Parlons paiements Des idées pour rester à l’avant-garde

6 lecture min

Sécurité informatique : se protéger contre les 4 principaux risques

mercredi, juin 10, 2020

Mis à jour le 10 juin 2020 : Les signalements de fraude continuant de se multiplier dans le contexte de la pandémie de coronavirus, il est primordial que votre entreprise et vos clients soyez protégés. Dans cet article, nous vous expliquerons comment vous prémunir contre les quatre principaux risques qui guettent les entreprises en ces temps perturbés.

Dans les périodes d’instabilité comme celle que représente la pandémie de COVID-19, les risques informatiques sont décuplés, les cybercriminels cherchant à profiter de la situation pour arnaquer les entreprises pendant que leur attention est occupée ailleurs. Vous pouvez toutefois réduire grandement les risques en gardant un œil sur la sécurité informatique, en sachant quels points faibles surveiller et en prenant quelques précautions.

Voici les quatre principales faiblesses que recherchent les cybercriminels.

1. Les fournisseurs dont l’environnement n’est pas sécurisé

Faire affaire avec des fournisseurs dont les systèmes ne sont pas sécurisés menace directement l’intégrité de votre propre environnement informatique. De telles entreprises peuvent notamment offrir des services de traitement de paiements.

Les voleurs de données ont compris qu’ils peuvent exploiter les failles chez ces fournisseurs pour pénétrer dans les systèmes de nombre de leurs clients et s’y emparer d’informations de cartes de crédit. Très souvent, le vol survient quand le fournisseur se connecte à distance à l’environnement de traitement de paiements de son client pour des tâches de maintenance. Le pirate informatique se sert alors de mots de passe par défaut ou de techniques d’hameçonnage ciblant le fournisseur pour obtenir des identifiants qui déverrouillent pour lui l’environnement informatique de l’entreprise. Il déploie ensuite des logiciels malveillants pour voler les données de cartes de crédit.

« Assurez-vous de connaître tous les fournisseurs qui ont accès à votre environnement de cartes de crédit, et de savoir quelles fonctions ils y exercent, dit Stacy Hughes, chef de la Sécurité informatique chez Global Payments. Vérifiez s’ils respectent les normes de sécurité du secteur des cartes de paiement et s’ils font leur travail dans un cadre sécurisé. »

Vérifiez aussi les fonctions de sécurité qu’utilise votre fournisseur (chiffrement, jetons, 3D Secure) pour réduire le risque de fraude. Un fournisseur qui prend la sécurité au sérieux pourra vous proposer des produits de traitement de paiements crédibles qui réduiront grandement le risque que vous soyez victime d’un vol de données.

2. Les correctifs de sécurité

Les correctifs de sécurité sont un autre des risques courants. Bien souvent, les entreprises ignorent que des correctifs de sécurité concernant leur pare-feu, leur antivirus ou des plateformes logicielles sont périmés. Pourtant, les fabricants de logiciels et de plateformes publient régulièrement des mises à jour de sécurité qu’il faut installer pour être protégé contre les plus récentes cyberattaques.

« Il est important d’installer tous les correctifs de sécurité nécessaires sur tous les systèmes reliés à l’environnement de traitement des paiements, dit Mme Hughes. On peut les programmer à intervalles réguliers, pour être certain de ne pas en oublier. »

Vous pouvez toutefois réduire grandement vos risques en gardant un œil sur la sécurité informatique, en sachant quels points faibles surveiller et en prenant quelques précautions.

3. Les mots de passe faibles et le vol de mots de passe

Selon le rapport de Verizon intitulé 2019 Data Breach Investigation Report, 80 % des activités liées au piratage informatique comportent le vol d’identifiants ou l’emploi d’identifiants faibles. En général, dans les cas où un mot de passe « faible » (comme « motdepasse », « bienvenue » ou « 12345 ») a causé une atteinte à la sécurité, c’est le fournisseur qui en était à l’origine. Les titulaires de compte oublient souvent de modifier le mot de passe qu’un fournisseur a créé arbitrairement pour les besoins de la première connexion à un système. Résultat? Les pirates exploitent cette vulnérabilité.

