Dans le monde d'aujourd'hui, il est presque impossible d'imaginer une entreprise sans un certain type de connexion à Internet - site Web, courrier électronique, formation des employés, CRM (gestion de la relation client), CMS (système de gestion de contenu), etc. Il simplifie et accélère le processus de commande, la recherche de nouveaux clients, la recherche et la conservation des enregistrements, etc.
Certaines entreprises utilisent des solutions toutes faites, d'autres embauchent des professionnels pour créer des outils spécifiques à l'entreprise, et certaines choisissent de développer les logiciels nécessaires pour résoudre elles-mêmes leurs tâches quotidiennes. Avec le temps, chacun a son propre site web, e-mail, ses premiers clients sont entrés dans une base de données et les managers peuvent suivre les activités quotidiennes de l'entreprise. Malheureusement, une écrasante majorité des entreprises ignore complètement le fait que chaque serveur, chaque site Web, chaque adresse e-mail est une cible potentielle pour les pirates. L'excuse la plus fréquemment utilisée est: notre entreprise est trop petite, qui pourrait éventuellement être intéressé par nos données? En est-il vraiment ainsi?
Non. Ce type de réflexion est l'une des nombreuses erreurs qui rendent l'Internet moderne de plus en plus vulnérable. Les criminels «numériques» modernes ne réfléchissent pas trop à qui ils attaquent. Peu importe si vous avez votre propre boutique en ligne, un blog vidéo sur les chatons ou un forum de fans de hockey dans la banlieue du sud de la Floride.
La deuxième excuse populaire que de nombreuses entreprises utilisent pour ignorer leur vulnérabilité Web est: la sécurité Web est trop chère! Également une déclaration incorrecte. Le coût du pentesting commence à partir de 99 $ sur notre entreprise.
Pour montrer à quel point la présence sur Internet est vulnérable, nous avions installé un «pot de miel» (un tracker qui analyse et suit les activités des pirates) sur notre serveur sur un sous-domaine nouvellement créé. En 5 jours, nous avons enregistré plus de 40 000 numérisations dans plus de 30 pays. Environ un tiers de tous ces scans tentaient une infiltration. Permettez-moi de vous rappeler que l'adresse que nous avons utilisée a été nouvellement créée et n'a jamais été publiée!
Jetons un coup d'œil à des exemples de la façon dont une attaque de pirate peut se produire et quel impact cela peut avoir sur votre entreprise. Nous aborderons également les mesures que vous devez prendre pour prévenir l'attaque ou au moins minimiser votre exposition, y compris les conséquences juridiques (oui, l'attaque de pirates peut entraîner des problèmes juridiques pour vous et votre entreprise).
Exemple 1
L'entreprise A a créé un site Web de «cartes de visite» contenant des informations sur l'entreprise et un formulaire de commentaires. Ils ont développé ce site par eux-mêmes, sans la participation de concepteurs de sites Web. En conséquence, une erreur de validation des données a été commise: le site a envoyé une confirmation à l'adresse e-mail saisie avec le message suivant «M. / Mme X, merci pour votre message «voici le texte cité» ». Les pirates utilisaient la même forme de messages pour envoyer des liens vers des sites au contenu malveillant, en utilisant des adresses de la liste de spam comme expéditeurs. Le domaine a été bloqué en tant que courrier indésirable et il a fallu plusieurs jours pour déverrouiller et exclure le domaine des listes de spam des gros serveurs de messagerie.
Le problème a été identifié par nos experts à l'aide de tests automatisés pour 99 $ qui comprenaient un dépannage détaillé.
Exemple 2
La société B a commandé un site Web à une équipe de concepteurs de sites Web professionnels, a loué un serveur à un FAI et l'a installé. Un logiciel sous licence a été installé pour transférer les données. Plus tard, une plainte a été déposée concernant une analyse incohérente effectuée à partir de l'adresse IP du serveur de cette société. Le site Web de la société B a été immédiatement bloqué. Après pentesting, il a été découvert que le FAI n'a pas réussi à modifier le nom d'utilisateur et le mot de passe standard (admin / admin). Les attaquants ont pu facilement infiltrer le serveur et utiliser le logiciel de la société B pour des activités illégales.
Après que le serveur a été supprimé et réinitialisé, le fournisseur a autorisé une utilisation ultérieure du site Web. Le coût était de 349 $.
Exemple 3
La société C a développé un système de commande permettant aux clients de télécharger des données. Lors de la création d'un point d'accès, une erreur technique a été commise qui a permis aux pirates de voler toutes les données de tous leurs clients à l'aide d'une injection SQL. En conséquence, la société C a été mise hors service pendant une semaine, les pertes financières indemnisées à des dizaines de milliers de dollars. L'erreur technique susmentionnée a été découverte par notre société. Le coût du pentest était de 2 500 $.
Ce ne sont là que quelques exemples. Il existe des dizaines, voire des centaines, d'options d'attaque. Comme vous pouvez le voir dans ces exemples, cela aurait coûté beaucoup moins cher à ces entreprises pour empêcher une attaque de pirate que pour faire face aux conséquences d'un piratage.
Demandez aux experts quoi faire pour éviter les situations désagréables. Et rappelez-vous que, malheureusement, les systèmes invulnérables n'existent pas.