Alors que les fêtes approchent, les consommateurs et les détaillants ne sont pas les seuls à se préparer pour la saison. Les cybercriminels sont à leurs trousses. Ce n’est un secret pour personne que les grandes fêtes de consommation – depuis Amazon Prime Day jusqu’au sprint des fêtes de fin d’année – représentent de grandes cibles pour les acteurs malveillants. Les projections pour le Black Friday de cette année montrent que les dépenses en ligne atteignent 13 milliard de dollars.
C’est une opportunité lucrative pour les mauvais acteurs.
Cette année, les détaillants sont déjà confrontés à l’inflation, à une récession imminente et à une législation imminente sur la confidentialité des données. Ils ne peuvent tout simplement pas se permettre 4.35 millions de dollars violation.
Sécurité limitée Ho-Ho-Ho cette année ?
Les détaillants doivent garder leur sécurité en tête. Cela signifie mettre en œuvre une détection et une réponse efficaces ; trouver des vulnérabilités before les changements de vente au détail se figent à cette période de l’année ; gestion des risques tiers ; et s'assurer que les employés reçoivent la formation dont ils ont besoin.
Trouver le maillon le plus faible avant la ruée vers la folie
Il est courant que les détaillants mettent en œuvre des gels de changement draconiens un à deux mois avant le pic des fêtes, au cours de la deuxième ou de la troisième semaine de janvier. Cela empêche la mise en œuvre de modifications majeures du système (qui affectent l’expérience des consommateurs) pendant les jours de vente les plus chargés et les plus importants de l’année.
Dans les semaines qui précèdent le gel brutal des changements, les développeurs tentent souvent d’apporter une dernière modification au code ou à l’infrastructure. Cette précipitation avant la date limite peut parfois inclure des erreurs, rendant les systèmes non corrigés et non testés vulnérables aux attaques. Les cybercriminels ne connaissent que trop bien ces périodes de gel des changements et planifient souvent leurs attaques pendant cette fenêtre.
L’exécution de tests de sécurité d’applications statiques et dynamiques (SAST et DAST) dans le cadre de programmes réguliers de tests d’applications constitue le meilleur moyen d’identifier les vulnérabilités avant le gel annuel du code. Ces deux tests examinent les candidatures sous différents angles. SAST se concentre sur les failles logicielles telles que l'injection SQL, tandis que DAST trouve les faiblesses que les mauvais acteurs peuvent exploiter.
Les détaillants devraient concentrer leurs tests sur les applications critiques et à fort trafic telles que les passerelles de paiement, les champs de saisie et même les codes Web de base.
Garder un œil sur les fournisseurs tiers
Plus tôt cette année, Le constructeur automobile Toyota a arrêté sa production après qu’un fournisseur de plastique et d’électronique ait été victime d’une cyberattaque. La production suspendue a coûté à l’entreprise environ 13,000 XNUMX voitures. Même si la perte de production peut sembler coûteuse, c’est un petit prix à payer par rapport à une véritable violation.
Cela montre que gestion des risques par des tiers (TPRM) reste un domaine de sécurité mal desservi pour de nombreuses organisations et les détaillants doivent encore donner la priorité au TPRM et tirer les leçons de l'étude de cas.
Les questionnaires TPRM et de gestion des risques liés aux fournisseurs aident à évaluer la posture de sécurité des organisations partenaires. De nombreuses enquêtes au niveau des entreprises comportent jusqu'à 1,000 XNUMX questions, mais les principaux domaines à aborder sont les suivants : la sécurité des informations, la sécurité des centres de données, la sécurité des applications Web, la protection de l'infrastructure, ainsi que les contrôles et technologies de sécurité.
Même si les détaillants effectuent régulièrement des tests sur leur propre code, qui inclut des intégrations tierces, cela ne dépasse pas les limites de leurs propres réseaux. Les détaillants devraient exiger de leurs fournisseurs qu'ils effectuent des tests complets de pénétration du code sur une base semestrielle et des tests nocturnes lorsque leurs partenaires mettent à jour ou modifient les codes.
Maintenir les formations sécurité malgré la porte tournante des talents
La formation est sans aucun doute la partie la plus difficile pour les détaillants. Le Grande démission a contraint les entreprises à réévaluer leurs processus de formation et d’intégration, la cybersécurité n’en étant qu’une petite composante. Or, 82 % des violations analysées par Verizon «Rapport d'enquête sur les violations de données » impliquait un élément humain. Cela rend la formation des employés plus importante que jamais.
Les détaillants établis ont probablement mis en place une sorte de programme de sensibilisation à la cybersécurité. Mais ils peuvent (et devraient) développer ce point. Lorsque les équipes de cybersécurité identifient des lacunes lors des tests d’intrusion, elles peuvent partager ces résultats avec les employés et expliquer comment ces vulnérabilités peuvent être manipulées. Ce niveau de transparence aide les employés à comprendre leur rôle dans la protection des données de l’entreprise et des consommateurs.
La sécurité des mots de passe est primordiale
Et enfin, mais non des moindres, dans le programme pour les employés : les mots de passe. La sécurité des mots de passe reste un problème majeur conduisant ou jouant un rôle clé dans un nombre impressionnant de violations de données qui se produisent aujourd’hui. Le vol d’identifiants constitue l’un des moyens les plus simples pour les acteurs malveillants d’accéder aux informations. Les informations d'identification compromises sont la cause de 19% de violations de données (PDF). Le plus triste c'est 45% de consommateurs ne considérez pas le partage de mot de passe comme un problème sérieux. Les détaillants devraient renforcer la priorité d’une bonne hygiène des mots de passe, mais tout aussi important, ils devraient mettre en œuvre l’authentification multifacteur (MFA) partout et partout où cela est possible.
De nombreux détaillants ont déjà lancé des soldes pour les fêtes de fin d’année pour devancer les problèmes d’inflation et de personnel. Mais ils ne doivent pas oublier leur posture sécuritaire dans cette ruée vers la fin de l’année. Les organisations doivent faire de la cybersécurité une priorité aussi importante que de stimuler les ventes en intégrant SAST et DAST dans les tests de leurs applications ; surveiller et gérer les risques liés aux tiers ; et sécuriser les informations d’identification grâce à une formation et une authentification appropriée à l’aide de MFA.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
