Guide sur la récupération après une fraude par account takeover en 2024
Si votre entreprise n’a jamais été victime d’un account takeover (ATO), il peut être difficile d’en comprendre pleinement les conséquences. Lorsqu’une attaque ATO touchera votre entreprise, vous ne saurez probablement pas quoi faire. Cet article explique pourquoi protéger votre entreprise contre les ATO est crucial, comment la récupération après une fraude par account takeover fonctionne, comment vous pouvez vous remettre d’une attaque ATO, et comment vous pouvez l’empêcher de se reproduire.
- Quels sont les impacts si vous ne luttez pas contre la fraude par account takeover ?
- Comment fonctionne la récupération après une fraude par account takeover ?
- 5 étapes pour se remettre d’une attaque par account takeover
- Identifier l’attaque
- Isoler les comptes
- Notifier les bonnes personnes
- Enquêter sur l’attaque
- Mettre en œuvre des mesures de sécurité supplémentaires
- Comment protéger votre entreprise contre les futures attaques ATO ?
- Implémenter un logiciel de détection d’ATO
- Utiliser des mots de passe forts et l’authentification multifactorielle
- Améliorer vos contrôles d’accès
- Être prudent avec les applications tierces
- Commencez à protéger votre site web contre la fraude par account takeover avec DataDome
- FAQ
Quels sont les impacts si vous ne luttez pas contre la fraude par account takeover ?
Vous ne pouvez pas laisser la fraude par account takeover sans réponse. Même si vous avez des millions d’utilisateurs et d’employés, et même s’il ne s’agit que d’un seul utilisateur ou compte d’entreprise qui a été piraté, vous voulez récupérer le compte et comprendre comment l’attaque s’est produite. Plus vous attendez pour traiter l’attaque, pires seront les conséquences :
- Dommages financiers : le coût moyen d’une violation de données aux États-Unis était de 9,44 millions de dollars en 2022 (le plus élevé depuis que les enregistrements ont commencé en 2006). Que le compte affecté soit un simple compte utilisateur ou un compte bancaire d’entreprise, la fraude ATO peut entraîner des pertes financières sous forme de vol d’argent, de transactions frauduleuses, de rétrofacturations, de frais réglementaires et de frais d’exploitation. Les pertes s’accumulent plus vite que vous ne le pensez.
- Dommages à la réputation : les dommages ne sont pas uniquement financiers ; ils sont souvent aussi réputationnels. Si un compte utilisateur a été piraté et que l’utilisateur s’en aperçoit, il vous blâmera à coup sûr, même s’il avait un mot de passe faible et pas d’authentification multi-facteurs. Il pourrait ne plus jamais faire d’achats chez vous et dire à ses amis et à sa famille d’éviter votre entreprise.
- Dommages juridiques : presque toutes les entreprises sont soumises à un cadre réglementaire protégeant la sécurité des données et la vie privée des consommateurs. Ces cadres imposent de lourdes amendes aux entreprises qui subissent une fuite de données ou un account takeover. Par exemple, la Commission Nationale pour la Protection des Données du Luxembourg a infligé à Amazon une amende de 886,6 millions de dollars en 2021 pour avoir enfreint les règles du RGPD de l’UE.
- Dommages opérationnels : les hackers qui s’introduisent dans un compte d’entreprise peuvent gravement endommager les systèmes et logiciels sur lesquels votre entreprise s’appuie. Imaginez un hacker pénétrant dans votre logiciel de Customer Relationship Management (CRM) et supprimant tous vos contacts et comptes. Cela pourrait être un cauchemar pour toute entreprise, même si vous parvenez à tout récupérer.
Comment fonctionne la récupération après une fraude par account takeover ?
La récupération après une fraude par account takeover commence par l’identification de l’attaque, l’isolement des comptes affectés pour éviter d’autres dommages, et la notification aux personnes concernées (utilisateurs ou employés). Une fois que le compte a été soit gelé indéfiniment, soit récupéré, vous devez enquêter sur l’attaque pour découvrir comment elle a réussi, puis mettre en œuvre des mesures de sécurité pour que cela ne se reproduise plus.
