« L’exploitation des médias sociaux – les escroqueries Facebook en particulier – a officiellement pris la couronne de la méthode la plus couramment utilisée dans le réseau d’une organisation », selon un blog de ZeroFox, citant le rapport de sécurité de mi-année 2015 de Cisco.
Comme je l’ai dit à qui veut l’entendre, la cybersécurité est les défi de notre époque, et les spécialistes du marketing doivent le prendre au sérieux.
Pour recueillir et transmettre la cyber-intelligence, j’ai interviewé Joseph Schramm, vice-président des alliances stratégiques chez Beyond Trust, une entreprise mondiale de cybersécurité dédiée à l’élimination proactive des violations de données dues à l’abus de privilèges d’initiés et aux attaques de piratage externes.
Comment la cybersécurité est-elle devenue la responsabilité du marketing ?
Le marketing collecte des tonnes de Big Data et – en termes simples – si des acteurs malveillants accèdent à vos données, votre marque peut être ternie.
« Les CMO sont chargés de la gestion de la marque, et la réputation d’une marque est susceptible d’être l’atout le plus visiblement endommagé à la suite d’une violation. De même, le marketing basé sur les données est alimenté par la confiance des clients. La préparation, la protection et la réactivité sont essentielles pour contenir les dégâts et préserver cette confiance.
Les enjeux cyber sont plus élevés que jamais, et nous ne parlons plus seulement d’informations personnelles et d’usurpation d’identité. Les secrets d’entreprise de haut niveau, les infrastructures vitales et l’image de marque sont constamment attaqués. » – Steve Durbin, directeur général, Information Security Forum (ISF).
Vous avez peut-être déjà entendu que la majorité des menaces à la sécurité viennent de l’intérieur – vos propres employés sont les plus susceptibles de mettre en péril votre cybersécurité, soit par naïveté, soit parce qu’ils sont des pommes pourries.
Une étude récente de Trend Micro a révélé qu’« environ 3 % des employés donneraient des informations sur une entreprise privée pour seulement 155 $ ».
Source : Intelligence de sécurité via IBM.
Bien sûr, la liste des attaques malveillantes externes (représentant environ un quart de toutes les violations) s’allonge, y compris le phishing, le piratage, l’imitation, la fraude au clic, la publicité malveillante et la prochaine chose dont vous n’avez pas encore entendu parler.
Citer Steve Durbin encore une fois :
« Avec l’utilisation, l’intégration et l’interconnexion accrues des appareils mobiles, le périmètre du réseau est flou et poreux, ce qui complique les efforts de sécurité. Les spécialistes du marketing doivent intégrer des cadres de sécurité dans leurs plans marketing stratégiques et déterminer comment solliciter et fournir des informations précieuses sur les clients en toute sécurité. »
Par conséquent, j’appelle la gestion de la marque et de la réputation l’une des principales responsabilités du marketing en 2016. Protégez les données de vos clients et ne finissez pas dans l’actualité pour de mauvaises raisons.
Alors, que peut-on faire?
Bien sûr, la nomination d’un Chief Security Information Officer (CSIO) est excellente si vous en avez les ressources, et la collaboration entre les fonctions exécutives est indispensable. Mais les entreprises de toute taille peuvent créer une culture de sécurité en éduquant leurs employés sur les cybermenaces (en constante évolution) et en limitant les privilèges d’administrateur aux données sensibles.
.png)
Le marketing basé sur les données a été un moteur clé de la différenciation concurrentielle via une expérience client améliorée, mais cela signifie également que les spécialistes du marketing collectent, stockent et accèdent à plus de données que jamais, et en tant que tel, le marketing est devenu une cible importante pour les attaques de pirates.
Personnellement, je ne vois pas de voie à suivre sans utiliser la technologie et les services pour protéger la réputation d’une marque, même si cela peut être une perspective intimidante pour de nombreuses entreprises. Si quoi que ce soit, je vois la cybermenace augmenter.
Le marketing basé sur les données repose sur la technologie = transformation numérique
Une reconnaissance de l’inévitabilité de la transformation numérique et du besoin de technologie dans le marketing moderne a été la création du rôle de Chief Digital Officer (CDO) ; même si actuellement seulement 20 % des entreprises en possèdent un. En tant qu’ancien employé de SAP, j’ai suivi avec intérêt comment Jonathan Becher est passé du statut de CMO de SAP à celui de premier CDO.
Selon CIO.com, les directeurs marketing commencent à dépenser plus que les directeurs informatiques. Sarah K. White écrit : « Les DSI étaient traditionnellement à la tête de l’adoption de la technologie, mais à mesure que de plus en plus de départements marketing utilisent leur budget pour les dépenses technologiques, le rôle du CMO dans l’informatique augmente ».