« Il est impératif de créer des mots de passe différents pour les ordinateurs, les connexions Internet et l’environnement de paiement, insiste Mme Hughes. Utilisez des mots de passe forts qui contiennent au moins sept caractères : des chiffres, des symboles et des lettres, dont au moins une majuscule. Et remplacez-les fréquemment. Idéalement, tous les trois mois. »

Voler des mots de passe est un jeu d’enfant pour les pirates informatiques avec la technique de l’hameçonnage, qui consiste à écrire aux employés pour essayer de leur soutirer cette information essentielle en se faisant passer pour un contact légitime (par exemple, un membre de votre équipe des TI).

« Il est crucial de former le personnel sur l’hameçonnage et les politiques de sécurité de l’entreprise. Par exemple, les employés doivent savoir qu’il ne faut divulguer à personne son mot de passe ni aucun autre identifiant de connexion, et se méfier de tout courriel qui demande ces informations. »

4. Les points faibles du commerce électronique

Les voleurs de données de carte fouillent les sites Web à la recherche de points faibles comme des certificats SSL ou des plateformes logicielles périmés. Des plateformes comme Magento, d’Adobe, publient régulièrement des mises à jour de sécurité. Trop souvent, les responsables de gérer les solutions de commerce électronique ignorent qu’elles doivent les mettre à jour ou négligent tout simplement de le faire, ce qui rend les systèmes vulnérables. Les cybercriminels peuvent alors insérer un code JavaScript malicieux dans le site Web du commerçant pour voler des données de carte de crédit.

En fait, les malfaiteurs sont aujourd’hui si habiles qu’ils peuvent même copier le panier d’achat virtuel ou les balises iFrame d’un commerçant pour voler des données de carte. Pendant ce temps, le titulaire de la carte pense faire des opérations directement sur le site Web du commerçant. Mais ce n’est pas le cas.

Toute entité qui accepte le paiement par carte de crédit a la responsabilité de traiter les données des cartes dans un cadre sécurisé, comme l’énonce la norme de sécurité du secteur des cartes de paiement (Payment Card Industry Data Security Standard, en anglais).

La liste de contrôle qui suit peut vous aider à rester maître du jeu en matière de sécurité informatique :

  • Les mises à jour de sécurité sont-elles faites pour vos plateformes logicielles? Utilisez-vous les plus récentes versions de vos logiciels?
  • Savez-vous qui est chargé d’effectuer les mises à jour et d’appliquer les correctifs de sécurité pour votre entreprise? Un employé de l’entreprise ou votre fournisseur hôte? Visitez le site PCI Data Security Standards et consultez la matrice des rôles et responsabilités en annexe. Si vous acceptez le paiement en ligne, assurez-vous que votre panier d’achats virtuel comporte les plus récentes caractéristiques de sécurité. Confier certaines de ces caractéristiques (code Javascript, iFrame) à un tiers, comme votre fournisseur de services de paiement ou une banque acquéreuse, peut vous aider à protéger les données de vos clients.
  • Assurez-vous d’employer les certificats SSLl/TLS les plus récents (p. ex., TLS 1.2).
  • Gardez à l’esprit les trois principaux remparts essentiels contre les intrusions :
    • les mises à jour de logiciels et les correctifs de sécurité;
    • la gestion des mots de passe et l’utilisation de mots de passe forts;
    • la gestion serrée des accès aux systèmes à l’interne et au portail à distance.

En cas d’intrusion confirmée ou soupçonnée, prenez les mesures suivantes :

  • interrompez le traitement de paiements dans l’environnement informatique concerné le temps qu’il faut;  cherchez des solutions de rechange, comme des terminaux de carte de crédit utilisant une ligne analogique;
  • n’effacez rien et ne tentez pas de « nettoyer » les données, ce qui pourrait nuire à une éventuelle enquête;
  • si vous êtes client de Global Payments, contactez-nous immédiatement;
  • avisez votre fournisseur hôte, le cas échéant.

Nous sommes là pour protéger votre entreprise et vos clients dans le nouveau paysage du commerce électronique. 

Nous avons notamment créé le Merchant Protection Program (en anglais), un programme de protection des commerçants, pour vous aider à sécuriser votre environnement de traitement de paiements et à vous conformer aux normes de sécurité du secteur. Nous vous invitons aussi à consulter le microsite PCI SSC Merchants Microsite. Vous y trouverez de nombreux guides utiles, notamment sur les correctifs de sécurité.