Vol d'identité : Une menace plus grave que vous ne le pensez

Le secteur des services financiers en Asie est l’un des secteurs les plus réglementés, et la conformité est souvent présentée comme une forme d’assurance de sécurité. Cependant, la conformité n’est qu’un aspect de la sécurité. Les différentes réglementations couvrent un large éventail de questions, mais la simple mise en œuvre de solutions ou de dispositifs pour assurer la conformité ne suffit pas.

La généralisation croissante des appareils mobiles en Asie-Pacifique et l’essor subséquent des services bancaires en ligne ont donné lieu à des menaces de cybersécurité de plus en plus sophistiquées. Cependant, selon l'étude sur l'identité mobile de Telstra , 62 % des dirigeants des services financiers ont indiqué qu'ils n'avaient pas suffisamment investi dans l'identité et la sécurité. Moins de la moitié des consommateurs étaient également satisfaits des performances de leur institution financière en matière de sécurité, puisque plus d'un tiers d'entre eux ont été victimes d'un vol d'identité.

Avec des cas de vol d'identité tels que la violation de JP Morgan et les banques sud-coréennes touchées par des violations massives de cartes de crédit l'année dernière, et une fraude d'identité ayant entraîné le vol de 16 milliards de dollars aux victimes en 2014, le vol d'identité devient rapidement une menace plus forte, bien que toujours sous-estimée, pour le secteur des services financiers.

Augmentation de la surface d'attaque et de sa sophistication

Le vol d’identité est devenu courant parmi les cybercriminels en raison de la surface d’attaque croissante et de la sophistication des outils d’attaque. Aujourd’hui, les cyberattaques utilisent un éventail de vecteurs plus large. Par exemple, alors que de nombreuses organisations de services financiers autorisent les appareils personnels des employés à accéder aux réseaux d’entreprise, le principe BYOD (Bring Your Own Device) permet aux appareils mobiles de devenir un canal permettant aux cybercriminels de cacher, de diffuser et de voler des informations en exploitant les identifiants des employés d’une organisation.

Un autre vecteur peut être les applications Web publiques non sécurisées qui conduisent rapidement au vol d’identité. Il s’agit notamment de vulnérabilités zero-day qui ont fait la une des journaux l’année dernière, telles que Shellshock et Heartbleed . Il suffit qu’une organisation tarde à corriger une vulnérabilité ou qu’elle ne dispose pas de la technologie adéquate pour protéger ses applications Web. Une fois que les cybercriminels ont pris le contrôle, ils peuvent faire ce qu’ils veulent : du vol de données à l’utilisation des serveurs pour lancer des attaques de botnet.

Ce « terrain de jeu » élargi signifie que les cybercriminels ont plus d'options pour voler des identifiants de connexion et n'ont plus besoin de dépendre de logiciels d'enregistrement de frappe ou de violations de bases de données, mais simplement d'utiliser des injections Web.

Par exemple, lorsqu'un utilisateur se connecte à votre compte bancaire en ligne, il peut insérer un champ supplémentaire qui semble légitime sur la page Web avec votre code PIN de guichet automatique bancaire (numéro d'identification personnel de guichet automatique bancaire) pour tromper les utilisateurs de services bancaires en ligne, qu'ils soient férus ou non de technologie. Pendant ce temps, un logiciel malveillant peut exécuter une attaque « man-in-the-browser » en arrière-plan, invisible pour l' application Web hôte.

Outre l'augmentation des vecteurs d'attaque, les logiciels malveillants et les chevaux de Troie ont aujourd'hui la capacité de voler des identifiants de connexion via des applications bancaires mobiles pour accéder aux fonds des banques et autres institutions de services financiers. Les cybercriminels peuvent simplement créer une application mobile qui ressemble à une application bancaire et utiliser le spear-phishing pour voler les identifiants de connexion. Certains logiciels malveillants, comme Dyre ou Dyreza, ciblent directement les comptes bancaires des entreprises et ont réussi à voler plus d'un million de dollars à des entreprises sans méfiance.

Répondez aux menaces grâce à une défense multicouche, à la proactivité et à des politiques mobiles solides

Les menaces internes représentant la majorité des violations au cours du premier semestre 2015 , il est plus pertinent que jamais que les organisations suivent le rythme des cybercriminels d'aujourd'hui, les entreprises doivent mettre en œuvre les mesures nécessaires pour sécuriser leurs applications Internet. Cela devrait être en tête de leur liste de priorités, car il s’agit d’un canal naturel pour les cybercriminels, qui sont toujours à la recherche d’opportunités pour infiltrer un réseau. Il est également important de décourager le jailbreaking des appareils, car cela constitue généralement un autre moyen pour les cybercriminels d’accéder aux réseaux.

Premièrement, une stratégie de défense approfondie avec l’utilisation des bonnes technologies est un impératif. Une idée fausse répandue est que l’utilisation d’une technologie telle qu’un pare-feu suffit à protéger les réseaux d’une organisation, mais cela n’est plus vrai aujourd’hui. Les organisations doivent se tourner vers d’autres technologies, telles que les pare-feu application Web. Les attaques application Web sont souvent optimisées et créées pour une application particulière et sont ignorées par les mesures de sécurité traditionnelles.

Même si la remédiation – réparer les choses après une violation – joue son rôle, il est encore plus rentable d’être proactif dans la sécurisation de vos réseaux. Un scénario de correction est de nature réactive et l'équipe médico-légale retrace la cause de la violation, fournit un rapport et remédie après l'incident. D’un autre côté, sécuriser votre organisation de manière proactive ne permettra peut-être pas de détecter 100 % des attaques, mais pouvoir réduire ce pourcentage de 100 % à un pourcentage plus faible devrait toujours être considéré comme une victoire.

Enfin, il faut aussi lutter contre la complaisance et se défaire de l’attitude du « ça ne m’arrivera pas », qui consiste à voir ses voisins se faire agresser tout en espérant avoir eux-mêmes de la chance.

Les organisations doivent établir des politiques de sécurité des appareils mobiles qui définissent des lignes directrices, des principes et des pratiques sur la manière dont les appareils mobiles sont traités, qu'ils soient émis par l'entreprise ou détenus par des particuliers. Ces politiques doivent couvrir des domaines tels que les rôles et les responsabilités, la sécurité de l’infrastructure, la sécurité des appareils et les évaluations de sécurité.

En établissant des politiques de sécurité, les organisations peuvent créer un cadre pour l’application de pratiques, d’outils et de formations visant à soutenir la sécurité des réseaux sans fil. La formation des employés sur ses politiques de sécurité mobile peut également aider les organisations à garantir que les appareils mobiles sont configurés, exploités et utilisés de manière sécurisée et appropriée.