En tant que marketeur, vous faites partie de ce mouvement, quel que soit votre rôle.
Ai-je votre attention ?
Dans l’interview suivante, Joe Schramm fournit des réponses sur la façon dont vous pouvez protéger votre marque et les données de vos clients :
Natacha : Est-il réellement possible pour une marque de garantir la sécurité des données de ses clients ?
Joe : Honnêtement, non. Il n’y a aucune ambiguïté ici. Il y a tout simplement trop de surfaces d’attaque à la disposition des méchants et elles se développent à un rythme qui dépasse la capacité de protection des cybercommunautés.
De plus, le niveau de sophistication des attaquants est très élevé. Le mieux que nous puissions faire à ce stade est de continuer à appliquer des mesures plus proactives et préventives à notre infrastructure. Les solutions qui offrent un haut degré d’automatisation et sont peu sollicitées d’un point de vue administratif sont essentielles.
Il y a une pénurie massive de cyberprofessionnels qualifiés sur le marché, donc pour de nombreuses organisations, même si elles voulaient acheter et déployer des solutions plus avancées, elles pourraient ne pas avoir la main-d’œuvre pour le faire.
J’espère que l’utilisation de technologies émergentes comme l’UBA et l’IA commencera à faire pencher la balance en notre faveur. Des entreprises comme Cylance et Core Security font bon usage de l’IA dans leurs solutions, mais même Cylance ne revendique que 99% et non 100%. BeyondTrust est un bon exemple d’une pile de solutions qui utilise UBA et continuera à faire progresser cela à l’avenir.
Natacha: Quelles sont selon vous les trois plus grandes menaces de cybersécurité pour les marques en 2016 ?
Joe: L’atteinte à la réputation est certainement le numéro un, la perturbation/la continuité des activités est un autre problème majeur et les deux premiers mènent au numéro trois, à savoir les pertes financières résultant du refus des clients de dépenser et/ou de l’incapacité de faire des affaires.
L’exemple du jour est la violation signalée de Wendy. Suis-je allé chez un Wendy’s récemment ? Sûr. Ai-je utilisé ma carte de débit pour l’achat ? Tu paries. Dois-je maintenant m’inquiéter pour mon compte bancaire ? Bien sûr. Est-ce que je me sentirai bien d’y aller bientôt ? Probablement pas.
J’ai eu deux autres problèmes au cours des deux derniers mois concernant une fraude par carte de crédit avec deux cartes différentes. L’un, je crois, est lié à une infraction à la banque émettrice. L’autre est lié à un seul des trois achats possibles que j’ai effectués auprès d’un détaillant en ligne. C’est de la folie.
Natacha: De quelles options disposent les spécialistes du marketing pour assurer la cybersécurité de leurs entreprises et des données de leurs clients ?
Joe: Je pense qu’il y a quelques options.
Il y a au moins deux manières principales de le regarder :
- Comment puis-je empêcher la violation?
- Comment contenir la brèche une fois qu’elle s’est produite ?
- Comment atténuer le risque de récidive ?
Pour le numéro un, il existe des solutions nouvelles et émergentes qui sont de nature plus proactive et prédictive. Les entreprises doivent adopter des méthodes plus automatisées pour évaluer et surveiller les risques du point de vue de l’attaquant.
Pour le numéro deux, en plus de créer les « murs de défense », les organisations doivent faire un meilleur travail pour protéger les clés du royaume. La gestion des identités, des mots de passe et des privilèges est importante pour obtenir le contrôle. Une fois que le méchant est dans l’hôtel, vous devez l’empêcher d’accéder à l’ascenseur et finalement à la chambre, où se trouvent toutes les choses importantes.
Enfin, numéro trois, pour résoudre le problème, vous devez comprendre et ne pas simplement lancer une autre technologie et un autre fournisseur. Parfois, de simples changements de politique et de comportement peuvent empêcher que la menace ne se reproduise.
Natacha: Target est l’une des entreprises qui a attiré l’attention du public sur les dangers des tiers en matière de cybersécurité. Il semble que tant de fois il y a un maillon faible dans la chaîne que nous ne pouvons pas contrôler. Ou pouvons-nous?
Joe : D’accord, c’est très difficile et comme je l’ai mentionné plus tôt, la chaîne s’allonge. Il y a plus de surfaces d’attaque et de points d’entrée que les méchants peuvent exploiter.
Les appareils mobiles, les systèmes de contrôle industriels compatibles IP, même nos appareils ménagers, pour n’en nommer que quelques-uns, se développent en de nouvelles surfaces d’attaque qui peuvent être exploitées.
- L’application d’une réflexion et d’approches proactives au problème aidera.
- Les défenses en couches aideront.
