L’Agence Nationale de la Sécurité des Systèmes d’Informations – ANSSI – fait état d’une recrudescence de fraudes et d’escroqueries, particulièrement en ligne depuis l’épidémie de COVID-19. L’Etat et les autorités de contrôle ont donc créé un groupe de travail national appelé TASK-FORCE de lutte contre les fraudes et les escroqueries.
Afin de limiter et de se prémunir contre la recrudescence de ces fraudes et escroqueries, la TASK-FORCE propose un guide complet afin de faciliter la reprise d’activité des entreprises et des particuliers post-confinement. Il contient notamment des recommandations en matière de phishing, de vol de coordonnées bancaires ou de rançongiciels.
Très récemment, la CNIL a d’ailleurs été informée d’une violation de données concernant plusieurs versions non mises à jour des outils Pulse Secure, utilisés par de nombreuses structures pour la sécurisation des connexions au réseau via la création d’un réseau privé virtuel – VPN. En effet, une personne ayant exploité une vulnérabilité sur des versions non mises à jour des produits Pulse Secure, aurait publié des informations confidentielles sur plus de 900 entreprises – adresses IP de serveurs, clefs privées, liste d’utilisateurs, identifiants et mots de passe notamment – au début du mois d’août sur un forum spécialisé. Les détails de la vulnérabilité ainsi que les mises à jour logicielles ont été publiées par l’ANSSI et l’éditeur Pulse Secure.
Il est donc fortement recommandé par la CNIL mais aussi de manière plus générale de :
- régulièrement mettre à jour ses logiciels
- d’utiliser des mots de passe robustes et de les changer régulièrement
- de réaliser des audits de ses systèmes d’informations.
A ce titre, OPTIMEX DATA a mis en place, dans le cadre de ses missions DPO, des nouveaux outils permettant de vérifier la sécurité de vos systèmes d’informations avec l’aide de ses partenaires, telles que des campagnes de phishing et des scans de vulnérabilité notamment. Ces outils permettent notamment de simuler les attaques de robot et d’analyser les différentes failles de votre système et les risques y afférant. Ils permettent également de sensibiliser le personnel aux risques et plus particulièrement en matière de violation de données.
