Halloween est à nos portes, mais les sorcières, les lutins et les goules ne sont pas les seuls à nous faire peur ce mois-ci. Les organisations continuent d'être hantées par la menace des ransomwares empoisonnés, des failles de sécurité diaboliques et du phishing fantôme. Les craintes sont raisonnables si l'on considère que le coût annuel total de la cybercriminalité pour une entreprise a bondi de 11,7 millions de dollars en 2017 à un niveau record de 13 millions de dollars.
Bien que la cyber-sensibilisation doive rester une priorité tout au long de l'année, il est peut-être judicieux que le mois d'octobre marque également le mois national de sensibilisation à la cybersécurité. Cette campagne de sensibilisation d'un mois lancée par le ministère américain de la sécurité intérieure(DHS) vise à sensibiliser le public à la cybersécurité.
Alors que 2019 touche à sa fin, la proportion d'entreprises britanniques ayant signalé une violation a augmenté et 3,4 milliards de faux e-mails sont envoyés chaque jour. Cette année a déjà été dévastatrice pour des milliers d'organisations et de personnes, les cyberattaques ayant fait des ravages dans le monde entier.
Voici notre sélection des cyberincidents les plus effrayants de 2019, jusqu'à présent :
Capital One
En mars 2019, une violation de données chez Capital One a entraîné l'exposition des données personnelles de 106 millions de clients. Ces données comprenaient les noms, adresses, dates de naissance, scores de crédit, numéros de sécurité sociale et numéros de comptes bancaires.
Une mauvaise configuration du serveur est à l'origine de la violation, qui a été classée comme "l'une des plus grandes violations de données jamais commises".
Canva
Canva, un service australien de conception de sites web très en vue, a été victime d'une violation de sa base de données qui a entraîné l'exposition des données personnelles d'environ 139 millions d'utilisateurs, notamment des adresses électroniques, des lieux géographiques, des noms, des mots de passe, des noms d'utilisateur et des données financières.
Les utilisateurs ont été informés par haveibeenpwned.com (HIBP) et Firefox Monitor de la violation de sécurité survenue le 24 mai 2019.
First American
Tous les incidents de sécurité des données ne sont pas des brèches. La société d'assurance de biens immobiliers et de titres First American a accidentellement exposé plus de 885 millions de documents sensibles en ligne lorsque des données ont été mal stockées et rendues accessibles au public.
Ces informations, qui remontent à 2003, étaient disponibles sans aucune forme de protection et pouvaient être consultées sans le moindre mot de passe si une personne savait où chercher.
Les enregistrements numériques, qui comprenaient des numéros et des relevés de comptes bancaires, des relevés d'hypothèques et d'impôts, des numéros de sécurité sociale, des reçus de transactions électroniques et des images de permis de conduire, ont été mis à la disposition de tous sur le site Web de la société. Bien qu'il n'y ait actuellement aucune preuve suggérant que les informations ont été trouvées ou volées, l'ampleur de la violation de données était un trésor pour tout escroc ou voleur d'identité et donc très précieux.
Quest Diagnostics
En juin, il a été révélé que des informations appartenant à 11,9 millions de patients de Quest Diagnostics avaient été compromises.
AMCA, un partenaire de recouvrement de factures, était en faute lorsqu'un pirate informatique a pu accéder aux systèmes de l'entreprise, qui contenaient des informations sensibles sur les comptes bancaires et des détails médicaux. On pense que l'incident a été causé par une vulnérabilité de la sécurité de la chaîne d'approvisionnement interne.
Équateur
En septembre, les autorités équatoriennes ont ouvert une enquête sur une violation de données au cours de laquelle les données personnelles de près de 20 millions de personnes, soit plus que la population du pays, ont été mises en ligne.
Les données exposées comprenaient des informations personnelles telles que les noms et prénoms, les dates de naissance, les numéros de carte d'identité nationale, les numéros d'identification fiscale, les informations sur l'emploi et les noms des membres de la famille. Des informations financières ont également été divulguées, notamment l'état du compte des clients de la banque, le solde et le type de crédit.
La base de données non sécurisée appartenait à une petite entreprise d'analyse de données appelée Novaestrat et a été découverte par les chercheurs en sécurité Noam Rotem et Ran Locar de vpnMentor.
La cybersécurité est une affaire effrayante
Avec des statistiques aussi alarmantes, il ne fait aucun doute que la cybersécurité peut être une activité effrayante. Qu'on le veuille ou non, l'obscurité du Web regorge de sinistres espions qui n'aiment rien tant que de vous soutirer vos données, de provoquer une violation de données coûteuse et de nuire à votre réputation.
Vos employés sont votre première ligne de défense contre la cybercriminalité. Il est donc essentiel qu'ils disposent de toutes les connaissances et compétences nécessaires pour protéger votre organisation. Un programme complet de sensibilisation à la cybersécurité est le meilleur moyen de former le personnel et de créer une culture de la sécurité.
En sensibilisant le personnel à la cyber-sécurité et en lui communiquant les conséquences dévastatrices qu'une violation des données pourrait avoir sur leur organisation, les employés comprennent mieux comment reconnaître et éviter les menaces potentielles en matière de cybersécurité.
Automatiser les campagnes de cyber-sensibilisation
MetaCompliance a créé un module de campagne de cyber sensibilisation pour automatiser le cycle de vie de votre programme de sensibilisation à la sécurité. Demandez à nos conseillers en sensibilisation à la sécurité comment nous pouvons vous aider à réduire le temps et les ressources nécessaires à la planification d'une campagne de sensibilisation.
