SANS FRAIS 1 877-777-6412

L’authentification en deux étapes : un essentiel pour protéger votre entreprise

l’authentification en deux étapes mot de passe

En septembre dernier, une des plus grandes firmes de comptables et services-conseils du monde, Deloitte, a découvert qu’elle avait été la cible d’une cyberattaque. Les informations confidentielles de nombreux clients ont été potentiellement volées par les hackers. Certaines de ces données pourraient avoir un impact important sur la sécurité des clients.

Comment est-ce possible? Les pirates ont pu avoir un accès administrateur (et donc un accès total) en accédant au système comprenant le service de messagerie. Le compte administrateur n’était protégé que par un mot de passe unique.

Une fois le mot de passe deviné, il a été facile pour les hackers d’accéder aux informations voulues.

 

Ainsi, un mot de passe n’est plus suffisant pour protéger des informations sensibles.

 

Malgré sa présence encore écrasante sur le Web, le mot de passe en tant que méthode d’authentification n’est plus adapté.

Les gens utilisent de nombreux comptes chaque jour, que ce soit pour usage personnel ou professionnel, et la paresse ou le manque d’imagination les poussent souvent à réutiliser le même mot de passe un peu partout. Ils sont également amenés à utiliser un mot de passe faible.

 

L’authentification à deux facteurs pour renforcer la protection d’un mot de passe faible

Pour contrer la faiblesse des mots de passe, la pratique la plus efficace est la double authentification.

La double authentification est aussi appelée authentification en deux étapes ou authentification à deux facteurs.

 

Le principe de l’authentification en deux étapes est simple, au lieu de se reposer uniquement sur une donnée (le mot de passe), la connexion à un site Web se repose sur deux facteurs : le mot de passe en premier lieu, puis un code unique et temporaire généré ailleurs (sur un téléphone cellulaire, Google Authenticator, message envoyé par texto, reconnaissance biométrique…).

En vous appuyant ainsi sur une donnée que vous connaissez (le mot de passe) plus un objet en votre possession (très souvent le téléphone), vous réduisez drastiquement la possibilité de vous faire voler votre compte.

 

Il faut noter par contre que la méthode du message envoyé par texto n’est pas optimale, car le message peut être intercepté par un pirate. Il est préférable d’utiliser Google Authenticator.

 

Si vous êtes piraté par des personnes ayant eu accès à votre mot de passe, elles ne pourront pas pénétrer dans votre compte sans connaître cet élément supplémentaire. Dans le cas de Deloitte, cela aurait été très bénéfique!

 

C’est aussi très utile lorsqu’on se rend compte que le mot de passe le plus utilisé par les gens est encore 123456 ! Un tel mot de passe de ce genre peut être deviné en seulement quelques secondes par un logiciel.

 

Utiliser l’authentification en deux étapes dans la vie quotidienne : à quoi ça ressemble

La plupart des services en ligne (Google, Microsoft, Apple…) permettent maintenant de rendre obligatoire cette authentification à deux facteurs. Souvent, vous pouvez demander que le deuxième code ne soit obligatoire que quand vous vous connectez depuis un appareil non habituel. Cela devient alors moins exigeant au quotidien tout en vous protégeant en cas d’accès frauduleux.

 

De plus, il est recommandé de mettre en place une authentification en deux étapes pour l’accès à vos réseaux sociaux. Ceci diminuera grandement la possibilité qu’une personne prenne le contrôle de votre page d’entreprise et publie de l’information inappropriée.

 

Les mots de passe que les gens utilisent pour protéger leur Facebook ou Twitter sont souvent encore plus défaillants et surtout, très peu changés (la plupart de gens ont le même mot de passe depuis la création de leur compte, il y a dix ans!) La moindre personne qui a accès à un de vos comptes de médias sociaux devient donc une porte ouverte.

 

Par exemple, en mars 2017 un faux tweet publié sur le compte de l’entreprise McDonald a vertement dénigré Donald Trump et appelé au retour de Barack Obama. « Vous êtes vraiment un exemple dégoûtant de président et nous aimerions récupérer Barack Obama, et aussi vous avez des mains minuscules », disait la publication sur Twitter, qui a brièvement été épinglée en haut de la page de McDonald. En 20 minutes, le tweet a suscité plus de 1 000 réponses. Il avait été publié par quelqu’un qui avait réussi à avoir les accès légitimes au compte.