- Mais il y a plus de couches à protéger et plus de connexions qui existent. C’est un problème complexe qui croît de façon exponentielle.
Malheureusement, dans le cas de Target, ils nous ont appris que les équipes doivent être honnêtes sur les problèmes qu’elles rencontrent, communiquer les menaces réelles et élaborer un plan pour les atténuer, et ne pas ignorer les menaces de n’importe quel endroit.
Target a signé les exigences de conformité, mais a ignoré les meilleures pratiques fondamentales qui ont contribué à la violation. Ils ont une mauvaise réputation non seulement parce qu’ils ont été violés, mais les principes fondamentaux relatifs à la sécurité du point de terminaison à la base de données et à l’IoT n’ont jamais été résolus ou probablement simplement négligés en raison d’un manque d’expertise/de main-d’œuvre, du coût de la correction ou simplement d’un refus .
Natacha : Faisons un détour par certaines des bases, quelles sont les trois choses que nos lecteurs peuvent faire aujourd’hui pour améliorer leurs chances de rester en sécurité en ligne ?
Joe: Je pense que sur le plan personnel, il y a quelques choses que vous pouvez faire :
- Rotation des mots de passe… changez-les fréquemment. Cela peut être douloureux car ils peuvent être difficiles à mémoriser. J’ai probablement plus de 20 sites avec des noms d’utilisateur et des mots de passe que j’essaie de changer avec un certain niveau de fréquence. L’utilisation de mots de passe complexes est idéale ; les suivre ne l’est pas. Pensez à utiliser une application qui vous aidera à gérer cela. Quoi que vous fassiez, ne les écrivez pas.
- Celui-ci n’est pas entièrement sous notre contrôle en tant que consommateurs, mais l’utilisation de l’authentification à deux facteurs est une autre bonne idée. L’ajout d’une couche de complexité pour l’accès à des sites importants comme les comptes bancaires, etc. est très important. Certaines personnes se plaignent de cela – je me plains si un site important ne l’exige PAS. Si vous pensez qu’un site devrait avoir cela et qu’ils ne le font pas, allez faire du bruit à ce sujet.
- Assurez-vous que vos cartes de crédit sont à jour avec la technologie à puce intégrée. Le hic ici est que seule une fraction des commerçants ont des terminaux de point de vente avec des lecteurs de puces, mais je m’attends à ce que cela change rapidement et devienne plus courant.
- Assurez-vous que votre Wi-Fi domestique est sécurisé et ne faites jamais rien d’important (c’est-à-dire des opérations bancaires en ligne) sur des réseaux publics ouverts (c’est-à-dire : Starbucks). Même faire des achats en ligne sur ces réseaux est risqué, car les informations de votre carte de crédit ne sont probablement pas cryptées.
Natacha : Existe-t-il des astuces particulières pour les réseaux sociaux et la cybersécurité ? Existe-t-il un moyen de m’assurer qu’un tweet que j’envoie n’a pas d’URL compromise ou que ma bannière ne fait pas de publicité malveillante ?
Joe: Je vous recommande simplement d’utiliser votre bon sens et de penser à toutes les formations en sécurité auxquelles vous avez également été exposé.
Une attaque bien conçue peut compromettre n’importe qui – et je veux dire n’importe qui, même la personne la plus entraînée et la plus expérimentée en matière de sécurité. Donc, avant de tweeter, vérifiez le lien. Si vous avez de la place, utilisez l’URL complète au lieu d’une URL abrégée et, si possible, n’envoyez jamais de sites douteux publiquement.
Pensez toujours à l’informatique en toute sécurité avant d’appuyer sur envoyer – cela semble ringard, mais cela fonctionne. Certaines entreprises qui entrent sur le marché se concentrent sur la sécurité des médias sociaux. C’est un domaine qui mérite d’être étudié pour voir s’ils peuvent aider à cet égard. ZeroFox est un exemple de fournisseur se concentrant sur ce segment.
Natacha: Question bonus : que doit faire une entreprise si elle découvre qu’elle a été compromise ?
Joe: Je pense qu’ils doivent agir très rapidement, à la fois en termes de traitement en interne (déterminer la cause, évaluer l’étendue des dommages, etc.) mais aussi en externe en termes de notification à leurs clients.
Ils doivent également être proactifs en offrant ce qu’ils peuvent pour aider à compenser les risques pour leurs clients. Certaines industries sont tenues par la loi de divulguer (par exemple: les soins de santé), je pense que toutes les organisations devraient emboîter le pas et être responsables. Vous avez également besoin d’un plan. Si une violation se produit, quelle est votre stratégie documentée pour savoir comment y faire face ?
Joseph Schramm est vice-président, Alliances stratégiques chez Beyond Trust – vous pouvez le contacter sur Twitter @JoeSchramm.
