Guide de survie Cyber sécurité

Ce guide se concentre sur les bases: Comment réduire la vie vraiment importante altérant les risques auxquels nous sommes confrontés à partir du domaine cyber.

Il s’agit d’un «cyber sécurité survie guide». Je vais commencer par vous donner une idée claire de l’état actuel de la cybersécurité. Alors je vais vous aider à prioriser ce que vous devriez protéger. Dans ce guide édité par Wordfence, on se concentre sur les plus grands risques auxquels nous sommes tous confrontés. C’est, après tout, un guide de survie. Enfin, je vais expliquer comment réduire le risque pour chaque catégorie.

J’ai écrit ce guide pour être aussi lisible que possible. Il est conçu pour être partagé avec vos amis et votre famille moins techniques. La majeure partie de ma journée est consacrée à protéger les sites Web de nos clients de l’attaque. Aujourd’hui, je me concentre sur la plus grande image, les bases importantes, comme la protection de votre sécurité physique et vos moyens financiers de base.

« Si vis pacem, para bellum. » ~ Vegetius. Vers le IVe siècle.

Traduction: Si vous voulez la paix, préparez-vous à la guerre.

L’environnement hostile de cyber-sécurité dans lequel nous nous trouvons aujourd’hui pourrait effrayer les prédictions les plus cyniques d’il y a une décennie. Ce guide améliorera la posture de sécurité de toute personne qui a une présence en ligne, ce qui signifie aujourd’hui tout le monde. En outre, aujourd’hui est «Safer Internet Day», c’est donc notre contribution à l’amélioration de la sécurité de la communauté en ligne.

L’état de la cybersécurité

Vos données ont une chance de 2 en 3 d’avoir déjà été volé et il sera volé encore et encore. Peu importe si vous utilisez des mots de passe sécurisés et que l’authentification à deux facteurs est activée sur vos comptes. Ce n’est pas grave si vous êtes vieux ou jeune, homme ou femme, dans quel pays vous êtes basé ou dans quels services vous utilisez et quelles entreprises vous faire des affaires avec.

À différents moments de votre vie, vos données seront volées. Et il sera vraisemblablement volé à plusieurs reprises.

Aujourd’hui, 64% des Américains ont déjà été volé leurs données par des brèches de données. C’est presque 2 sur 3 personnes. Ce pourcentage tend rapidement vers 100% de la population aux États-Unis seulement.

Au cours des 3 dernières années, nous avons vu la première violation de données de plus d’un milliard de comptes d’utilisateurs avec la brèche de Yahoo. Cette violation a affecté 1 sur 7 personnes sur la planète Terre. Aux États-Unis, la violation de l’OPM a vu voler les données de nos principaux espions, y compris leurs empreintes digitales, leurs données personnelles et leurs réponses à des questions très personnelles lors d’une entrevue à l’aide d’un détecteur de mensonges. Même nos services de renseignement ne peuvent protéger des données hautement confidentielles du personnel.

Des données ont été volées dans des centaines de millions d’enregistrements d’entreprises privées, d’agences de renseignement et de militaires. Même les entreprises qui sont des experts en matière de sécurité ont également été volées.

Les données qui ont été volées comprennent les noms d’utilisateur, les mots de passe, les adresses électroniques, les numéros de sécurité sociale, les données biométriques, les dossiers médicaux et plus encore.

Comment les données sont volées? :  adresses, numéros de sécurité sociale, données biométriques, dossiers médicaux et plus encore.

Même si vous utilisez un mot de passe fort, une authentification à deux facteurs et les meilleures pratiques de sécurité, vos données seront toujours volées parce que les entreprises dont les services vous utilisez dans certains cas ne protégeront pas leurs propres réseaux.

La tendance à ce stade est indéniable et le bilan jusqu’ici l’indique clairement: les entreprises et les organisations gouvernementales sont violées à un rythme croissant et les violations sont de plus en plus sévères.