Sans être McDonald’s, votre entreprise est suivie par de nombreuses personnes sur les médias sociaux et y publier quelque chose de non autorisé pourrait avoir de graves répercussions sur votre image.

Il est donc préférable de rendre obligatoire l’authentification en deux étapes.

 

Vous vous demandez comment faire? Voici quelques pages d’informations :

Facebook

LinkedIn

Twitter

 

Vous désirez savoir si une autre de vos applications offrent l’authentification en deux étapes? Le site  Two Factor Auth (2FA) répertorie une panoplie de services qui l’offrent. Il indique aussi d’autres qui ne le font pas et vous invite à envoyer des messages aux compagnies concernées pour les inciter à le mettre en place.

 

Vous pouvez également installer l’authentification à deux facteurs sur vos systèmes internes. Il existe de nombreuses solutions sur le marché et il peut être difficile de s’y retrouver, mais CyberSwat est là pour vous conseiller et vous accompagner!

Avis de livraison légitimes ou pourriels ?

Vous pensez être capable de distinguer les pourriels des communications d’entreprises auxquelles vous faites confiance? Et pourtant, lors d’une étude menée par l’Université Friedrich-Alexander, au moins 50 % des gens ont cliqué sur un courriel douteux alors qu’ils étaient pourtant sensibilisés aux risques des pourriels.

Achats en ligne, temps des fêtes et augmentation des courriels

Avez-vous reçu, comme moi, des dizaines d’offres alléchantes de réduction par courriel dans le cadre de l’Action de Grâce américaine? Le fameux « Black Friday » marque officiellement le début des achats du temps des fêtes.

La plupart des consommateurs achètent maintenant sur le Web. Même dans le contexte du commerce entre les entreprises (B2B), les achats en ligne sont de plus en plus fréquents. Dans la même lignée, les communications d’affaires sont de plus en plus numériques. Les gens préfèrent recevoir les offres de promotion par courriel. C’est simple et rapide !

De plus en plus d’entreprises automatisent les communications autour de la livraison. On peut cliquer sur les numéros de commande et on arrive directement sur le suivi de Poste Canada ou UPS.

Or, Noël approche à grands pas et les achats de cadeaux vont continuer à se faire en grand nombre sur le Web. Vous allez certainement recevoir de nombreux messages du même genre et vous faire livrer des colis. Peut-être allez-vous commander des présents pour vos employés ou vos clients ?

Des communications parfois frauduleuses

Les pirates ont compris que la plupart des consommateurs sont tentés de cliquer sur les avis de livraison. Ils envoient alors des courriels frauduleux et ils vous incitent à cliquer sur des liens malveillants ou à télécharger une pièce jointe contenant un virus. Ils utilisent le nom des compagnies les plus courantes : Amazon, Apple, EBay, UPS, FedEx… en tentant leur chance que vous y avez effectué des achats.  Qui n’est pas content de recevoir un courriel intitulé Votre colis est arrivé ! Ou Ne payez pas les taxes en commandant aujourd’hui !

Quand on doit faire plusieurs achats en ligne pendant une courte période de temps, il est facile de ne plus savoir ce qu’il en est et de cliquer sur un courriel de promotion ou de suivi qui n’en est pas un vrai. Ces messages semblent souvent provenir d’organisations réelles avec les vrais logos, couleurs et polices habituelles. Vous pourriez avoir de la difficulté à voir qu’ils sont illégitimes.

Et pourtant, cliquer sur les liens ou les pièces jointes contenus dans ces pourriels peut avoir des répercussions critiques sur votre ordinateur, vos renseignements personnels et le réseau de votre entreprise.

