Capture de données personnelles : Dans la tête d’un pirate qui entend parler de la loi 64
Si vous connaissez peu la loi 64 sur la responsabilité des entreprises détenant des données personnelles, il est probable que le pirate ne la connaît pas plus. Dans tous les cas il est là pour contourner les lois.
Dans la tête du pirate se trouve un dogme fondateur « ne pas demander la permission »
La cybersécurité est une nécessité, mais difficile à populariser, car bien entendu le piratage du site web, cela n’arrive pas qu’aux autres !
Et pourtant… voici ce qui se passe dans la tête du pirate lorsqu’il navigue sur le web et qu’il passe devant votre site web de firme comptable, d’avocats, de clinique de chirurgie esthétique, de traiteur en ligne, de coach sportif, de conseiller financier, etc…
« Hum, hum… est-ce que site me donnerait accès à des données qui ont une valeur de revente ? »
Loin de nous l’idée que certains sites vitrines sont protégés par le peu de données qu’ils détiennent, car tout le monde est à risque, mais à risque relatif. Le pirate va en effet optimiser son temps et ses efforts, car il veut être productif. Il va s’autoriser à attaquer pendant 6 heures le site web d'une firme d’avocats, car il comprend la valeur des données qu’il pourrait capturer. Il ne consacrera que 30 minutes au site web du pâtissier-traiteur, car il y trouverait peu de choses.
Son but : saisir des données personnelles ou bien faire croire qu’il dispose de chemins d’accès. Dans les deux cas, l’effet sera le même : une atteinte à ce qui est le plus précieux pour votre entreprise : La confiance de vos clients ! Et c’est cette valeur émotive et concrète qui permet le chantage et l’extorsion.
Votre meilleure défense est de penser et d’agir comme lui, avec sa mentalité, son regard, ses outils et ses techniques. Parmi celles-ci : La capture des pages google non indexées, l’identification des hach, le décryptage par John ''The Ripper'' et autres moyens de visualiser votre mot de passe serveur. La cybersécurité classique est nécessaire, mais les tests d’intrusion réalisés par un pirate éthique ''white hat'' vous donneront l’heure juste et blinderont les portes vulnérables.
Nos cyber-enquêteurs fréquentent les forums des pirates enfouis dans le web, pas nécessairement Dark , afin de recueillir leurs techniques et objectifs. https://www.sarx.net/cybers%C3%A9curit%C3%A9
Revenons à la loi 64 :
D’ici moins d’un an, votre entreprise devra nommer un responsable des données personnelles et disposer d’un plan de divulgation et de réponses aux cyber-attaques. Cette loi impose bien des obligations supplémentaires aux entreprises selon un calendrier progressif, mais qui aboutit inéluctablement à la responsabilisation et à l’imputabilité des entreprises.
C’est une nécessaire loi de réaction ! Mais les pirates sont dans l’action et l’imagination. Donc deux solutions complémentaires : Les agences de cyber-enquête et les firmes-conseils en cyber-sécurité, et aussi une initiative gratuite fort utile.
CONSEIL NO 1
Intéressez-vous pirates, faites faire des tests réalistes sous la responsabilité d’une agence de cyber-enquête autorisée et détentrice d’un permis d’enquêteur, disposant de jeunes hackers éthiques (ou moins jeunes, pas d’âgisme sur le web).
CONSEIL NO 2
Utilisez aussi les firmes de cybersécurité qui vous permettent d’agir en fonction de vos besoins (repérez celles qui se présentent ainsi et ne font pas de survente) afin que plusieurs années d’efforts ne s’évaporent en un clic.
CONSEIL NO 3
Prenez l’initiative de faire savoir à vos clients que vous avez effectué des tests de piratages réalistes et que la cyber-sécurité n’est pas un vain mot dans votre entreprise, car vous avez formé vos équipes.
Et surtout n’oubliez que l’attaque de votre site web cela n’arrive pas qu’aux autres !