Malheureusement, que vous le vouliez ou non, les cybercriminels et les pirates ont hâte, eux aussi, de profiter de ce pic au niveau de l’activité commerciale, surtout si une grande partie est susceptible de se produire en ligne : une augmentation de l’ordre de 33% est attendue, par rapport à l’an dernier, pour atteindre un record de 189 milliards de dollars (environ 160 milliards d’euros) !
Ainsi, les acheteurs et les commerçants doivent être conscients des risques en matière de cybersécurité auxquels ils s’exposent en cette période des fêtes. Voici donc quelques recommandations pour sécuriser le plus possible vos achats.
Pour les consommateurs, réfléchissez à deux fois avant de faire confiance aux emails et aux sites Web qui vous proposent des bonnes affaires
Alors que des millions d’acheteurs s’aventurent en ligne, les pirates seront à la recherche de données personnelles et financières sensibles.
En utilisant des emails de phishing astucieux, cette tactique malveillante classique tentera d’usurper l’identité de marques et de commerces en ligne populaires par le biais de messages. Envisagez donc de suivre ces étapes simples et proactives pour éviter de tomber dans le piège tendu par de telles arnaques.
Avant de faire confiance aux emails qui semblent provenir de vos marques ou plateformes de vente en ligne préférées, assurez-vous de lire attentivement le contenu du message. Si vous remarquez des fautes de grammaire ou d’orthographe inhabituelles, vous avez déjà un premier indice.
Un grand nombre de sites de phishing apparus lors de la récente vente Prime Day d’Amazon sont ici de bons exemples. Examinez de plus près les adresses email des expéditeurs afin d’affiner et de confirmer ou non vos doutes.
Ne soyez pas trop tenté de télécharger un “pass spécial pour les fêtes” ou des codes promotionnels à partir d’emails suspects, et bien sûr, ne cliquez pas sur les liens contenus dans ces emails. Les emails de phishing frauduleux peuvent contenir des pièces jointes malveillantes ou des liens vers de mauvaises URL qui pourront ensuite télécharger des malwares ou des ransomwares zero-day sur votre appareil, mettant ainsi vos données personnelles et financières en danger.
Si un message en particulier vous semble suspect, essayez de faire correspondre le lien dans l’adresse email de l’expéditeur avec l’adresse de destination du lien lorsque vous le survolez. S’ils ne pointent pas vers la même adresse Web, vous devriez peut-être signaler l’email à votre fournisseur de services ou à l’éditeur de votre solution de sécurité afin d’éviter toute distribution ultérieure parmi les acheteurs en ligne potentiellement vulnérables.
Et enfin, soyez prudent lorsque vous saisissez manuellement les URL des sites Web. Une simple erreur de frappe et vous pourriez vous retrouver sur un domaine typosquatté (à savoir une URL similaire mais fausse qui vous dirigera souvent vers un site de phishing). Pour éviter d’être exposé à de tels risques, envisagez un gestionnaire de mots de passe. Non seulement ces derniers sont une bonne ligne de défense contre les mots de passe faibles, mais ces outils ne se font duper par des URL malveillantes qui, par contre, peuvent facilement passer inaperçues pour des yeux humains.
Pour les commerçants, gardez vos systèmes patchés, correctement protégés et conformes à la norme PCI DSS
En effet, ce ne sont pas seulement les acheteurs qui seront la cible des cybercriminels en cette période des fêtes. Voici comment les commerçants peuvent également renforcer leur cyber-résilience.
Commencez par une formation à la sécurité qui informera votre équipe sur les dernières arnaques par phishing, y compris les types de données ciblées par les cybercriminels et des exemples d’emails frauduleux. De plus, offrez à votre équipe un moyen simple de signaler ces emails suspects ou toute activité similaire à votre personnel de sécurité IT.
Si vous prévoyez de garder vos magasins physiques ouverts, assurez-vous que les systèmes d’exploitation des ordinateurs de vos points de vente soient dotés des dernières mises à jour de sécurité. Envisagez des mesures de cybersécurité supplémentaires telles qu’une solution anti-malware performante, un pare-feu next-gen, une protection de serveur ainsi qu’un chiffrement pour protéger les systèmes critiques qui fonctionnent à l’intérieur de votre réseau de vente. La segmentation du réseau peut également aider à protéger ces systèmes sensibles en permettant la création de zones restreintes et isolées qui seront gérées avec des contrôles d’accès plus granulaires.