Quelques étapes à suivre pour minimiser les risques liés aux pourriels

Pour vous aider à différencier un pourriel d’un message légitime, voici quelques éléments à vérifier à la réception d’un courriel qui vous demande de cliquer sur un lien ou à télécharger une pièce jointe :

  1. Regardez le courriel de retour : @Lexington.us n’est pas une adresse de FedEx
  2. Le symbole « Registered Trademark » est manquant du logo
  3. Si vous copiez-collez le numéro de suivi sur FedEx, aucun dossier ne sera associé
  4. Si vous passez votre souris sur le bouton « Print receipt » (ne cliquez jamais !), vous verrez que l’url de destination n’a aucun rapport avec FedEx

fedex pourriel

De plus, vous pouvez également vérifier :

  • L’avis de livraison est dans un fichier ZIP ? Il y a anguille sous roche !
  • Recherchez les formulations inhabituelles dans le message
  • Cherchez les fautes d’orthographe dans le corps du courriel

Important : Dans le doute, il est préférable de se connecter au site Web du fournisseur en allant soit même dans son navigateur et de ne pas passer par le lien cliquable fourni dans le courriel.

Si vous pensez avoir cliqué sur un lien douteux contenu dans un pourriel, faites-en part rapidement au support informatique de votre entreprise.

Vous désirez aller plus loin afin de sensibiliser vos employés aux risques de cybersécurité et leur apprendre les bonnes pratiques dans le domaine ? Des ateliers de sensibilisation en format 1h30 et 3h sont actuellement disponibles. Nous pouvons faire ces ateliers directement dans vos bureaux ou encore par notre plate-forme de webinaire. Pour en savoir plus, contactez-nous à info@cyberswat.ca ou en complétant la demande d’information ci-dessous.

Comment protéger mes informations envoyées par courriel?

Comme tout le monde, chaque jour, vous envoyez de nombreuses informations par courriel. Celles-ci sont parfois un peu anodines, mais bien souvent, elles sont essentielles pour vos affaires. Or, est-ce que vous vous êtes déjà demandé si le courriel était un canal sécuritaire à utiliser pour les envoyer?

Les risques liés à l’envoi d’informations sensibles par courriel

Il est très facile de se tromper de destinataire en envoyant un courriel. De plus vous n’avez aucun contrôle sur ce qui se passera avec votre courriel après que vous l’ayez envoyé; votre destinataire peut très bien le transférer à tous ses contacts. Enfin, une personne malveillante pourrait l’intercepter lors de son envoi sur le web (ex. depuis le réseau sans-fil du Starbucks de votre destinataire).

Les impacts suite à la divulgation d’informations sensibles par courriel

Perte de crédibilité

Par exemple, vous êtes un courtier en assurance et vous envoyez par erreur un courriel à l’un de vos nouveaux clients (François), qui pourtant était destiné à un autre de vos clients (Jean). Dans ce courriel, on y trouve de nombreuses informations concernant la police d’assurance de Jean, tel que les réponses sur son état de santé. François se rend compte que vous n’êtes pas consciencieux dans la protection des dossiers de vos clients et perd confiance en vous. Après avoir discuté de cet incident avec ses collègues, François décidera finalement de ne pas renouveler son contrat avec vous l’année prochaine.

De plus, une autre question se pose ; devriez-vous notifier Jean de cet incident? Qu’en pensera-t-il?

Vol d’identité

Vous envoyez les renseignements personnels de vos nouveaux employés à votre firme d’assurances collectives et une personne malveillante intercepte le courriel. Il a en main toutes les données nécessaires pour frauder l’identité de vos employés. Finalement, le fraudeur s’est procuré une carte de crédit, fait des achats en ligne, en plus de réaliser un prêt dans une caisse Desjardins… tout ça à leur nom!

Alors, comment s’y retrouver lorsque vous désirez envoyer des informations par courriel?

Lorsqu’il est question de bonnes pratiques en sécurité, il y a une règle très simple à respecter : ne transmettez jamais de renseignements personnels ou confidentiels dans le corps d’un courriel. Il n’est pas un mode de transmission sécuritaire. Assurez-vous plutôt d’intégrer les renseignements sensibles à envoyer dans un document à part, de le déposer dans un portail que seul votre client peut accéder, ou encore de chiffrer le document avec un mot de passe adéquat.

Ainsi, vous pouvez tout d’abord vous demander avant l’envoi de tout courriel si la divulgation non autorisée des renseignements contenus dans le message pourrait causer des dommages sérieux à votre entreprise, vos clients ou vos partenaires. Dans le doute, il est préférable d’appliquer les mêmes règles que si vous aviez répondu oui à la question.