Si vous souhaitez une représentation visuelle qui illustre ce point, visitez dataisbeautiful.com et jetez un oeil à leur graphique graphique bulle affichant des violations depuis 2004. Comme vous faites défiler à travers les années, les bulles deviennent plus grandes et plus abondantes jusqu’à ce qu’ils se fondent simplement L’un et l’autre.

graphique bulle affichant des violations depuis 2004

Prioriser ce que nous devons protéger en tant qu’individus

Si les ruptures de données sont la nouvelle normale et si vous acceptez la prémisse qu’ils sont inévitables et inévitables, le problème que nous devons résoudre dans nos vies personnelles et commerciales devient «Comment puis-je réduire le risque et l’impact d’une violation?

Il est utile de commencer cette conversation en donnant la priorité à ce que nous devons protéger. Encore une fois, dans ce post je me concentre sur les choses vraiment importantes et les gens dans nos vies. Par ordre d’importance, dans le domaine cybernétique, nous devons protéger:

  1. Des informations sur nous qui peuvent aider les criminels à nous cibler dans le monde réel.
  2. Nos moyens financiers. En d’autres termes, les comptes d’épargne, la capacité d’emprunt et nos actifs.
  3. Des renseignements personnels sensibles comme des dossiers médicaux, des données fiscales et d’autres données privées.
  4. Notre capacité à gagner un revenu grâce à notre réputation et notre capacité à fournir des produits ou des services, y compris notre propre travail, à d’autres.
    La liste ci-dessus est, à mon avis, par ordre d’importance.

Je pense que nous sommes tous d’accord que notre sécurité personnelle et la sécurité physique de ceux qui nous préoccupent est le numéro un sur la liste. La plupart des éléments de cette liste sont des éléments qui peuvent être corrigés ou récupérés. Une vie humaine est irremplaçable. Réduire le risque de ciblage du monde réel par les criminels à travers le domaine cyber est donc au sommet de la liste.

Les moyens financiers sont deuxièmement parce que sans votre épargne et votre revenu, vous n’avez pas la capacité de nourrir, de vêtir et de vous loger et votre famille. Si votre compte d’épargne est vidé, vous pouvez littéralement vous retrouver sans abri, sans la capacité de vous débrouiller.

Les données personnelles sensibles figurent au troisième rang de la liste. La divulgation de données médicales sensibles, par exemple, peut endommager ou affecter irrémédiablement la vie de certaines personnes. Ce n’est pas quelque chose qui peut être réparé ou défait.

Quatrièmement sur la liste est notre capacité à gagner un revenu. Si vous n’êtes pas en mesure de gagner un revenu ou d’endommager votre réputation, votre qualité de vie et celle de votre famille sera sévèrement touchée.

Prévenir un ciblage réellement mondial via « Cyber »

Dans la plupart des pays développés, il est rare d’entendre des histoires de ciblage réel des individus à travers l’information qu’ils ont «fuite» dans le domaine cybernétique. La majeure partie du monde se développe encore économiquement et présente une forte disparité dans la répartition de la richesse. La réalité dans de nombreux pays qui se développent encore est que la criminalité est nettement plus élevée que les pays développés comme les États-Unis, l’Australie ou le Royaume-Uni, par exemple.

L’enlèvement pour la rançon, le vol de voiture et le vol est une réalité dans de nombreuses parties du monde. Afin de réduire votre propre risque d’être ciblée si vous êtes dans un environnement à haut risque, je suggère ce qui suit:

Ne jamais faire étalage des articles de grande valeur en ligne, y compris les voitures et les bijoux.
Partagez votre emplacement en termes généraux et si vous souhaitez partager un emplacement spécifique, faites-le après avoir quitté cet endroit.
Ne partagez pas les renseignements qui peuvent indiquer quand vous avez été payé.
Pensez à rendre les profils sociaux accessibles uniquement aux personnes que vous avez approuvées. Votre profil social peut fournir à quelqu’un avec suffisamment de données pour vous donner l’impression qu’ils vous connaissent ou sont un ami d’un ami.
Si vous travaillez dans un emploi bénéficiant d’un accès privilégié ou d’un accès à des données sensibles, évitez de divulguer votre employeur et votre poste. Cela comprend la divulgation sur des sites Web publics comme LinkedIn.