5 étapes pour se remettre d’une attaque par account takeover
Lorsque vous êtes en plein milieu d’une attaque ATO, les choses sont probablement stressantes et chaotiques. C’est pourquoi la prévention des account takeover fonctionne mieux lorsque vous avez un nombre défini d’étapes pour vous remettre systématiquement d’une attaque :
1. Identifier l’attaque
Tout d’abord, vous devez savoir que vous êtes sous attaque. Ce ne sera pas toujours immédiatement évident. Les attaquants profitent souvent du fait que les entreprises ne savent pas que leurs comptes ont été piratés, car cela leur donne plus de temps pour voler votre entreprise. Il est particulièrement difficile de remarquer les comptes utilisateurs piratés, car si l’utilisateur ne le remarque pas et ne vous en informe pas, les actions provenant du compte semblent généralement tout à fait logiques d’un point de vue commercial.
Cela ne veut pas dire qu’il est impossible d’identifier les comptes piratés. Les signes avant-coureurs sont la plupart du temps des changements d’identifiants, des réinitialisations de mots de passe, des transactions non autorisées, une augmentation des rétrofacturations, et une activité réseau inhabituelle provenant d’IP suspects. Les signes peuvent être petits, mais plus vite vous les remarquez, mieux vous pourrez atténuer les dommages.
2. Isoler les comptes
Une fois que vous êtes conscient de l’attaque et des comptes qui ont été piratés, vous devez immédiatement les isoler pour prévenir d’autres dommages. Cela peut impliquer de désactiver les comptes, de changer les mots de passe et de mettre en place des contrôles d’accès pour limiter toute violation supplémentaire.
3. Avertir les bonnes personnes
Si une attaque ATO a affecté vos utilisateurs, vous avez la responsabilité de les informer dès que possible. Ce n’est pas seulement une responsabilité morale ; vous êtes probablement sous un cadre réglementaire comme le RGPD ou le CCPA, où cette responsabilité est également légale. Informez vos clients de la nature de l’attaque, de ce qu’ils doivent faire (si nécessaire) et de ce que votre entreprise fera pour que cela ne se reproduise pas.
Il y a de fortes chances que vos clients soient contrariés, surtout si leurs informations ont été volées. Gardez les lignes de communication ouvertes, restez transparents et répondez à leurs questions avec empathie et patience pour minimiser les dommages à la réputation.
4. Enquêter sur l’attaque
Comment l’attaque s’est-elle produite ? S’agit-il d’un employé mécontent ? D’une menace extérieure ? Comment ont-ils obtenu l’accès ? Auriez-vous pu vous en apercevoir plus tôt ? Ce sont là de bonnes questions que se poseront les dirigeants, les employés, les utilisateurs et les autres parties prenantes. Vous devez prendre le temps de bien comprendre, dans les moindres détails techniques, comment l’attaque s’est produite. Mieux vous comprendrez, mieux vous serez en mesure de remédier à cette fuite et à d’autres fuites du même type à l’avenir.
5. Mettre en œuvre des mesures de sécurité supplémentaires
Les incidents de sécurité sont une bonne occasion de renforcer votre architecture de sécurité existante. Ne renforcez pas seulement la sécurité du type de compte spécifique où l’attaque ATO a eu lieu. Réfléchissez à la manière dont vous pouvez vous défendre efficacement contre les attaques ATO sur tous vos comptes. C’est ce que nous allons voir dans la section suivante.
Comment protéger votre entreprise contre de futures attaques ATO ?
1. Implémentez un logiciel de détection ATO
Le logiciel de prévention des account takeover est l’un des moyens les plus simples pour renforcer immédiatement votre protection contre les attaques ATO de tout type. Comme les hackers n’aiment pas faire les choses manuellement (cela prend trop de temps), ils comptent fortement sur l’automatisation pour identifier et infiltrer leurs cibles.
Le logiciel de détection et de prévention ATO empêche cela de se produire. Il reconnaît les bots et les scripts qui ne proviennent pas de fournisseurs autorisés et les arrête net avant même qu’ils puissent affecter votre site web. Cela suffit pour la plupart des hackers pour passer à des cibles plus faciles.
2. Utilisez des mots de passe forts et l’authentification multi-facteurs
Les casseurs de mots de passe peuvent désormais pénétrer dans des comptes ayant un mot de passe complexe de huit caractères en moins d’une heure. Sept caractères ? Moins d’une minute. Six caractères ? Immédiatement. D’autre part, les mots de passe complexes proches de 20 caractères sont toujours entièrement inviolables. Chaque compte d’entreprise devrait avoir des mots de passe de plus de 15 caractères au moins.
