Sécurité

Découvrez les bases du vocabulaire de la cybersécurité

La sensibilisation est l’arme la plus puissante contre les cyberattaques. Découvrez les bases afin de mieux vous protéger vous et votre entreprise.

Il ne s’agit pas de savoir si une violation de données surviendra, mais quand

Votre vie numérique a grandi de manière exponentielle ces dernières années. Il en va de même pour les risques qui y sont liés.

82 %

des violations de données sont causées par une erreur humaine, telles que le vol d’identifiants ou le phishing.¹

10

mille milliards de dollars est le coût estimé des dégâts causés par la cybercriminalité d’ici 2025.²

Gardez une longueur d’avance en étant bien informé sur la cybersécurité

Il existe quatre chemins d’accès critiques vers votre patrimoine : les identifiants, le phishing, l’exploitation de vulnérabilité et les botnets.¹ Tous les quatre sont présents dans tous les domaines du DBIR et aucune entreprise n’est à l’abri sans stratégie pour gérer chacun d’eux.

Votre entreprise et vous-même devez comprendre la terminologie de base liée aux violations de données et aux piratages. Cela vous aidera à identifier les signes de violation, mais cela peut également aider à informer les autres des risques à éviter. De plus, les entreprises peuvent utiliser ces connaissances pour communiquer avec leurs clients, de manière claire et opportune, en cas de données compromises.

Comprendre les discussions liées au piratage

Êtes-vous un client qui n’est pas sûr de comprendre ce qu’une entreprise veut dire lorsqu’elle vous informe d’une fuite de données ayant eu lieu dans le passé ? Êtes-vous une entreprise qui souhaite communiquer avec ses clients efficacement en cas de données compromises ?

Il est important de comprendre que ces termes sont régulièrement mal utilisés, par exemple quand les personnes vont parler de piratage en cas d’incidents de sécurité. Une bonne pratique consiste à relire les détails que vous communiquez aux autres et à toujours obtenir vos informations auprès de publications fiables.

Conseil : tout d’abord, considérez les communiqués, les articles de blogs et les informations relayés par l’entreprise ou l’organisation impliquée comme votre source de vérité.


Terminologie commune liée aux attaques que vous devriez connaitre :

Hacker/Pirate

Une personne non autorisée qui essaie d’accéder à un système d’information ; le réseau où les utilisateurs créent, partagent et distribuent les informations depuis leurs appareils.

Attaque

Toute activité malveillante visant à collecter, interrompre, refuser l’accès à, dégrader ou détruire des informations ou des ressources du système d’information.

Piratage

Tentative d’exploitation d’un système d’information, système informatique, réseau privé ou appareil en utilisant des identifiants volés.


Types de cyberattaques courantes

  • Credential stuffing (bourrage d’identifiant) : l’étape suivant une attaque par force brute où une personne ayant déjà accès au nom d’utilisateur et au mot de passe d’un compte va les utiliser sur le plus de sites, d’applications, etc. possible. C’est le risque de réutiliser un mot de passe. Si l’un de vos comptes est compromis, les autres seront vulnérables.
  • Basic web application attacks (BWAA) : il s’agit d’attaques ciblant directement les infrastructures les plus exposées d’une entreprise, comme les serveurs web.
  • Phishing (hameçonnage) : une forme de fraude où un acteur malveillant se fait passer pour une entité réputée ou une personne par e-mail ou en utilisant d’autres formes de communication. On parle alors de smishing (SMS) et de vishing (appel téléphonique).
  • Ransomware (rançongiciel) : une forme de malware conçu pour chiffrer les fichiers d’un appareil rendant alors tous les fichiers et les systèmes qui dépendent de ces derniers inutilisables. Les attaques par ransomware ont continué de grandir avec une augmentation de près de 13 % ; cette augmentation correspond aux cinq années précédentes combinées.¹
  • Social engineering (ingénierie sociale) : il s’agit du fait de duper une personne pour qu’elle divulgue des informations sensibles, obtienne un accès non autorisé ou commette une fraude en s’associant avec elle pour gagner sa confiance.
  • Supply chain attack (attaque de la chaine logistique) : ce sont des attaques qui permettent au cyberattaquant d’utiliser des injections ou d’autres vulnérabilités insérées avant l’installation afin d’infiltrer les données ou de manipuler le matériel informatique, les logiciels, les systèmes d’exploitation, les périphériques ou les services à tout moment de leur cycle de vie.

