Comment le RGPD a-t-il changé le terrain de jeu de la cybersécurité ?

Les violations de données sont toujours monnaie courante - même depuis l'entrée en vigueur du Règlement général sur la protection des données (RGPD). Les entreprises ont encore du pain sur la planche pour protéger les données de leurs clients. Qu'avons-nous appris des 12 derniers mois et comment l'industrie peut-elle s'améliorer à l'avenir ?

2018 devait être un tournant pour la confidentialité des données. Il y a un peu plus d'un an, le GDPR a été introduit par l'Union européenne pour mieux protéger les données des consommateurs et inciter les marques à être plus responsables de la confidentialité et de la protection des données.

Alors que les entreprises se précipitaient pour se mettre en conformité, il est rapidement devenu évident que cela allait être un processus douloureux pour les propriétaires de données qui sous-estimaient l'ampleur de la tâche que le RGPD présentait.

Un an plus tard, la plupart des entreprises semblent convaincues qu'elles sont conformes - ou du moins disent qu'elles le sont. Cependant, au cours des douze derniers mois, certaines des entreprises les plus connues au monde ont été critiquées pour de mauvaises pratiques en matière de données et des violations importantes - malgré un examen plus approfondi de la collecte, du stockage et de la protection des données.

Prenez le site Web américain de questions et réponses, Quora, par exemple. Le PDG Adam D'Angelo a révélé que les données des utilisateurs avaient été compromises par un tiers qui avait obtenu un accès non autorisé à l'un de ses systèmes en novembre 2018. Les pirates ont volé les noms, e-mails, mots de passe cryptés et autres données de 100 millions d'utilisateurs des réseaux sociaux qui ont été importés. . Ce fut une crise de réputation massive et a eu un effet profond sur la confiance des clients.

Quora, cependant, n'était pas une valeur aberrante l'année dernière. Ce n'était que la pointe de l'iceberg, de nombreuses entreprises subissant des attaques à grande échelle, notamment Facebook, Ticketmaster et Vision Direct, ce qui nuit encore davantage à la confiance des consommateurs dans les marques à tous les niveaux.

Aucune entreprise ne souhaite subir une violation de données ou mettre en danger les informations personnelles identifiables (PII) de ses consommateurs, mais même maintenant, de nombreuses organisations ne font pas assez pour empêcher une violation de données ou une violation du RGPD. Alors, qu'avons-nous appris au cours de la dernière année et comment l'industrie peut-elle s'améliorer à l'avenir ?

Les hackers ont redoublé d'efforts pour identifier les maillons faibles

Alors que la nouvelle réglementation a mis en lumière les pratiques en matière de données et contraint les entreprises à utiliser de nouveaux processus, elle n'a pas dissuadé les pirates. Au cours des six derniers mois seulement, nous avons vu encore plus de cybercriminalité.

Magecart est l'un des groupes les plus connus, générant titre après titre en injectant des logiciels malveillants d'écrémage de carte de crédit dans les sites Web et en volant les détails de paiement des clients - des codes CVV aux noms et adresses. Mais ne vous laissez pas berner en pensant que ces pirates ne ciblent que les grands acteurs du commerce électronique. Ce mois-ci, le groupe a ciblé le site Web d'abonnement de Forbes, injectant au site un code JavaScript Magecart sur sa page de paiement.

Pour de nombreuses organisations, l'augmentation des attaques de sites Web est une source de préoccupation et les menaces ne font que gagner en sophistication - les pirates deviennent de plus en plus intelligents. Notre nouvelle étude a révélé que près de 90 % des cadres sont soit préoccupés, soit très préoccupés par l'augmentation des violations très médiatisées. Les commentateurs affirment que ces gangs de cybercriminels développent des solutions d'intelligence artificielle pour infiltrer les défenses des entreprises à grande échelle. Ils ont raison de s'inquiéter car c'est certainement quelque chose que nous pouvons nous attendre à voir davantage à l'avenir.

De nombreux pirates informatiques ciblent des entreprises qui n'ont pas mis en place de mesures de sécurité fondamentales. Par exemple, la protection peut signifier surveiller les technologies tierces non autorisées qui sont actives sur le site Web d'une entreprise. Les organisations doivent apprendre à leurs dépens qu'elles doivent avoir une vision globale de la chaîne d'approvisionnement de leur site Web, car ce n'est qu'alors qu'elles sont en mesure de comprendre où se situent les vulnérabilités potentielles. Les défenses des données des entreprises ne sont finalement aussi solides que le maillon le plus faible de leur chaîne d'approvisionnement.

Pour être en sécurité, les entreprises doivent abattre les murs qu'elles ont construits

Les sites Web et les applications confiés aux équipes marketing peuvent présenter un angle mort pour les équipes informatiques et de sécurité, car leur objectif principal est traditionnellement les serveurs et l'infrastructure. Or, c'est sur ces plateformes marketing que les consommateurs confient leurs données.

De nombreuses entreprises ont manqué de sécurité en raison de cette confusion autour de la propriété et du manque de visibilité de la chaîne d'approvisionnement du site Web. C'est quelque chose que Ticketmaster a découvert lors d'une brèche l'année dernière, où des pirates ont ciblé des fournisseurs tiers et injecté du code JavaScript malveillant sur la page de paiement. Tel est le point commun de cette menace, nous avons récemment constaté que 79,5 % des cadres reconnaissent que l'intégration de technologies tierces dans un site Web augmente le risque de fuite de données.

Les organisations commencent à comprendre les graves implications de ne pas avoir cette vision globale, mais il reste encore du travail à faire. La mise à niveau et la création d'équipes hybrides sont essentielles pour garantir que cette vision holistique de la sécurité est possible.

Sans défenses Web, les entreprises mènent une bataille perdue d'avance

Un an plus tard, nous tapons toujours sur le même tambour, mais il est essentiel que les organisations écoutent et agissent en matière de sécurité des sites Web. La seule façon pour les entreprises d'atténuer le risque de violation est de faire preuve d'une diligence raisonnable approfondie et de mettre en œuvre les bonnes précautions - de la sélection d'une bonne équipe à l'investissement dans des solutions technologiques.

L'ampleur des menaces à travers le paysage est un signe clair et évident de ce que les entreprises risquent de ne pas faire. L'institut AV-TEST a signalé que 856 millions de variantes de logiciels malveillants ont été créées rien que l'année dernière et que ce chiffre augmentera dans les mois à venir.

En fin de compte, il ne faudra pas longtemps aux cybercriminels pour identifier les lacunes d'une plate-forme numérique, en particulier celle où les entreprises n'ont pas exigé que des systèmes de sécurité rigoureux soient mis en œuvre et constamment mis à jour.

Le GDPR a révélé des problèmes dont de nombreuses entreprises n'étaient même pas conscientes - et d'autres lois de l'UE telles que la deuxième directive sur les services de paiement (PSD2) révéleront probablement encore plus de révélations. Ceci, à long terme, est une bonne chose pour les propriétaires de données et aussi pour leurs clients.

Ce sont les entreprises qui sont les gardiennes des données clients et cette responsabilité doit être plus largement acceptée pour prévenir les piratages et aligner les équipes pour atténuer les risques. Ceux qui ne le feront pas deviendront les prochaines victimes de violation de données et subiront plus de conséquences qu'une simple amende lourde.