C’est un peu plus difficile de faire respecter la longueur des mots de passe pour les comptes utilisateurs, mais pas impossible. Encouragez vos utilisateurs à une bonne hygiène des mots de passe en les invitant à modifier leur mot de passe tous les deux mois et en leur envoyant des notifications à cet effet. De même, encouragez-les à activer l’authentification multifactorielle (MFA), une couche de sécurité supplémentaire qui améliorera considérablement la sécurité de tout compte.
3. Améliorez vos contrôles d’accès
Plus il y a de personnes ayant accès à un compte, plus le risque de sécurité est grand. Soyez strict sur qui peut accéder à un compte. Soyez encore plus strict sur les personnes à qui vous donnez un accès administrateur. Les employés demanderont souvent un accès lorsqu’ils veulent simplement des informations qu’ils pourraient obtenir d’autres manières. Essayez de trouver le bon équilibre entre commodité et sécurité.
Cela signifie également que vous avez besoin d’une bonne intégration des employés, et surtout d’une bonne sortie. Lorsqu’un employé quitte une organisation, ayez un processus en place où il est déconnecté de tous les comptes d’entreprise et a rendu ou détruit tout matériel d’entreprise (hors ligne et en ligne).
4. Soyez prudent avec les applications tierces
Certains comptes d’entreprise échappent quelque peu à votre contrôle, car il s’agit de comptes que vous détenez auprès d’un fournisseur tiers. Soyez prudent avant de vous inscrire, en particulier lorsqu’il s’agit de fournisseurs de logiciels. Demandez-vous si vous avez vraiment besoin de l’application tierce en question. Les failles de sécurité des logiciels tiers sont souvent des portes d’entrée faciles pour les pirates informatiques.
Avant de vous engager auprès d’un fournisseur tiers, examinez toujours ses caractéristiques de sécurité. Quel est le niveau de sécurité de leur logiciel ? Comment vont-ils vous protéger contre les attaques ATO ? Ne manquez pas de poser ces questions lors de l’évaluation. Une fois inscrit, maintenez leur logiciel à jour avec les derniers patchs autant que possible.
Commencez à protéger votre site web contre la fraude par account takeover avec DataDome
DataDome est un logiciel de protection contre les account takeover qui détecte et prévient les attaques ATO, ainsi que tout autre type d’attaque utilisant des moyens automatisés (qui représentent la plupart des types de fraude en ligne). DataDome protège vos sites web, applications mobiles et API en bloquant les bots en temps réel sans impacter l’expérience utilisateur.
DataDome est facile à installer, s’intègre parfaitement dans l’architecture existante et fonctionne en pilote automatique. Il présente un taux de faux positifs de 0,01%, permet de créer des listes d’autorisation et de blocage, et dispose d’une équipe SOC disponible 24/7. Si vous voulez voir comment cela fonctionne, essayez DataDome gratuitement pendant 30 jours ou réservez une démo aujourd’hui.
FAQ
Comment fonctionne la protection contre les account takeover ?
Le logiciel de protection contre les account takeovers vous défendra le plus efficacement contre les attaques ATO, car les hackers s’appuient sur des moyens automatisés pour accéder à vos comptes. Le logiciel de protection contre les account takeovers arrêtera leurs bots et scripts, et les hackers passeront à des cibles plus faciles.
Que se passe-t-il lors d’un account takeover ?
Selon le type de compte, de nombreuses choses peuvent se produire lors d’un account takeover. Souvent, vous remarquerez des password resets, des changements dans les informations du compte, des transactions frauduleuses ou une activité réseau inhabituelle. Ce sont souvent des signes qu’un de vos comptes a été hacké.
Articles liés
Qu'est-ce que les Fullz ? Comment les hackers et les fraudeurs obtiennent et utilisent les Fullz
En savoir plus
Account Takeover vs. vol d'identité : quelle est la différence ?
En savoir plus
Prévention des Account Takeovers : Comment prévenir les ATO et limiter la fraude
En savoir plus
Comment éviter la création de faux comptes
En savoir plus