Si votre commerce a adopté des applications basées dans le Cloud et que vous disposez d’un réseau multi-sites couvrant vos différentes succursales, vos partenaires franchisés et ceux impliqués dans la chaîne logistique, il devient alors essentiel d’adopter une philosophie de sécurité de type zero-trust. Le principe de base est “ne faites confiance à rien, vérifiez tout” et peut aider à établir un accès de confiance au niveau d’un réseau de vente en ligne distribué tout en offrant de meilleures garanties pour protéger la confidentialité des titulaires de carte. Découvrez ce livre blanc Sophos pour mieux comprendre l’approche de sécurité de type zero-trust.
Assurez-vous également de procéder à une analyse pour voir si votre système de cybersécurité existant respecte les recommandations des directives PCI DSS. Découvrez cette carte de référence Sophos pour une compréhension rapide des principales exigences de sécurité imposées par la norme de sécurité de l’industrie des cartes de paiement (Payment Card Industry Data Security Standards/PCI DSS).
Si votre commerce ne dispose pas d’une expertise interne adéquate en matière de cybersécurité ou bien si vous le gérez avec une équipe de sécurité squelettique, c’est le moment idéal pour faire appel à un partenaire de sécurité managée qui assurera une surveillance constante de votre réseau de vente, de vos systèmes en ligne, et de vos portails de e-commerce à la recherche de toute activité suspecte.
Sophos peut vous aider à rester concentré sur votre entreprise en laissant le soin à notre équipe d’élite de traqueurs de menaces de s’occuper de vos problèmes de sécurité. Découvrez le service Sophos Rapid Response et obtenez une aide immédiate pour protéger votre entreprise et vos clients en cette période des fêtes.
Pour tous, vérifiez la complexité de vos mots de passe et les autorisations au niveau des transactions
La vérité sur les mots de passe faciles à deviner est que les pirates les aiment autant que vous ! Les cybercriminels aiment profiter des vulnérabilités de sécurité telles que de mauvais mots de passe ou l’absence d’authentification multifacteur. Pensez à suivre ces conseils simples pour faire des achats en ligne en toute sécurité.
Si vous êtes un acheteur, utilisez des mots de passe forts pour les transactions en ligne et ne les réutilisez pas sur plusieurs sites. Pensez à une phrase secrète (passphrase) plus complexe en utilisant une combinaison de lettres, de chiffres et de caractères spéciaux. Au lieu de conserver d’innombrables mots de passe en mémoire, une approche plus pratique et plus sûre consiste à utiliser un bon gestionnaire de mots de passe.
Ces utilitaires sont simples à configurer, faciles à utiliser et le seul mot de passe à mémoriser est le mot de passe principal du coffre-fort. Si vous êtes un commerçant en ligne, assurez-vous que la fonctionnalité de création du compte client exige un mélange robuste de ces divers éléments et encouragez vos clients à réinitialiser régulièrement leurs mots de passe. De nombreux commerçants en ligne proposent également une authentification multifactorielle, alors envisagez également de tirer parti de ce type de fonctionnalité.
Enfin, un dernier conseil pour les consommateurs : profitez des fonctionnalités de sécurité que vous offrent vos banques et vos cartes de crédit. Surveillez et révisez régulièrement la limite de votre carte de crédit, vérifiez l’exactitude des informations de votre téléphone et de vos emails et mettez en place des alertes pour les achats importants ou suspects.
Cette année a été très difficile et j’espère que la période des fêtes sera le moment tant attendu pour se détendre enfin, faire du shopping et s’amuser. Ainsi, en prenant les précautions de cybersécurité appropriées, les acheteurs et les commerçants pourront profiter pleinement de cette fin d’année.
Billet inspiré de Safe shopping, happy retailing: 3 cybersecurity tips for the holidays, sur le Blog Sophos.