Selon une étude de Sophos, le retail se classe en deuxième position parmi les secteurs ayant subi le plus grand nombre de cyberattaques en 2021

5 recommandations de cybersécurité pour faire ses achats en toute sécurité pendant le Black Friday 2022

PARIS — 十一月 14, 2022 —

Le Black Friday est devenu l’un des événements promotionnels les plus plébiscités pour la vente en ligne en France. Tandis que les entreprises se préparent à faire face à une hausse considérable des ventes sur Internet, les cybercriminels ont également marqué la date d’une croix sur leurs calendriers.

Les ransomwares représentent actuellement la forme de cyberattaque la plus en vogue en particulier dans le secteur du retail. Selon l’étude 2022 sur l’état des ransomwares dans le domaine du retail menée par Sophos, ce secteur arrivait en deuxième position en nombre d’attaques par ransomwares subies en 2021, uniquement précédé par celui des médias, des loisirs et du divertissement.

Plus de sept entreprises sur dix (73 %) en France ont subi une attaque par ransomware au cours de l’année 2021, une proportion qui a plus que doublé par rapport aux 30 % d’entreprises qui déclaraient en avoir été victimes en 2020. De plus, cette proportion est de 7 points supérieure au taux moyen d’attaques enregistrées dans le monde, soit 66 % des entreprises interrogées. Ces données montrent qu’une attaque n’est plus une simple éventualité pour une entreprise française spécialisée dans le retail, mais bien une forte probabilité.

D’autre part, l’étude de Sophos révèle qu’une grande part des entreprises françaises ont besoin de renforcer leur posture de sécurité, car seuls 26 % de celles qui ont subi une attaque en 2021 ont été en mesure d’empêcher que leurs données soient chiffrées par les cybercriminels.

« La principale raison qui devrait pousser les entreprises à renforcer leurs défenses avant le Black Friday réside dans le fait qu’elles améliorent également leur posture de cybersécurité pour le reste de l’année et que cela les incitera à la perfectionner encore en 2023 et au-delà, » déclare Paul Ducklin, senior technologist chez Sophos.

L'amende d’un montant de 1,9 million de dollars que l’État de New York a condamné la marque de vente en ligne Shein à payer pour avoir menti sur une incursion au sein de son système de données illustre parfaitement ce type de vulnérabilité. L’absence de stratégies adaptées en matière de cybersécurité peut mener à des situations telles que celle à laquelle Shein a dû faire face lorsqu’elle a été victime d’une attaque en 2018 qui a permis aux cybercriminels de dérober 39 000 000 d’identifiants et de mots de passe utilisateurs, ainsi que des informations bancaires. L’amende a été motivée par le fait que l’entreprise a non seulement échoué à détecter cette incursion, celle-ci ayant été signalée par des tiers, mais qu’elle a également manqué de transparence quant à l’ampleur de cette attaque dans la communication avec ses utilisateurs.

Les experts en matière de cybersécurité de Sophos, leader mondial de la cybersécurité innovante « as a Service », partagent 5 recommandations afin d’effectuer ses achats en toute sécurité :

1. Dans la mesure du possible, il est conseillé d’utiliser des cartes prépayées ou des cartes de débit. Connaissant l’ampleur du risque d’être victime d’escroquerie lors de ces périodes d’achats frénétiques, l’usage d’une carte avec un montant de dépenses maximal prédéfini limite ces risques, d’autant que celle-ci n’est pas liée aux autres comptes de l’utilisateur. Être victime d’une arnaque peut entraîner des conséquences mineures, comme le fait de ne pas recevoir les articles commandés, mais cela peut tout aussi bien devenir un véritable problème si les cybercriminels parviennent à accéder aux économies ou à l’identité numérique de la victime.

