinq habitudes des logiciels malveillants très efficaces . Vous avez sans doute organisé plusieurs séances de « sensibilisation à la sécurité » avec vos employés pour leur apprendre à reconnaître les signes d’une tentative de phishing. Et pourtant, près de 50 % des victimes ouvrent cet e-mail et cliquent sur le lien dans l’heure qui suit sa réception .

 

 

Modèles de phishing emea 2015

N'oublions pas non plus que les gens accèdent à leurs institutions financières, où le phishing et les logiciels malveillants sont largement utilisés par les méchants, depuis leur lieu de travail. Une étude d’IDC indique que 30 à 40 % du temps d’accès à Internet sur le lieu de travail est consacré à des activités non liées au travail. C'est peut-être la raison pour laquelle notre SOC F5 a constaté que les tentatives de phishing étaient nettement plus élevées pendant la semaine que pendant le week-end, le lundi étant un jour très prisé pour pratiquer le phishing. Si un employé est en déplacement pour effectuer des opérations bancaires lundi matin et qu'il est victime d'une attaque par hameçonnage visant à lui voler ses identifiants financiers, il est fort probable que les malfaiteurs obtiennent également ceux de l'entreprise. Parce que les antivirus ne détectent pas tout et que les gens sont toujours victimes d'attaques de phishing. Ces références d’entreprise sont tout aussi vendables sur le marché libre que n’importe quelle autre, c’est-à-dire très largement.

Ensuite, il y a les employés qui accèdent aux actifs de l’entreprise via un VPN SSL ou un autre portail « protégé » depuis l’extérieur des murs de l’entreprise. Le logiciel malveillant qui se trouve actuellement dans leur navigateur ne se soucie pas vraiment de savoir s’il s’agit de récupérer des informations d’identification d’entreprise ou de consommateur. Ils ont tous une valeur pour l’attaquant, et tant qu’ils ont fait tous les efforts possibles pour infecter cet appareil, pourquoi ne pas récupérer tout ce que vous pouvez ?

La réalité est que la « fraude » n’est pas propre au secteur financier et bancaire. Oh, ce sont eux qui sont les plus durement touchés et qui subissent l’impact le plus immédiat, car les méchants en veulent à l’argent qu’on leur a demandé de gérer pour le reste d’entre nous. Mais si vous vous souvenez de certaines des « grosses » violations de ces dernières années, la plupart d’entre elles pointent vers une seule cause fondamentale : les identifiants volés.

 

 

 

principales violations de données

Des informations d'identification qui peuvent avoir été volées par phishing ou par des logiciels malveillants directement ou par des chevaux de Troie qui ont réussi à contourner les systèmes de détection traditionnels et ont permis aux méchants d'accéder facilement à votre réseau. À partir de là, les données constituent le plus souvent l’objectif. Données clients et données d'entreprise. Et puis, avant que vous ne vous en rendiez compte, bam ! Vous êtes sur la couverture du magazine « Devinez qui n’a pas réussi à protéger vos données cette semaine* ».

Les coûts liés à la gestion de cette brèche vont bien au-delà des aspects techniques et opérationnels.

Impacts sur la marque et l'entreprise

Oh, il y a bien sûr les coûts de récupération et de nettoyage. Les ressources sont réaffectées à l’élimination de chaque instance de malware et de porte dérobée résultant de cette unique expédition de phishing réussie. Les bureaux sont effacés et réinstallés pour éliminer ceux qui sont entrés par le biais de téléchargements intempestifs ou de publicités malveillantes.  Une perte de productivité importante s'ensuit au sein des unités informatiques et commerciales, ce qui réduit vos résultats.

Et puis l’impact de la marque se fait sentir. Les Twitters regorgent de sentiments de colère. Votre marque jusqu’ici immaculée est transformée en un mème moqueur qui se propage plus vite que le premier rhume de l’hiver dans une école primaire.

Une fois les postes de travail nettoyés et des protections renforcées mises en place, les répercussions d'une violation continuent de nuire à la réputation de votre marque et vous allez devoir y remédier. Selon une étude récente, plus de la moitié (57 %) des organisations admettent que les incidents de sécurité ont eu un impact négatif sur leur réputation, coûtant aux petites et moyennes entreprises plus de 8 000 $ et aux entreprises plus de 200 000 $. Une partie de ces coûts provient du recours à des agences externes pour aider à gérer la demande écrasante de réponses, de réponses aux questions et de conseils sur la manière de procéder. Une partie de ces coûts provient des coûts engagés pour répondre aux attentes des consommateurs en matière de protection contre le vol d’identité (63 %), de services de surveillance du crédit (58 %) et de rémunération sous forme d’argent, de produits ou de services (67 %).

Une partie de cette perte est due à la perte de clients, car il s’avère que la marque est un facteur important dans les décisions d’achat des consommateurs. Le prix est généralement cité comme le critère numéro un, mais il s’avère que les considérations de prix sont relatives à la réputation de la marque . Les consommateurs sont prêts à payer plus cher pour une marque ayant une bonne réputation, il est donc impératif qu’après une violation, votre marque soit réparée dès que possible.

Mais les dégâts ne se limitent pas aux consommateurs, même si c’est généralement le premier endroit où nous regardons. Il s’avère que le recrutement est également impacté. Attirer les bons talents coûte de l’argent, et le rapport Employer Branding Global Trends a noté que les bonnes marques employeurs enregistraient des frais de recrutement inférieurs de 22 %. Cela suppose que vous puissiez intéresser le talent en premier lieu. La même enquête a révélé que 45 % des candidats potentiels placent la perception qu'ont les autres de l'entreprise pour laquelle ils travaillent sur leur liste de facteurs « importants » lorsqu'il s'agit de choisir un nouvel emploi. La marque a un impact sur la volonté ou non des gens de travailler pour une organisation. Les violations peuvent donc avoir un impact négatif sur votre capacité à attirer (et potentiellement à retenir) les talents dont vous avez besoin pour réussir aujourd'hui.

Lutte contre la fraude sur le Web

La bonne nouvelle est qu’il existe des outils qui répondent aux menaces de phishing et de malware. Il y en a beaucoup. Le problème est qu’ils sont généralement classés dans la catégorie « anti-fraude » et mentionnés dans le contexte de la finance, de la banque et d’autres secteurs basés sur l’argent . Mais les solutions ne sont pas propres à la finance et à la banque ; il n’y a rien de magique dans la façon dont ces secteurs interagissent avec les clients qui rendrait la lutte contre la fraude uniquement applicable à leur protection, car il s’agit en réalité de mettre fin à la fraude sur le Web ; l’utilisation d’applications et de technologies Web pour tromper, tromper et contraindre les individus à abandonner leurs informations d’identification. 

Les solutions de lutte contre la fraude sur le Web recherchent et empêchent le vol d’informations d’identification qui aident en fin de compte les attaquants à violer la sécurité. Qu'ils recherchent de l'argent ou des données n'a aucune importance ; une fois qu'ils collectent des informations d'identification, ils collectent toutes les informations d'identification, qu'elles soient d'entreprise ou de consommateur. Si les employés accèdent aux ressources de l’entreprise à l’aide d’une machine compromise, les méchants obtiennent les identifiants de l’entreprise en même temps que tout le reste. Et cela devrait être une préoccupation pour les entreprises de tous les secteurs.

 

* Ce n’est pas une véritable publication, mais après la vague de violations de ces dernières années, il semble qu’il y ait un besoin pour en avoir une, n’est-ce pas ?