SANS FRAIS 1 877-777-6412

L’authentification en deux étapes : un essentiel pour protéger votre entreprise

l’authentification en deux étapes mot de passe

En septembre dernier, une des plus grandes firmes de comptables et services-conseils du monde, Deloitte, a découvert qu’elle avait été la cible d’une cyberattaque. Les informations confidentielles de nombreux clients ont été potentiellement volées par les hackers. Certaines de ces données pourraient avoir un impact important sur la sécurité des clients.

Comment est-ce possible? Les pirates ont pu avoir un accès administrateur (et donc un accès total) en accédant au système comprenant le service de messagerie. Le compte administrateur n’était protégé que par un mot de passe unique.

Une fois le mot de passe deviné, il a été facile pour les hackers d’accéder aux informations voulues.

 

Ainsi, un mot de passe n’est plus suffisant pour protéger des informations sensibles.

 

Malgré sa présence encore écrasante sur le Web, le mot de passe en tant que méthode d’authentification n’est plus adapté.

Les gens utilisent de nombreux comptes chaque jour, que ce soit pour usage personnel ou professionnel, et la paresse ou le manque d’imagination les poussent souvent à réutiliser le même mot de passe un peu partout. Ils sont également amenés à utiliser un mot de passe faible.

 

L’authentification à deux facteurs pour renforcer la protection d’un mot de passe faible

Pour contrer la faiblesse des mots de passe, la pratique la plus efficace est la double authentification.

La double authentification est aussi appelée authentification en deux étapes ou authentification à deux facteurs.

 

Le principe de l’authentification en deux étapes est simple, au lieu de se reposer uniquement sur une donnée (le mot de passe), la connexion à un site Web se repose sur deux facteurs : le mot de passe en premier lieu, puis un code unique et temporaire généré ailleurs (sur un téléphone cellulaire, Google Authenticator, message envoyé par texto, reconnaissance biométrique…).

En vous appuyant ainsi sur une donnée que vous connaissez (le mot de passe) plus un objet en votre possession (très souvent le téléphone), vous réduisez drastiquement la possibilité de vous faire voler votre compte.

 

Il faut noter par contre que la méthode du message envoyé par texto n’est pas optimale, car le message peut être intercepté par un pirate. Il est préférable d’utiliser Google Authenticator.

 

Si vous êtes piraté par des personnes ayant eu accès à votre mot de passe, elles ne pourront pas pénétrer dans votre compte sans connaître cet élément supplémentaire. Dans le cas de Deloitte, cela aurait été très bénéfique!

 

C’est aussi très utile lorsqu’on se rend compte que le mot de passe le plus utilisé par les gens est encore 123456 ! Un tel mot de passe de ce genre peut être deviné en seulement quelques secondes par un logiciel.

 

Utiliser l’authentification en deux étapes dans la vie quotidienne : à quoi ça ressemble

La plupart des services en ligne (Google, Microsoft, Apple…) permettent maintenant de rendre obligatoire cette authentification à deux facteurs. Souvent, vous pouvez demander que le deuxième code ne soit obligatoire que quand vous vous connectez depuis un appareil non habituel. Cela devient alors moins exigeant au quotidien tout en vous protégeant en cas d’accès frauduleux.

 

De plus, il est recommandé de mettre en place une authentification en deux étapes pour l’accès à vos réseaux sociaux. Ceci diminuera grandement la possibilité qu’une personne prenne le contrôle de votre page d’entreprise et publie de l’information inappropriée.

 

Les mots de passe que les gens utilisent pour protéger leur Facebook ou Twitter sont souvent encore plus défaillants et surtout, très peu changés (la plupart de gens ont le même mot de passe depuis la création de leur compte, il y a dix ans!) La moindre personne qui a accès à un de vos comptes de médias sociaux devient donc une porte ouverte.

 

Par exemple, en mars 2017 un faux tweet publié sur le compte de l’entreprise McDonald a vertement dénigré Donald Trump et appelé au retour de Barack Obama. « Vous êtes vraiment un exemple dégoûtant de président et nous aimerions récupérer Barack Obama, et aussi vous avez des mains minuscules », disait la publication sur Twitter, qui a brièvement été épinglée en haut de la page de McDonald. En 20 minutes, le tweet a suscité plus de 1 000 réponses. Il avait été publié par quelqu’un qui avait réussi à avoir les accès légitimes au compte.

Sans être McDonald’s, votre entreprise est suivie par de nombreuses personnes sur les médias sociaux et y publier quelque chose de non autorisé pourrait avoir de graves répercussions sur votre image.

Il est donc préférable de rendre obligatoire l’authentification en deux étapes.