Les cyberattaques peuvent être source de panique, mais vous pouvez tirer profit de la connaissance de la bonne terminologie et de la manière de l’utiliser.³

Créer une stratégie de cybersécurité

La meilleure chose à faire pour votre entreprise est de mettre à profit vos connaissances en cybersécurité en passant à une stratégie proactive. Vous pouvez démarrer en mettant en place certaines des mesures de sécurité suivantes :

  • Utilisez un mot de passe différent, unique et complexe pour chaque compte créé en ligne.
  • Utilisez un gestionnaire de mot de passe pour créer, stocker, partager et gérer les identifiants et les données sensibles.
  • Activez l’authentification multifacteur (MFA) pour les services tels que vos e-mails, réseaux sociaux, banques en ligne, applications liées à votre emploi, etc.
  • Utilisez la surveillance des fuites de données pour garder vos identifiants en ligne à l’œil et vous assurez que tout identifiant compromis est signalé et modifié aussi vite que possible pour éviter des violations supplémentaires.
  • Soyez proactif lorsque vous observez les signes courants d’une tentative de cyberattaque. Ne cliquez pas sur les liens émanant de personnes inconnues, n’ouvrez pas de site comportant des fautes dans l’adresse et ne répondez pas à des e-mails qui sont rédigés maladroitement et venant d’adresses inconnues.
  • Exécuter des logiciels antivirus, de protection des endpoints et de protection contre les malwares.
  • Mettez à jour régulièrement vos applications et systèmes d’exploitation (OS) pour garder votre infrastructure logicielle à jour. 
  • Effectuez régulièrement des sauvegardes de vos données critiques, localement ou sur le cloud, pour vous assurer d’avoir une copie de vos données sensibles en lieu sûr.

Sources utilisées dans cet article

  1. 2022 Verizon Data Breach Investigations Report (DBIR)
  2. Secureworks Boardroom Cybersecurity Report
  3. NIST Computer Security Resource Center

Découvrez comment LastPass protège vos données contre les acteurs malveillants, les mauvaises habitudes de mot de passe et plus encore.

Que se passe-t-il si LastPass est victime d’un incident de sécurité ou se fait pirater ?

LastPass s’appuie sur un modèle de sécurité zéro-connaissance. Ce principe empêche quiconque hormis vous d’accéder à votre mot de passe maître, à votre coffre-fort ou à vos données de coffre-fort. Pour garantir que seule une personne autorisée puisse accéder à votre coffre-fort, nous utilisons des mécanismes standard tels que le chiffrement AES-256 et le hachage et salage PBKDF2 afin de sécuriser votre mot de passe maître.

LastPass protège également son infrastructure en mettant à jour régulièrement ses systèmes et en utilisant des centres de données redondants à travers le monde afin de réduire les risques d’indisponibilité ou de se prémunir du moindre point de défaillance. LastPass est validé dans les faits par plus de 100 000 entreprises qui nous font confiance, dont des entreprises du Fortune 500 et à la pointe des nouvelles technologies.

Comment saurai-je si LastPass a été piraté ou si un incident a eu lieu ?

LastPass se montre toujours transparente dans le cadre de ses procédures de gestion des incidents. Vous recevrez donc de notre part des messages honnêtes et envoyés en temps et en heure. La méthode de communication utilisée dépendra de l’incident et si celui-ci nécessite une action urgente de votre part, nous vous en informerons par e-mail et via des publications sur notre blog ou sur les réseaux sociaux. C’est en communiquant efficacement que nous gagnons la confiance de nos utilisateurs.

Que faites-vous pour prémunir LastPass d’éventuels piratages et garantir la sécurisation de mes données ?

Les clients LastPass sont protégés par notre modèle de sécurité zéro-connaissance, qui, de par sa conception, ne permet pas à LastPass d’accéder à votre mot de passe maître, à votre coffre-fort ou à ses données. Un gestionnaire de mots de passe digne de ce nom se doit d’appliquer cette norme de cybersécurité. De plus, LastPass utilise notamment les bonnes pratiques suivantes afin de vous garantir la meilleure protection informatique :

  • Certifications de conformité et de confidentialité, telles que SOC 2 Type II, SOC 3, BSI C5, APEC CBPR et PRP, TRUSTe Enterprise, RGPD et ISO/IEC 27001:2013.
  • Audits et tests de pénétration: LastPass collabore avec des entreprises de sécurité tierces de confiance et réputées pour mener régulièrement des audits et tester le service et les infrastructures LastPass.
  • Programme de récompense Bug Bounty: LastPass collabore avec des chercheurs spécialisés en cybersécurité pour s’améliorer continuellement.

Trust Center

Votre source d’informations unique sur la sécurité, la confidentialité, la conformité et les performances de nos systèmes.

Consulter le Trust Center

Modèle de chiffrement LastPass

Vos données restent secrètes, même vis-à-vis de nous. Découvrez la manière dont LastPass protège vos données à l’aide d’un modèle de chiffrement exclusivement en local.

En savoir plus sur le chiffrement

Livre blanc technique

Découvrez comment nous avons conçu le service LastPass afin de garantir la protection et la confidentialité de vos données.

Lire le livre blanc

Ressources du Trust Center

Consulter la documentation sur les mesures techniques, d’organisation et de conformité spécifiques de chaque produit.

Afficher les ressources

Sécurité stricte plus conformité mondiale. Ce n’est que le début de l’offre LastPass.

Essai gratuit de 14 jours de LastPass Business. Aucune carte bancaire nécessaire.