Protéger vos moyens financiers

Dans cette section, je ne suis pas concerné par la fraude par carte de crédit. Ce risque tombe sur le vendeur et les transactions peuvent être inversées. Au lieu de cela, je suis concentré sur le genre de risque qui peut avoir un impact permanent sur votre bien-être financier à long terme.

Si un attaquant est en mesure d’autoriser un virement bancaire de votre compte d’épargne, il peut vider votre compte bancaire et les fonds ne seront peut-être jamais récupérables. Ce risque s’applique aux comptes d’épargne, aux comptes chèques et aux placements tels que les comptes de courtage et les comptes du marché monétaire.

Si elles sont capables d’emprunter en votre nom, il peut endommager en permanence votre pointage de crédit et votre capacité à emprunter de l’argent pour acheter une maison, par exemple.

Je suggère de prendre les mesures suivantes pour réduire le risque de fraude financière à grande échelle:

Faites une liste des comptes d’épargne et des comptes de placement. Vérifiez chaque compte pour déterminer comment vous prouver votre identité lors du transfert de fonds et obtenir une compréhension claire de ce qu’un attaquant aurait besoin de faire pour commettre une fraude sur chaque compte. Communiquez avec les banques, les maisons de courtage et les prêteurs si nécessaire pour obtenir les données dont vous avez besoin.
Mettre en œuvre toute sécurité supplémentaire que votre banque fournit. Cela peut inclure:
Un rappel à un nombre prédéterminé,
Autorisation de plusieurs parties requise avant le transfert des fonds,
Authentification basée sur deux facteurs ou matériel et
Limiter la taille des transactions lorsque vous n’êtes pas en personne pour effectuer la transaction.
Votre banque peut également fournir des alertes en temps réel lorsqu’une transaction est traitée.
Surveillez vos relevés de compte chaque semaine pour une activité non autorisée. Faites de cette routine.
Si vous êtes aux États-Unis, placer un gel de crédit sur votre rapport de crédit. Cela restreint l’accès à votre rapport de crédit et rend difficile pour les voleurs d’ouvrir de nouveaux comptes en votre nom qui leur permet d’emprunter de l’argent que vous. Vous pouvez avoir une option similaire dans votre propre pays si vous ne vivez pas aux États-Unis.
Également aux États-Unis, vous pouvez placer une alerte de fraude sur votre rapport de crédit. Cela dure 90 jours et oblige une entreprise à vérifier votre identité avant d’émettre un crédit à votre nom. Vous pouvez renouveler l’alerte de fraude tous les 90 jours. En dehors des États-Unis, vous pouvez constater que votre propre pays dispose de protections similaires disponibles qui empêchent l’emprunt non autorisé.
Dans tous les cas ci-dessus, si vous pouvez choisir un mot de passe, utilisez un mot de passe complexe et utilisez un gestionnaire de mots de passe comme 1Password pour stocker et gérer vos mots de passe longs et complexes.

Protection des données sensibles à votre sujet

Les données sensibles que vous devez protéger peuvent inclure des dossiers médicaux, des renseignements fiscaux et votre propre numéro de sécurité sociale. Il y a deux façons étonnamment faciles que vous pouvez aider à protéger vos propres données personnelles.

Tout d’abord, essayez d’éviter de créer des données vous concernant. S’il n’existe pas, il n’a pas besoin de protection. Vous trouverez souvent des formulaires qui vous demandent votre numéro de sécurité sociale ou l’équivalent. La plupart des formulaires que je rencontre demandant cela ne nécessitent pas réellement cette information. Je n’y entre pas et je reçois rarement une plainte. Ignorer les formulaires facultatifs et les champs de formulaire facultatifs. Lorsque vous saisissez des données sensibles, vérifiez si elles sont obligatoires ou facultatives.

