ÉTUDE DE CAS #3 - AUTHENTIFICATION MULTIFACTORIELLE

L'AUTHENTIFICATION MULTIFACTEUR (MFA) N'EST PAS CONFIGURÉE 

"Je n'ai pas besoin de l'authentification à deux facteurs, je change mon mot de passe de temps en temps." 

ENTREPRISE 

  • Secteur : Énergie 

  • Taille : 10-49 employés 

  • Lieu : Bruxelles 

FAITS 

  • 2 des 3 entreprises ont été touchées 

  • Efforts de protection : Moyens 

  • Impact sur l'entreprise : Élevé 

CONTEXTE 

Lors de l'évaluation de la sécurité d'une entreprise énergétique comptant 15 employés, nous avons mené une campagne de phishing. L'objectif était double : évaluer la sensibilisation à la sécurité des employés et obtenir des informations pour accéder à l'infrastructure informatique. Un e-mail de phishing a été envoyé. Les différentes lignes de défense de l'entreprise sont tombées comme des dominos. Nous avons réussi à obtenir des références et à accéder à un compte administrateur sans autre vérification. 

APERÇU DE L'INCIDENT 

Nous avons lancé une campagne de phishing. Nous avons envoyé des e-mails de phishing aux employés pour évaluer leur sensibilité aux attaques de phishing. Le phishing est l'une des méthodes d'attaque cybernétique les plus courantes et est très efficace, car il exploite les faiblesses humaines pour cibler les individus, les entreprises et les organisations de tous les secteurs. Un étonnant 55% a cliqué sur l'e-mail et 30% d'entre eux ont même saisi leurs identifiants. Après avoir "volé" les identifiants, nous avons tenté de nous connecter aux comptes, ce qui a été facile. 

Nous n'avions, en effet, pas besoin de nous connecter d'une autre manière que par les identifiants, l'authentification multifactorielle n'était pas activée. LA MFA est un processus de connexion en plusieurs étapes qui demande aux utilisateurs de se connecter avec leur mot de passe et avec une méthode supplémentaire telle qu'un code reçu par e-mail. 

Après quelques tentatives, nous avons pu nous connecter avec un compte administrateur, ce qui signifie que nous pouvions compromettre tous les utilisateurs. 

IMPACT 

La principale conséquence de ne pas activer l'authentification multifacteur est un risque beaucoup plus élevé d'accès non autorisé. Cela peut avoir des conséquences désastreuses : 

  • Perte financière : les entreprises peuvent subir des pertes financières en raison de transactions frauduleuses ou devoir payer des frais juridiques élevés compte tenu d'un accès non autorisé. 

  • Dommages à la réputation : les violations peuvent nuire à la réputation d'une entreprise, entraînant une perte de confiance des clients et des partenaires. 

  • Perturbation des activités quotidiennes : la gestion des violations de sécurité peut perturber les activités commerciales normales et nécessiter des ressources supplémentaires. 

  • Conséquences juridiques : les entreprises peuvent encourir des sanctions juridiques, des amendes ou des poursuites judiciaires pour ne pas avoir protégé adéquatement les données sensibles. 

  • Perte de confiance client : les violations sapent la confiance et la fidélité des clients, entraînant une perte de clients et des revenus réduits. 

  • Conformité réglementaire : les violations de la réglementation sur la protection des données peuvent entraîner des amendes importantes et des dommages à la réputation légale de votre entreprise. 

MESURES DE SÉCURITÉ 

Nous recommandons de configurer la MFA sur toutes les applications Internet pour réduire considérablement le risque de violations de données. L'authentification multifactorielle est une mesure de sécurité qui demande aux utilisateurs de vérifier leur identité avec plusieurs facteurs, tels qu'un mot de passe, une empreinte digitale ou un code unique envoyé sur leur appareil mobile. La MFA est essentielle, car elle offre une couche de sécurité supplémentaire contre les accès non autorisés. Cela réduit considérablement le risque de comptes compromis et de violations de données. D'autres mesures pouvant être prises contre le phishing comprennent : 

  • Sensibiliser les employés à la reconnaissance des tentatives de phishing et leur rappeler l'importance de ne pas cliquer sur des liens suspects ni de fournir des informations personnelles. 

  • Utiliser des filtres anti-spam pour détecter et bloquer les e-mails de phishing avant qu'ils n'atteignent la boîte de réception des utilisateurs. 

  • Maintenir régulièrement à jour les logiciels de sécurité et effectuer des exercices de simulation de phishing pour maintenir les employés vigilants et préparés. 

Sources : 

Prêt à renforcer votre cybersécurité ?

Contactez-nous aujourd'hui pour discuter de la manière dont les services de Cresco peuvent aider votre organisation à se protéger et à sécuriser.