 

Vous vous demandez comment faire? Voici quelques pages d’informations :

Facebook

LinkedIn

Twitter

 

Vous désirez savoir si une autre de vos applications offrent l’authentification en deux étapes? Le site  Two Factor Auth (2FA) répertorie une panoplie de services qui l’offrent. Il indique aussi d’autres qui ne le font pas et vous invite à envoyer des messages aux compagnies concernées pour les inciter à le mettre en place.

 

Vous pouvez également installer l’authentification à deux facteurs sur vos systèmes internes. Il existe de nombreuses solutions sur le marché et il peut être difficile de s’y retrouver, mais CyberSwat est là pour vous conseiller et vous accompagner!

6 conseils pour éviter que les douaniers aient accès à vos données d’entreprise

douaniers avion

Avez-vous l’intention de voyager durant l’été?

Si vos vacances sont prévues notamment chez nos voisins les Américains, vous risquez d’être fouillé à la douane.

Or, seriez-vous à l’aise si des douaniers vous forçaient à divulguer votre mot de passe de téléphone afin qu’ils puissent copier vos courriels personnels et professionnels, conversations Facebook, vos photos et les dossiers confidentiels d’entreprise auxquels vous avez accès?

La réalité est que c’est complètement légal pour un douanier américain de vous demander d’avoir accès à votre téléphone.  De plus, en ce qui concerne la douane canadienne, la loi n’est pas claire. Des douaniers canadiens ont déjà détenu un homme qui refusait de donner accès à son téléphone; l’histoire pourrait facilement se répéter.

Avec le temps, l’accès à votre téléphone pourrait devenir aussi routinier que d’enlever ses chaussures pour traverser les douanes. Cela ne sert à rien de résister; les douaniers pourraient vous garder en détention jusqu’à ce que vous ayez accepté de donner vos accès.

Partir en vacances avec des données d’entreprise

Si vous êtes un chef d’entreprise, vous envoyez peut-être souvent vos employés à l’extérieur du Canada. Les travailleurs sont en effet de plus en plus mobiles et votre domaine d’affaires n’y échappe sûrement pas. Par contre, êtes-vous comme 93 % des leaders interrogés par Techrepublic qui sont inquiets par le manque de sécurité impliquée par les travailleurs mobiles?

De toute façon, sans envoyer vos employés travailler à l’étranger, ces derniers prendront sûrement des vacances cet été. Tous ont probablement des données d’entreprises sur leur téléphone.

Et vous aussi.

Donner accès aux douaniers : qu’est-ce que cela implique pour votre entreprise?

Évidemment, en donnant accès aux douaniers, vous risquez beaucoup en ce qui concerne la protection de votre vie privée :

  • Pensez à toutes les personnes que vous avez déjà appelées ou avec qui vous avez connecté sur Facebook et LinkedIn. Vous ne les connaissez pas tous et certains pourraient avoir commis un crime ou en commettre un dans le futur.
  • Toutes photos que vous avez déjà prises de façon très innocente pourraient être collectées et utilisées dans le futur pour vous incriminer.

Cependant, le risque est aussi clair en ce qui concerne votre entreprise.

Les douaniers auraient donc accès à toutes les données de votre entreprise qui seraient conservées sur le téléphone, ainsi qu’à toutes les données des applications présentes sur ce téléphone (Facebook, LinkedIn, courriels, applications de comptabilité, etc…).

Or, il ne faut pas assumer que les organisations gouvernementales savent bien protéger vos données. Plus vous éparpillez vos données, plus vous avez des chances d’être victimes d’un vol puisque la cible devient plus grande.

D’ailleurs, aux États-Unis, les données sont souvent largement partagées entre divers organismes du gouvernement. Un piratage dans un organisme moins surveillé pourrait facilement arriver et vos données d’entreprise se retrouveraient aux mains de hackers.

Alors, comment protéger les données de mon entreprise en partant en voyage?

Il existe plusieurs solutions donc voici les trois premières :

  1. Ne pas apporter votre téléphone portable.
  2. Apporter votre ancien téléphone et y insérer une nouvelle carte SIM.
  3. Puisque la plupart des applications sont dans le Cloud, vous pourriez effacer toutes les données et applications de votre téléphone avant votre départ et les réinstaller une fois arrivé à l’étranger.

Par contre, ces mesures peuvent paraître radicales et être complexes à gérer. Il existe donc d’autres manières de mitiger le risque lors de votre passage aux douanes.

  1. Installer un logiciel de gestion des téléphones personnels (Mobile Device Management-MDM) qui oblige un deuxième identifiant et mot de passe pour tout accès à l’environnement de travail d’entreprise. Groupe CyberSwat peut vous aider tout au long du processus pour installer ce type de logiciel.
  2. Installer l’authentification à deux facteurs sur toutes les applications que vous utilisez dans le cadre de votre travail (médias sociaux, courriels, logiciels d’infolettre…). Même avec le mot de passe de votre téléphone, personne ne pourra accéder aux données contenues dans ces applications.
  3. Rédiger une politique interdisant à vos employés d’apporter leur téléphone contenant des données d’entreprise pendant leurs déplacements à l’étranger

Cependant, la meilleure pratique est évidemment de sensibiliser vos employés aux risques encourus lorsqu’ils détiennent des informations d’entreprise sur leur téléphone. Groupe CyberSwat peut vous aider à monter un programme de sensibilisation complet.