2. Mieux vaut surveiller ses transactions bancaires. Même s’il est difficile d’éviter toutes les arnaques, il est possible de réduire les probabilités d’être victime d’escroquerie ou d’une attaque de phishing en vérifiant ses relevés bancaires et en passant en revue les dépenses exceptionnelles. Il est également recommandé de vérifier les e-mails de confirmation d’achat pour s’assurer que les transactions frauduleuses ont lieu à l’insu du titulaire du compte.

3. Il est recommandé d’éviter les achats impulsifs et les promotions exceptionnelles qui semblent trop alléchantes pour être crédibles. Les cybercriminels diffusent des offres difficiles à ignorer et exercent des pressions sur les acheteurs en invoquant leur temps de validité limité et en utilisant des comptes à rebours afin de susciter des achats impulsifs (et donc de générer des « clics ») sur leurs sites malveillants. De plus, la plupart des attaquants n’utilisent plus des noms de domaines suspects et ne font plus de fautes d’orthographe ou d’erreurs dans le symbole de la monnaie utilisée pour la transaction. En effet, les supercheries sont de mieux en mieux maquillées. Il est important de rester alerte, de s’accorder une pause pour réfléchir avant de cliquer sur une offre et, si un élément paraît étrange ou trop beau pour être vrai, d’user de méfiance, car il s’agit probablement d’une offre frauduleuse ou malveillante.

4. Il est préférable d’avoir recours à un gestionnaire de mot de passe. Même s’il s’agit d’un conseil fréquemment répété, peu d’utilisateurs font appel à cet outil très utile pour lutter contre le phishing. Il suffit à l’utilisateur de définir un mot de passe principal (qui doit être suffisamment fort et fiable) et l’outil générera lui-même des mots de passe au hasard, avant de les enregistrer et de les saisir sur les sites Internet correspondants, sans que l’utilisateur ait besoin de les mémoriser. De plus, si celui-ci accède à un site mensonger ou malveillant, le gestionnaire de mot de passe ne le reconnaîtra pas et n’entrera pas de mot de passe, ce qui permet de renforcer encore la sécurité.

5. Il est conseillé d’utiliser un filtre web et d’éviter le remplissage automatique des formulaires par les navigateurs. Les filtres web empêchent l’utilisateur de naviguer sur des sites Internet qui sont connus pour être à l’origine d’escroqueries, de campagnes de phishing ou de la diffusion de logiciels malveillants. De plus, il est important de savoir quelle quantité de données personnelles le navigateur a mémorisé à partir des sessions ou des authentifications précédentes. Supprimer la fonctionnalité « remplissage automatique des formulaires » sur le plus grand nombre de sites Internet possible empêchera les cybercriminels d’accéder librement aux données personnelles, aux mots de passe et aux informations de cartes de crédit de l’utilisateur.

关于 Sophos

Sophos 是全球领先的先进安全解决方案提供商和创新者,全面安全解决方案涵盖托管式侦测与响应 (MDR) 和事件响应服务,以及广泛的端点、网络、电子邮件和云安全技术。作为最大的纯网络安全厂商之一,Sophos 为全球超过 600,000 家企业和超过 1 亿用户提供防御主动攻击对手、勒索软件、网络钓鱼、恶意软件等威胁的保护。Sophos 的服务和产品通过 Sophos Central 管理控制台连接,并得到公司内部的跨领域威胁情报部门 Sophos X-Ops 的支持。Sophos X-Ops 情报优化整个 Sophos Adaptive Cybersecurity Ecosystem 自适应网络安全生态体系,包括一个中央数据湖,为客户、合作伙伴、开发人员和其他网络安全与信息技术供应商提供一组丰富的开放 API。Sophos为需要完全托管的安全解决方案的组织提供网络安全即服务。客户还可以直接利用 Sophos 的安全运行平台管理其网络安全,或者采用混合方法,为内部团队补充 Sophos 服务(包括威胁追踪与修复)。Sophos 通过世界各地的经销商合作伙伴和托管服务供应商 (MSP) 销售。Sophos 总部位于英国牛津。如欲了解更多信息,请访问 www.sophos.com