Cependant, comme ce n’est pas toujours facile de s’y retrouver, voici une liste non exhaustive de renseignements qu’on ne devrait jamais envoyer sans protection par courriel.

Les renseignements personnels

  • Un nom associé à une date de naissance, une adresse civique, un numéro de compte bancaire ou encore un numéro de permis de conduire
  • Les renseignements contenus dans un passeport
  • Un numéro d’assurance sociale

Les renseignements confidentiels

  • Les informations liées à un contrat
  • Description détaillée d’un procédé de fabrication
  • Stratégie commerciale de développement de l’entreprise

 

L’importance de sensibiliser ses employés aux risques des courriels

Vous êtes maintenant au courant des bonnes pratiques en sécurité et vous devriez être en mesure de mieux protéger vos renseignements personnels et confidentiels! Mais qu’en est-il de vos employés? Êtes-vous certains qu’ils sont sensibilisés à tous les risques? Vos employés ont accès à nombreuses données et doivent les manipuler chaque jour. Il est essentiel qu’ils soient sensibilisés autant que vous aux risques qu’il en découle.

Le Groupe CyberSwat a lancé un programme de prévention en cybersécurité qui aide les PME québécoises à mieux se protéger contre ce type de risque. Nous mettons notamment à votre disposition un programme de sensibilisation à la sécurité et des outils vous permettant de calculer le niveau de risque que représentent vos employés.

SANS FRAIS 1 877-777-6412

Assurance en cyberrisque

Vous êtes courtier en assurance et la cybersécurité est l’une de vos préoccupations? Vous cherchez à mieux comprendre les enjeux de sécurité de vos clients afin de mieux les conseiller? Nous pouvons :

Si vous avez une entente avec nous :

Gestion d'incidents de sécurité

Vous voulez être prêt en cas d’incident de sécurité dans votre entreprise? Vous cherchez un accompagnement dans la mise en place d’un plan de gestion d’incident afin d’en minimiser au maximum les conséquences? Nous pouvons :

Pour nos clients avec contrat de service:

Assurance en cyberrisque

Vous êtes courtier en assurance et la cybersécurité est l’une de vos préoccupations? Nous vous aidons à comprendre tous les enjeux de sécurité chez vos clients pour que vous puissiez leur offrir le meilleur service possible.

Client :

Courtier :

Sécurité des services infonuagiques

Ne prenez pas à la légère les enjeux de sécurité du Cloud! Avec nous, vous bénéficierez de la souplesse du Cloud tout en diminuant les risques. Vous et vos clients serez rassurés de savoir vos données en sécurité.

Gouvernance de la sécurité

La sécurité informatique doit faire partie des préoccupations de la direction de votre entreprise. La mise en place d’une politique de sécurité et de la catégorisation des actifs sont notamment des éléments importants d’une stratégie efficace en cybersécurité.

Sensibilisation à la sécurité

Saviez-vous que l’hameçonnage est le vecteur n°1 pour réaliser des fraudes dans les entreprises? Diminuez les risques d’être victime d’incidents de cybersécurité grâce à nos ateliers de sensibilisation spécialement conçus pour vos employés.

Nous mettons toujours l’accent sur la vulgarisation des concepts et des enjeux de sécurité

Service-conseil en cybersécurité

Votre entreprise recherche un accompagnement à plein temps pour la gestion de la cybersécurité? Faites appel à nous! L’un de nos précieux talents se fera un plaisir de venir travailler dans votre entreprise au quotidien.

Notre équipe est composée de conseillers en architecture de sécurité, d’analystes en sécurité, de conseillers en gouvernance, de spécialiste en Gestion des Identités et des Accès, de spécialiste en test d’intrusions, etc.

Sécurité des services infonuagiques

Ne prenez pas à la légère les enjeux de sécurité du Cloud! Avec nous, vous bénéficierez de la souplesse du Cloud tout en diminuant les risques. Vous et vos clients serez rassurés de savoir vos données en sécurité.

Évaluez les risques de votre entreprise

Protégez vos données les plus importantes et épargnez les coûts d’un incident de sécurité. Cyberswat vous aide à identifier les situations à risque et vous donne des recommandations concrètes et faciles à mettre en place.