Bon voyage!

5 leçons à tirer des cyberattaques de 2016

Saviez-vous que 8 cyberattaques sur 10 ciblent les petites et moyennes entreprises (PME)? Cependant, les journalistes préfèrent avant tout parler des attaques qui touchent des compagnies bien connues par le grand public ; des histoires avec des vols de données sensationnalistes. Et l’année dernière, il y en a eu beaucoup.

Or, ce genre de nouvelles semble loin de votre réalité, car votre entreprise ne fait pas forcément le même chiffre d’affaires que ces grosses compagnies et ne gère pas autant de données personnelles.

Mais il est important de regarder comment ce genre de cyberattaques a eu lieu et comment les risques auraient pu être minimisés. En général, le motif des cyberattaques peut être différent, mais les méthodes utilisées par les hackeurs restent les mêmes, peu importe la taille de l’entreprise visée. Alors qu’une compagnie comme LinkedIn peut se relever relativement facilement suite à un vol de données, une PME aura beaucoup plus de mal à s’en sortir.

Voici 5 cyberattaques à retenir de 2016 et les leçons en tirer pour votre PME.

 

La compagnie de tramway de San Francisco prise en otage par le ransomware Mumba

Le système du célèbre tramway de San Francisco a été paralysé en novembre dernier. Les usagers ne pouvaient plus acheter de billets et les écrans dans les stations affichaient des messages alarmants : « Vous avez été piratés, toutes les données ont été cryptées. » Les auteurs de l’attaque ont clairement indiqué qu’ils ne visaient pas la compagnie en particulier puisque leur ransomware cible au hasard. Le principe d’un tel ransomware est simple : un courriel est envoyé avec une pièce jointe. Une fois la pièce jointe ouverte, un programme qui crypte les fichiers est lancé, ce qui bloque tout accès à vos systèmes et documents importants. Le logiciel malveillant exige ensuite le versement d’une somme d’argent en échange de la clé de chiffrement qui vous rendra l’accès à vos documents.

Pour éviter ce genre de cyberattaques, soyez mieux sensibilisé aux risques d’ouvrir des courriels non légitimes. Pour vous aider à différencier un pourriel d’un message légitime, voici quelques éléments à vérifier à la réception d’un courriel qui vous demande de cliquer sur un lien ou de télécharger une pièce jointe.

 

L’identité de 400 millions d’utilisateurs d’Adult Friend Finder révélée au grand jour

Cette cyberattaque d’octobre dernier a fait énormément parler d’elle puisqu’elle touchait la vie intime des gens, celle qu’on ne veut absolument pas qu’elle soit mise en lumière. Ce site de rencontres charnelles s’est vu dérober les données de plus de 400 millions de membres (courriels, noms, adresses, profils, mots de passe etc.).

Pour éviter un vol de données aussi spectaculaire, il est important de faire un inventaire des données personnelles que vous détenez et de mettre en place des mesures de sécurité pour les protéger adéquatement.

 

Le vol de données le plus important de l’histoire avec Yahoo Mail

Yahoo a reconnu officiellement en septembre 2016 qu’elle avait subi une attaque deux ans auparavant. Une faille de sécurité exploitée par un hacker a provoqué le vol des données (courriels et mots de passe) de 500 millions d’utilisateurs.

Il y a quelques semaines, juste avant la fin 2016, Yahoo a découvert une autre cyberattaque ayant eu lieu en 2013 et touchant cette fois-ci, plus d’un milliard de comptes. Cela serait le plus grand vol de données connu à ce jour !

Il est essentiel de choisir des mots de passe différents pour chaque compte. Cela peut paraître épuisant de se forcer à en trouver un nouveau à chaque création de comptes, même lorsque cela concerne des données qui semblent moins importantes, mais une fois qu’une combinaison du mot de passe et de courriel a été dérobée, il est facile pour les hackeurs d’accéder à d’autres de vos comptes plus sensibles (comme votre compte bancaire.)

 

Les informations de vos comptes LinkedIn revendus à prix d’or sur le darkweb

En 2016, il a été découvert que le célèbre réseau social professionnel LinkedIn avait subi une attaque en 2012. Il s’est avéré qu’un total de 117 millions de courriels et de combinaisons de mots de passe avait été dérobé et revendu sur le Web.

