Les données financières, l’Eldorado beaucoup trop accessible des cyber-pirates

par Groupe services-conseils en gestion des risques

Original, tel qu’il apparaît sur  Finance et Investissement – https://www.finance-investissement.com/

« On est pas une banque ! » Voici la phrase que j’entends le plus ces derniers temps. Une phrase qui finalement laisse sous-entendre que le besoin de sécurité des banques est énormément plus élevé que supposément celui des autres entreprises de l’industrie financière, des assurances ou même des autres industries.

En réalité, comme déjà expliqué dans certaines de mes publications, nous sommes tous et toutes des cibles qui tentons tant bien que mal de ne pas devenir des victimes. Nos données sont des bien précieux, celles-ci sont exploitables contre nous, elles sont monnayables, elles ont toute une forme de valeur peu importe qui nous sommes. Nos données financières, comptables, sociales, légales ou patrimoniales et celles de vos clients sont l’objet de cet article.

Souvenez-vous : Pizza Hut avait révélé que son site Web et son application avaient été piratés le 1er octobre, avec des informations personnelles pour un montant non divulgué de clients mis en péril.

Le piratage aurait des informations de facturation compromises, y compris des adresses de livraison, des adresses e-mail et des informations de carte de paiement contenant des numéros de compte, des dates d’expiration et des numéros CVV.

Récemment aussi, Deloitte, l’une des plus grandes sociétés comptables au monde, a été victime d’une cyberattaque. Les hackers auraient obtenu des détails de clients de premier ordre de l’organisation, y compris des noms d’utilisateur, des mots de passe, des données personnelles et même des courriels confidentiels détaillant des plans et des documents privés.

Equifax, la société mondiale de solutions d’information bancaire, a signalé un incident majeur de cybersécurité, plus tôt cette année, touchant 143 millions de consommateurs aux États-Unis. La violation – initialement découverte le 29 juillet – aurait révélé les noms, les numéros de sécurité sociale, les dates de naissance et les adresses de près de la moitié de la population américaine.

La compagnie Bupa a subi une compromission de données (ce 13 juillet 2017) affectant 500 000 de ses clients au niveau du plan d’assurance santé international. Le groupe de soins de santé privé basé à Londres a déclaré qu’un employé de Bupa avait copié et supprimé de façon inappropriée des informations telles que les noms, les dates de naissance et certaines informations de contact, mais aucune information médicale n’était compromise.

La société de prêt Wonga a été victime d’une importante violation de données qui aurait pu toucher jusqu’à 245 000 de ses clients, y compris les numéros de compte bancaire et les cotes de risques.

En 2016, le directeur général Benny Higgins de Tesco Bank a déclaré dans un communiqué publié sur le site Internet de la firme que 40 000 comptes avaient été compromis – et que la moitié d’entre eux s’étaient fait voler de l’argent.

Voici un tableau des autres plus importantes brèches de données dans le monde financier fournis et mis à jour sur Wikipedia :

Liste de compagnies, leurs données financières et leurs types d'attaques de cybersécurité

L’enjeu dans tout ça, c’est que ces données se retrouvent propulsées et en vente sur le Dark Web.

Ces données permettent à des fraudeurs d’augmenter leur efficacité dans le cadre de cyber-fraude, de fraude au président, de fraude au technicien bancaire, d’usurpation d’identité, de rançonnage, et d’isolation frauduleuse des clients de leur propre compte bancaire. Tout ça pour souvent mener à de l’extorsion massive d’argent assuré contre la perte, la fraude ou le vol.

Prenons un dernière exemple, l’exfiltration de données ayant eu lieu chez Mossack-Fonseca ayant menée à l’affaire Panama Papers : Combien de données ont été exfiltrées ? Beaucoup. La fuite est l’une des plus importantes jamais publiées. Il y a 11,5 millions de documents pour 2,6 téraoctets d’informations extraites de la base de données de Mossack-Fonseca. Cette volumétrie a été transférée petit à petit pendant plusieurs mois pour ne pas élever de soupçons. Auriez-vous pu stopper l’hémorragie d’une telle cyber-attaques ? Est-ce que votre organisation est prête pour détecter un cyber-crime en son sein ?

Les solutions en matière de prévention sont les suivantes :

  • Faites tester et vérifier votre présence personnelle et organisationnelle sur le Dark Web par des professionnels.
  • Changez vos mots de passe régulièrement et n’utilisez surtout pas le même partout.
  • Choisissez un bon mot de passe dynamique et l’authentification à 2 facteurs.
  • Doutez de toute communication non sollicitée et soyez vigilant, car vous savez que le loup rôde aussi pour vous.

De manière plus triviale :

  • Prenez l’habitude de lire l’information sur la protection de la vie privée : quels renseignements personnels sont recueillis? Cela vous paraît-il sensé compte tenu du service offert? Ces renseignements seront-ils communiqués à des tiers?
  • Vérifiez si le fournisseur s’engage à se conformer à des normes de sécurité ou de protection de la vie privée.
  • Éteignez les appareils connectés à Internet lorsque vous n’en avez pas besoin : ce conseil vaut pour tous les appareils « intelligents ».
  • Fermez le réseau sans fil lorsque vous ne l’utilisez pas.