Deuxièmement, la meilleure façon de protéger les données est de le supprimer. Encore une fois, s’il n’existe pas, il n’a pas besoin de protection. Si vous avez des données anciennes sur un poste de travail sensible mais que vous n’avez pas besoin de conserver, supprimez-les et videz-les pour supprimer définitivement les données. Si vous avez des anciennes bases de données sur les serveurs dont vous n’avez pas besoin mais qui présentent un risque, les supprimer. Ne stockez pas les données sensibles.

Si vous devez stocker et protéger des données sur vos propres systèmes, utilisez le cryptage du disque dur s’il est disponible pour votre système d’exploitation. Mot de passe protéger vos appareils, y compris votre téléphone cellulaire, tablettes, ordinateurs portables et postes de travail. Utilisez des codes, des gestes ou des mots de passe complexes.

Dans le domaine médical, il est difficile de protéger vos données. Vous ne contrôlez pas où les données sont stockées et qui y a accès. Les données médicales peuvent être largement partagées entre les fournisseurs, ce qui crée une surface d’attaque importante avec de nombreux points d’entrée potentiels. Actuellement, la meilleure approche est de faire de votre mieux pour éviter de créer des données sur vous-même en premier lieu.

Protéger votre capacité à gagner un revenu et votre réputation

La plupart d’entre nous comptons sur l’infrastructure informatique d’une certaine façon pour gagner notre vie. Que vous soyez architecte, photographe ou programmeur, il est important que vous sécurisiez les systèmes que vous utilisez. Voici quelques conseils pour sécuriser vos propres systèmes et les services que vous utilisez:

Si vous publiez un site Web WordPress, installez un scanner de logiciels malveillants et un pare-feu comme Wordfence pour empêcher les pirates et détecter toute intrusion.
Utilisez un gestionnaire de mots de passe comme 1Password pour générer et stocker automatiquement des mots de passe complexes et longs pour chaque système auquel vous accédez. De cette façon, si un fournisseur subit une violation de données, vos autres comptes ne seront pas compromis.
Sécurisez vos téléphones, tablettes et stations de travail en utilisant le cryptage de disque disponible sur les postes de travail et utilisez des mots de passe complexes, des codes ou des gestes qui sont nécessaires pour accéder.
Évitez d’ajouter des données aux systèmes et services dont vous n’avez pas besoin. Encore une fois, la meilleure façon de protéger les données est de le supprimer ou de ne pas le créer en premier lieu.
Activer l’authentification à deux facteurs sur tous les services que vous utilisez.
Pensez à utiliser un YubiKey pour les services en nuage. Un YubiKey est un périphérique matériel d’authentification à deux facteurs. Un nombre croissant de fournisseurs de nuages ​​prennent en charge l’authentification matérielle. Activez cela où vous le pouvez. L’adoption de YubiKey augmente rapidement à mesure qu’elle devient plus populaire.
Gardez les disques de sauvegarde dans un endroit sûr et détruisez leurs données si elles ne sont plus nécessaires. Ne jettez jamais simplement des lecteurs de sauvegarde ou des périphériques dans la poubelle. Ils doivent être essuyés en utilisant un logiciel d’essuyage de lecteur sécurisé.

Protéger votre réputation

Si vous utilisez les médias sociaux, ne jamais simplement «Partager» ou retweet poste de quelqu’un d’autre jusqu’à ce que vous avez bien lu, compris et comprendre tout contexte autour d’elle. Si vous partagez accidentellement quelque chose qui est très controversé sans comprendre pleinement ce que vous partagez, vous pouvez trouver votre réputation professionnelle gravement endommagé.

Sécurisez tous les comptes de médias sociaux que vous possédez. Si votre compte est piraté, il peut être utilisé pour le spam qui pourrait endommager votre réputation en ligne.

