Les lecteurs réguliers de TechCrunch le savent, 2024 a été – tout comme les années précédentes – pleine de violations de données, d’attaques de rançongiciels et de piratages de masse exploitant certaines des vulnérabilités logicielles les plus triviales. Même les organisations les mieux dotées en ressources ont échoué à empêcher les pirates d’accéder à leurs systèmes au cours des 12 derniers mois. AT&T a connu sa deuxième violation massive de l’année, touchant cette fois-ci « presque tous les clients »; Ticketmaster aurait eu 560 millions d’enregistrements volés dans le piratage du géant du stockage cloud Snowflake; et le géant de l’assurance santé Change Healthcare a été touché par un groupe de rançongiciels qui a accédé aux détails médicaux sensibles d’au moins un tiers de tous les Américains.
Votre startup n’a pas à subir le même sort en 2025. Certaines des choses les plus simples en matière de sécurité peuvent aider à garder les pirates malveillants à distance.
Voici quelques résolutions de cybersécurité simples – mais efficaces! – que vous devriez prendre alors que nous entrons dans la nouvelle année.
Stockez de manière sécurisée les mots de passe de votre entreprise
Les gestionnaires de mots de passe stockent de manière sécurisée tous les mots de passe de votre entreprise, donc vos employés n’ont pas à se soucier de les retenir. Les gestionnaires de mots de passe aident également à créer et à sauvegarder des mots de passe uniques et complexes pour tous vos comptes. Cela peut aider à prévenir les intrusions de comptes causées par la réutilisation des mots de passe, où les pirates exploitent le fait que les gens utilisent le même nom d’utilisateur et mot de passe sur divers comptes en ligne. Dès qu’un mot de passe est compromis, les pirates peuvent accéder aux autres comptes de la personne en utilisant le même mot de passe. Certaines entreprises abandonnent complètement les mots de passe et utilisent des clés d’accès, qui résistent aux attaques de phishing, et d’autres technologies sans mot de passe.
Mettez en place l’authentification à deux facteurs
Les mots de passe seuls ne suffisent pas à défendre vos comptes les plus importants contre les menaces malveillantes. Les pirates ont volé au moins 1 milliard d’enregistrements personnels en 2024, largement aidés par l’utilisation d’identifiants volés pour des comptes d’entreprise non protégés par une authentification à deux facteurs.
L’authentification à deux facteurs, une fonctionnalité de sécurité qui oblige les utilisateurs à fournir un code supplémentaire en plus d’un mot de passe lors de la connexion, rend beaucoup plus difficile aux cybercriminels de pénétrer dans les comptes en ligne. Dans le cas du géant de l’informatique en nuage Snowflake, l’obligation d’utiliser l’authentification à deux facteurs aurait pu empêcher une paire de pirates d’obtenir des données hautement sensibles d’AT&T et de plus d’une centaine d’autres clients.
La plupart des spécialistes de la sécurité recommanderont d’utiliser des applications d’authentification qui génèrent des codes de connexion sur l’appareil, plutôt que des codes envoyés par SMS, qui peuvent dans certains cas être interceptés.
Gardez vos logiciels à jour
Certaines des violations les plus dommageables de 2024 ont été causées par un problème ancien: des vulnérabilités non corrigées dans des logiciels tiers. Une grande cible des pirates informatiques ces dernières années sont les outils de transfert de fichiers gérés, les logiciels utilisés par les grandes entreprises pour transférer souvent de gros fichiers de données sur Internet. Certains produits de transfert de fichiers et autres technologies d’entreprise existent depuis des années (ou plus longtemps) et sont ciblés pour leur propension à stocker des trésors de données sensibles de l’entreprise.
Alors que certains bugs sont exploités en tant que failles zero-day – une vulnérabilité qui se révèle avant qu’un correctif ne soit disponible – la meilleure chose que les entreprises peuvent faire est de s’assurer que les logiciels internes sont maintenus à jour et que les correctifs de sécurité sont appliqués dès que possible.
Sauvegardez les données de votre entreprise
Les attaques de rançongiciels ont connu une autre année record en 2024, avec des entreprises payant des sommes énormes aux pirates pour récupérer leurs données (et les empêcher d’être diffusées en ligne). Sauvegarder régulièrement les données de votre entreprise est une ligne de défense critique contre le chiffrement des données et les attaques de vol de données. Les sauvegardes peuvent également être ciblées par les pirates pour leur capacité à aider les victimes à restaurer efficacement leurs opérations commerciales sans perte de données significative. Avoir des sauvegardes hors site chiffrées peut aider en cas de catastrophes de sécurité ou de données.
Arrêtez de répondre au téléphone
Alors que les pirates ont depuis des années compté sur des leurres d’e-mails infestés de logiciels malveillants comme arme de choix contre des victimes insoupçonnées, certains groupes de pirates informatiques se tournent vers des appels téléphoniques frauduleux comme principal moyen de pirater des organisations. Un seul appel téléphonique au service d’assistance informatique du géant du casino et de l’hôtellerie MGM aurait entraîné sa violation massive en 2023, ce qui a coûté au géant du divertissement au moins 100 millions de dollars. Comme l’écrit parfaitement Zack Whittaker de TechCrunch ici : Soyez toujours sceptique face à des appels inattendus, même s’ils proviennent d’un contact qui semble légitime, et ne partagez jamais d’informations confidentielles par téléphone sans les vérifier par un autre moyen de communication au préalable.
Soyez transparent
Même si vous faites tout correctement, il n’y a aucune garantie que votre startup ne sera pas la cible. Les startups sont une cible privilégiée des pirates, en raison de leurs ressources limitées par rapport aux grandes entreprises. Si votre entreprise est victime d’une cyberattaque, être transparent sur l’incident peut faire une réelle différence en termes de résultats. La transparence peut aider vos clients à prendre les mesures nécessaires, et le partage d’informations peut aider les autres à se défendre contre des attaques similaires à l’avenir.
Non seulement garder une violation de données secrète peut causer des dommages à la réputation et potentiellement vous coûter cher en amendes – mais cela pourrait également vous valoir une place dans la compilation annuelle des « violation mal gérées » de TechCrunch.