Cette cyberattaque nous apprend l’importance de choisir des mots de passe forts et suffisamment complexes pour tout type de comptes. Il ne faut d’ailleurs pas minimiser l’impact des comptes de réseaux sociaux, car ils représentent votre image et celle de votre entreprise. Ainsi, il peut être judicieux de mettre en place une authentification forte (en deux étapes) pour vous connecter à vos comptes de réseaux sociaux d’entreprise.

 

Une paralysie générale des sites Web les plus couramment utilisés

Une partie de l’Internet a arrêté de fonctionner en octobre dernier lorsqu’un gestionnaire de noms de domaine américain (Dyn) a été pris pour cible par des attaques de déni de service (DDoS). L’attaque a touché plusieurs villes des États-Unis et a bloqué l’accès à de nombreux sites comme Netflix, Spotify, Airbnb, Twitter, Paypal ou encore le Playstation network de Sony. Pour arriver à leurs fins, les hackeurs ont utilisé les failles de sécurité de dizaines de millions d’objets connectés, notamment des caméras de surveillance.

Les objets connectés (caméras IP, télévisions, imprimantes…) sont souvent négligés et pourtant, ils sont devenus une porte d’entrée facile pour les hackeurs. Pensez à changer leurs mots de passe régulièrement !

Par ailleurs, les attaques de déni de services sont de plus en plus fréquentes et concernent toute taille d’entreprise. N’hésitez pas à consulter un spécialiste pour en savoir plus sur les façons de s’en protéger.

 

Vous croyez que votre entreprise a été victime de cyberattaques? N’attendez pas plus longtemps, contactez-nous à notre numéro d’urgence.

Le Groupe CyberSwat accompagne les entreprises dans la gestion d’incidents de sécurité.  En plus d’offrir ce service, notre équipe pourra vous accompagner dans les aspects ci-dessous :

  • analyse de vos risques en cybersécurité
  • programme de sensibilisation de vos employés
  • gestion de crise et communication avec les médias en plus d’une assistance juridique par le biais de nos partenaires;
  •  services d’expertise judiciaire en informatique;
  • et plus encore!

 

SANS FRAIS 1 877-777-6412

Assurance en cyberrisque

Vous êtes courtier en assurance et la cybersécurité est l’une de vos préoccupations? Vous cherchez à mieux comprendre les enjeux de sécurité de vos clients afin de mieux les conseiller? Nous pouvons :

Si vous avez une entente avec nous :

Gestion d'incidents de sécurité

Vous voulez être prêt en cas d’incident de sécurité dans votre entreprise? Vous cherchez un accompagnement dans la mise en place d’un plan de gestion d’incident afin d’en minimiser au maximum les conséquences? Nous pouvons :

Pour nos clients avec contrat de service:

Assurance en cyberrisque

Vous êtes courtier en assurance et la cybersécurité est l’une de vos préoccupations? Nous vous aidons à comprendre tous les enjeux de sécurité chez vos clients pour que vous puissiez leur offrir le meilleur service possible.

Client :

Courtier :

Sécurité des services infonuagiques

Ne prenez pas à la légère les enjeux de sécurité du Cloud! Avec nous, vous bénéficierez de la souplesse du Cloud tout en diminuant les risques. Vous et vos clients serez rassurés de savoir vos données en sécurité.

Gouvernance de la sécurité

La sécurité informatique doit faire partie des préoccupations de la direction de votre entreprise. La mise en place d’une politique de sécurité et de la catégorisation des actifs sont notamment des éléments importants d’une stratégie efficace en cybersécurité.

Sensibilisation à la sécurité

Saviez-vous que l’hameçonnage est le vecteur n°1 pour réaliser des fraudes dans les entreprises? Diminuez les risques d’être victime d’incidents de cybersécurité grâce à nos ateliers de sensibilisation spécialement conçus pour vos employés.

Nous mettons toujours l’accent sur la vulgarisation des concepts et des enjeux de sécurité

Service-conseil en cybersécurité

Votre entreprise recherche un accompagnement à plein temps pour la gestion de la cybersécurité? Faites appel à nous! L’un de nos précieux talents se fera un plaisir de venir travailler dans votre entreprise au quotidien.

Notre équipe est composée de conseillers en architecture de sécurité, d’analystes en sécurité, de conseillers en gouvernance, de spécialiste en Gestion des Identités et des Accès, de spécialiste en test d’intrusions, etc.

Sécurité des services infonuagiques

Ne prenez pas à la légère les enjeux de sécurité du Cloud! Avec nous, vous bénéficierez de la souplesse du Cloud tout en diminuant les risques. Vous et vos clients serez rassurés de savoir vos données en sécurité.

Évaluez les risques de votre entreprise

Protégez vos données les plus importantes et épargnez les coûts d’un incident de sécurité. Cyberswat vous aide à identifier les situations à risque et vous donne des recommandations concrètes et faciles à mettre en place.