Sécurisez tous les sites Web que vous possédez. Si votre site Web est piraté, il va endommager votre classement des moteurs de recherche et enflammer vos clients si leurs données sont volées. Cela peut avoir un impact important sur votre réputation. Si vous utilisez WordPress, installez Wordfence qui aidera à prévenir un hack.

Assurez-vous que vos comptes de messagerie sont sécurisés. Si votre compte de messagerie est compromis, votre liste de contacts est également compromise. Cela signifie généralement que vos contacts reçoivent des courriels de phishing qui essaient également de pirater leurs comptes de messagerie. Ils peuvent également recevoir du spam. Cela nuira à votre réputation parmi vos contacts. Brian Krebs a une excellente écriture sur la valeur d’un compte de messagerie piraté.

Lorsque vous installez des applications sur votre smartphone, évitez d’installer des applications agressivement virales. Certaines applications accèdent à votre liste de contacts et peuvent SMS, message privé ou par courrier électronique à vos contacts un message de votre part qui suggère qu’ils s’inscrivent également pour le service. Ces messages peuvent être exaspérants et ne contribueront pas à votre réputation auprès de vos amis et collègues. Lorsque vous installez une nouvelle application, pensez avant de cliquer.

Conseils et techniques supplémentaires

Comment éviter l’ingénierie sociale

Le génie social est ce qui se produit quand quelqu’un vous téléphone et prétend être une organisation ou une personne que vous avez confiance. Ils vont essayer d’obtenir des informations sensibles hors de vous, y compris les mots de passe, les noms d’utilisateur et une description des systèmes auxquels vous avez accès.

Ce type d’attaque est commun et est utilisé pour commettre une fraude de remboursement d’impôt. Il est également utilisé pour accéder à vos comptes bancaires. Vous trouverez même des attaquants essayant d’accéder à votre poste de travail en vous disant qu’ils ont trouvé quelque chose de mal et en vous demandant d’installer leur logiciel pour le corriger.

Pour éviter l’ingénierie sociale, vous pouvez utiliser une technique simple. Habituellement, la personne va prétendre qu’ils sont d’une entreprise ou une organisation de bonne réputation. Il suffit de raccrocher, de trouver le numéro central de l’organisation, de rappeler et de demander cette personne ou quelqu’un dans le même rôle.

Ne laissez pas la personne qui vous a appelé fournir le numéro que vous rappeler. Au lieu de cela, trouver le numéro central via Google ou ailleurs en ligne et appeler à la place. Si c’est un agent de l’IRS, appeler l’IRS vous-même. Utilisez cette technique n’importe comment amical, poli, agressif ou effrayant la personne à l’autre extrémité de la ligne est.

L’utilisation de la méthode de rappel est un moyen efficace de contourner l’ingénierie sociale.

Comment éviter le Phishing and Spear Phishing

L’hameçonnage est quand quelqu’un vous envoie un email qui ressemble à ce qu’il est venu d’une banque ou d’un service de confiance. Ils essaient de vous faire ouvrir une pièce jointe qui compromet votre appareil ou de cliquer sur un lien Web et de vous connecter à un site Web malveillant.

Spear phishing est le même que le phishing, sauf que le courrier électronique que vous recevez est spécialement conçu pour vous. L’attaquant vous a bien étudié et sait qui sont vos amis, votre famille et vos associés. Ils peuvent savoir qui vous travaillez et ce que vous travaillez. Le courrier électronique d’hameçonnage reçu dans le cadre d’une campagne de phishing lancée est beaucoup plus authentique, semble provenir de quelqu’un que vous connaissez et peut se référer à quelque chose sur lequel vous travaillez. Les attaques de phishing Spear ont un taux de réussite beaucoup plus élevé.

