10 façons de sécuriser les comptes de votre entreprise (White Ops)
Par Eric Clemenceau, Directeur du Développement Europe White Ops
L’une de nos valeurs fondamentales chez White Ops est d’être du côté du bien. Cela signifie que, nous essayons de faire pencher la balance en faveur du bien. Exposer les menaces et éduquer la communauté Internet au sujet de la cybercriminalité en font partie.
On nous demande souvent ce qui peut être fait pour se protéger contre la fraude au-delà des préoccupations liées au trafic non valide (IVT). Notre équipe d’experts en sécurité a proposé quelques bonnes pratiques qui contribueront à mieux sécuriser votre entreprise et vos clients. Ces mesures concrètes ne remplacent pas la nécessité d’une équipe de sécurité ou d’une technologie tierce de lutte contre les robots, mais elles peuvent vous apporter une sécurité supplémentaire pour lutter contre les attaques.
Les meilleures techniques de protection des comptes
Le Credential Stuffing, l’une des plus grandes préoccupations en terme de sécurité aujourd’hui, est l’accès des fraudeurs au nom d’utilisateur et au mot de passe des internautes pour accéder à leurs comptes.. Les criminels utilisent les informations d’identification obtenues lors de fuites de données pour accéder à des comptes qu’ils utilisent à leur propre avantage, généralement grâce à des botnets pour permettre du piratage de grande envergure. Une recommandation classique pour lutter contre le credential stuffing – que beaucoup d’entreprises ne suivent pas – est d’assurer une meilleure gestion des mots de passe.
De plus, les entreprises doivent former leurs employés et s’assurer qu’ils sont conscients des différents mécanismes utilisés pour voler des données d’identifications, tels que le phishing, les techniques sociales et le détournement de cartes SIM ; cependant, les entreprises doivent également lutter contre les attaques complexes grâce à des méthodes sophistiquées :
1. Si possible, exigez une authentification multi-facteurs (AMF).
2. Si des données d’identification valides sont saisies dans une région différente de celle où l’utilisateur a initialement créé le compte, exigez que l’utilisateur revalide le compte. Tenez à jour une liste de toutes les adresses IP ou zones validées, correspondant aux adresses de compte déclarées.
3. Si plus de trois à cinq tentatives de connexion échouent, verrouillez le compte pendant 24 heures et exigez sa revalidation.
4. Fixez un délai d’attente pour l’absence d’activité sur le compte. Revalidez à un seuil de 30/60/90 jours.
5. Exiger un numéro de téléphone pour valider sa connexion par un sms ou un appel téléphonique.
- Valider qu’il ne provienne pas d’un fournisseur de services VoIP(Voice Over Internet Protocol) basé sur le web (il existe des listes de numéros de téléphone VoIP et d’autres méthodes pour déterminer si un numéro est VoIP).
- Bloquez tous les numéros de téléphone jetables.
6. Bloquer les fournisseurs de messagerie électronique temporaire et leurs sites.
7. Renforcer les exigences relatives aux mots de passe en utilisant ces bonnes pratiques :
- Les mots de passe doivent comporter au moins 12 caractères, des majuscules et des minuscules, et des chiffres : n’oubliez pas que la longueur est plus importante que la complexité.
- Interdire les mots de passe simples tels que 12345678, “mot de passe”.
- Conseillez aux utilisateurs de recourir à un gestionnaire de mots de passe.
- Aider les utilisateurs à s’éloigner de la mentalité du “mot de passe” et à adopter une “phrase de passe”.
8. Recherchez les homophones de sites de votre marque pour identifier les sites de phishing (par exemple, si votre site est example[.]com, cherchez examp1e[.]com ou example[.]co).
9. Exploitez une solution qui trouve et signale les informations d’identification compromises ou qui évalue le comportement des utilisateurs sur les applications web pour identifier les tentatives de connexion automatisées.
10. Activer des jetons à durée limitée pour l’accès à l’API et imposer la rotation de nouvelles clés API chaque mois.
- Il existe des méthodes pour que cela soit régénéré automatiquement sans qu’un utilisateur ait besoin de le faire manuellement.
- Si possible, créez une liste blanche d’adresses IP pour accéder à votre API.
- Ayez jusqu’à trois adresses IP qu’un utilisateur peut spécifier dans les paramètres de son compte.
Si vous souhaitez aller plus loin, nous vous suggérons :
- Assister aux formations et aux événements de la National Cyber-Forensics and Training Alliance (NCFTA).
- Développer des relations avec les plateformes de médias sociaux pour identifier les comptes compromis.
- Établissez des partenariats avec de grands fournisseurs de messagerie électronique pour détecter les tentatives d’usurpation ou de hameçonnage de votre base client.
Il ne s’agit pas d’une liste exhaustive d’options, mais plutôt de plusieurs solutions simples et solides que vous pouvez mettre en œuvre pour vous protéger. Ces solutions ne permettront pas de stopper la totalité des attaques ou fraudes ; elles devraient toutefois contribuer à les réduire de manière significative. En renforçant vos défenses, vous protégerez mieux votre entreprise et vos clients.
Bonne chance, soyez du côté du bien, et “keep it human”.