Pour éviter les campagnes d’hameçonnage, suivez ces deux règles simples:

N’ouvrez jamais une pièce jointe à moins que vous soyez 100% sûr que quelqu’un de confiance vous l’a envoyé. En cas de doute, téléphonez-les pour vérifier qu’ils vous ont envoyé le fichier.
Ne cliquez jamais sur un lien de site Web à moins que vous soyez sûr à 100% que la personne ou l’organisation qui vous l’a envoyé est une personne de confiance. Lorsque vous ouvrez le lien, vérifiez la barre d’emplacement de votre navigateur en haut pour ce qui suit:
L’emplacement doit commencer par https: //
La partie après https: // doit être le nom de domaine d’une organisation en qui vous avez confiance. Par exemple, il devrait dire paypal.com et non paypal.com.badsite.com. Tout, de la première barre oblique à la barre oblique finale dans l’emplacement doit être un nom que vous avez confiance.
La partie https: // doit être verte si vous utilisez Chrome et elle doit également indiquer « Secure » à gauche.
Si vous recevez un courrier électronique qui vous rend suspect de quelque façon que ce soit, ne cliquez sur aucun élément, n’ouvrez pas les pièces jointes et ne répondez pas à l’e-mail. Au lieu de cela, communiquez avec la personne ou l’organisation qui l’a envoyée et demandez-lui de quoi il s’agit.

Certaines des plus grandes violations de données sont dues à des attaques de hameçonnage par lance et le coût moyen d’une attaque de hameçonnage réussie est de 1,6 million de dollars.

Utiliser un gestionnaire de mots de passe

J’ai mentionné 1Password plusieurs fois dans cet article comme un exemple de gestionnaire de mots de passe qui vous aide à utiliser des mots de passe uniques dans tous les services que vous utilisez. L’utilisation de mots de passe longs, complexes et uniques est l’une des choses les plus efficaces que vous pouvez faire pour vous protéger contre de futures violations de données.

Il y a un argument que tous vos « oeufs » sont dans un panier lorsque vous utilisez un gestionnaire de mots de passe. Cependant, parmi les professionnels de la sécurité, il est largement admis que ce risque est compensé par l’avantage d’être capable d’utiliser de manière fiable des mots de passe complexes uniques entre les services.

Ne créez pas de données dont vous n’avez pas besoin, supprimez les données dont vous n’avez pas besoin

Je l’ai mentionné plus tôt dans le post, mais il faut répéter: pour vous protéger contre les futures violations des données, éviter de créer des données que vous n’avez pas à et supprimer les données dont vous n’avez pas besoin.

La suppression de données inclut tous les profils sur les sites Web que vous n’utilisez plus. Si vous êtes sur un site de médias sociaux que vous n’utilisez pas, supprimez votre profil. La récente rupture de MySpace qui a été annoncée est un excellent exemple. Beaucoup de gens n’utilisent plus le service, mais l’année dernière une brèche de MySpace a été annoncée qui a touché plus de 300 millions de comptes.

Utilisez des sauvegardes pour vous protéger contre les demandes de rançon.

Une dernière astuce. Ransomware est un logiciel malveillant qui crypte votre disque dur entier et vous oblige à payer un pirate pour récupérer vos données. Malheureusement, cette attaque est très efficace et beaucoup de gens paient pour récupérer leurs données, y compris les grandes organisations. Deux tiers des entreprises qui tombent victimes de ransomware effectivement payer la rançon.

Utilisez des sauvegardes pour vous protéger contre une attaque par rançon. Assurez-vous que vos sauvegardes ne sont pas connectées à l’ordinateur que vous essayez de protéger une fois les sauvegardes terminées ou le rançon peut également chiffrer votre lecteur de sauvegarde.

Crashplan est un service de sauvegarde de nuages qui peut vous protéger contre le ransomware. Nous n’avons aucune relation commerciale avec eux, mais nous avons entendu de bonnes choses.

Aidez les amis et la famille à rester en sécurité

J’espère que ce guide de survie cyber sécurité améliore votre posture de sécurité en ligne. Je l’ai tenu aussi lisible et accessible que possible afin que le guide soit utilisable par des lecteurs techniques et non techniques. Vous pouvez aider à améliorer la sécurité en ligne et hors-ligne en partageant ceci avec les amis et la famille qui peuvent bénéficier en le lisant.

Restez en sécurité!