Exigences de la CCPA pour les entreprises

Exigences de la CCPA pour les entreprises

Dans ce dossier spécial, nous allons vous expliquer les exigences de la loi sur la protection de la vie privée des consommateurs de la Californie (CCPA) pour les entreprises.

Nous allons également vous détailler les éléments les plus importants de la CCPA.

Quelles sont les entreprises qui doivent se conformer à la CCPA ?

Contrairement au Règlement général sur la protection des données (RGPD) de l’Union européenne, qui s’applique à toutes les entreprises qui collectent ou traitent les données des résidents de l’UE, la CCPA ne s’applique qu’aux entreprises à but lucratif qui répondent à certains critères.

Toute entreprise qui répond à un ou plusieurs des critères ci-dessous est tenue de se conformer à la CCPA :

  • Avoir un chiffre d’affaires annuel brut supérieur à 22,64 millions d’euros
  • Collecter des informations sur 50 000 ménages ou résidents californiens ou plus chaque année
  • Gagner 50 % ou plus de son chiffre d’affaires annuel grâce à la vente des données de consommation des résidents de l’état de Californie.

À noter que ces exigences peuvent être actualisées ou étendues à un plus grand nombre d’entreprises. Il est donc dans votre intérêt de vous tenir au courant de toute modification de la CCPA si vous recueillez ou traitez les données des consommateurs américains.

Il n’y a pas que les entreprises ayant leur siège en Californie qui doivent se conformer à la CCPA. En réalité, toute entreprise qui fait des affaires en Californie ; qui collecte ou traite les données des résidents californiens est tenue de se conformer à la CCPA.

Quels sont les droits des consommateurs dans le cadre de la CCPA ?

Le CCPA a été introduit pour donner aux résidents de l’état de Californie un plus grand contrôle sur leurs données personnelles.

Les droits des consommateurs en vertu de la CCPA sont notamment les suivants :

  • Droit de savoir quelles données personnelles sont collectées par une entreprise
  • Droit de savoir quelles sont les données à caractère personnel détenues par une entreprise
  • Droit de savoir comment les données à caractère personnel sont utilisées par une entreprise
  • Restriction de l’utilisation et de la vente de données personnelles de mineurs (moins de 13 ans) sans le consentement des parents
  • Restriction de l’utilisation et de la vente de données personnelles de mineurs (13-16 ans) sans consentement direct de la personne concernée
  • Droit de supprimer toutes les données à caractère personnel détenues par une entreprise
  • Droit de refuser la vente de données à caractère personnel
  • Droit à la non-discrimination, en termes de prix ou de services, si les droits de la CCPA sont exercés
  • Droit d’intenter une action en justice contre les entreprises pour violation de la vie privée et pour non-respect des droits de la CCPA
  • Les demandes des consommateurs doivent être confirmées dans les 10 jours et honorées dans les 45 jours

Principales exigences de la CCPA pour les entreprises

Les entreprises doivent veiller à ce que les consommateurs soient informés de la collecte de leurs données personnelles avant que celles-ci ne soient recueillies. Les consommateurs doivent également avoir la possibilité de refuser la collecte ou la vente de leurs données. Par ailleurs, les données à caractère personnel ne doivent être collectées qu’à des fins spécifiques et légitimes.

Une politique de protection de la vie privée à l’échelle de l’entreprise doit être élaborée, maintenue et mise à la disposition des consommateurs. Elle doit expliquer les pratiques de l’entreprise en matière de protection de la vie privée, y compris les données collectées, la manière dont elles sont utilisées et si elles seront vendues ou non. En outre, la politique de protection de la vie privée doit expliquer les droits des consommateurs.

Les entreprises ont aussi l’obligation de maintenir des procédures pour répondre aux demandes des consommateurs d’accéder à leurs données, de supprimer leurs données et de refuser la vente de leurs informations personnelles. De plus, elles doivent élaborer et maintenir des procédures relatives à la collecte et à l’utilisation des informations personnelles des mineurs.

Les entreprises doivent offrir aux consommateurs deux méthodes pour demander des données et faire supprimer leurs données. L’une des méthodes obligatoires est un numéro de téléphone gratuit. Si une entreprise opère principalement en ligne, les entreprises doivent proposer une méthode basée sur le web.

Tout membre du personnel qui traite les données des consommateurs doit recevoir une formation sur les exigences de la CCPA. Quant à la surveillance de la conformité, elle doit être déléguée à une personne ou à une équipe dédiée.

Les entreprises doivent vérifier l’identité du consommateur avant de lui fournir ou de supprimer des données qui lui concernent une fois qu’ils reçoivent une demande.

CCPA et RGPD

La CCPA ne va pas aussi loin que le RGPD en ce qui concerne les exigences de sécurité des données pour les entreprises.

Cette loi ne précise pas les mesures de sécurité qui doivent être mises en œuvre pour protéger les données des consommateurs, mais elle exige que les entreprises mettent en place des protections adéquates pour protéger les données des consommateurs, y compris des mesures pour empêcher l’accès non autorisé aux données personnelles.

N’oubliez pas que des sanctions peuvent être imposées en cas de violation de données et que les consommateurs peuvent intenter une action en justice pour l’exposition de leurs données si l’entreprise détenant ces données a été négligente.

En cas de violation de la CCPA, les consommateurs peuvent être poursuivis en justice. Une violation importante des données pourrait donc s’avérer très coûteuse.

Comment TitanHQ peut vous aider à vous conformer à la CCPA

TitanHQ propose trois solutions qui peuvent aider les entreprises à se conformer à la CCPA. Il s’agit de SpamTitan Email Security, de WebTitan DNS Filtering et d’ArcTitan Email Archiving.

SpamTitan est une puissante solution de sécurité de la messagerie électronique. Elle offre la meilleure protection contre le spam et les principales causes de violation des données, telles que les attaques de phishing et les infections par des malwares.

WebTitan est une solution de filtrage DNS qui offre un niveau de protection supplémentaire contre les attaques de phishing et de malwares. Elle bloque les tentatives des utilisateurs de votre réseau informatique d’accéder à des sites web malveillants tels que ceux utilisés pour le phishing ou pour la diffusion de malwares. Elle peut aussi vous aider à éviter l’exposition des données des consommateurs.

ArcTitan est une solution d’archivage de la messagerie électronique. Elle aide les entreprises à protéger leurs données d’e-mails, à répondre aux exigences de conservation des e-mails, à trouver et à récupérer rapidement les messages électroniques lors du traitement des plaintes des clients.

Enfin, ArcTitan permet aux entreprises de trouver et supprimer rapidement les données personnelles si les consommateurs le demandent.

TitanHQ soutient ses partenaires, clients et équipes durant la pandémie du CoronaVirus (COVID-19)

TitanHQ soutient ses partenaires, clients et équipes durant la pandémie du CoronaVirus (COVID-19)

En cette période d’incertitude sans précédent, la santé et la sécurité de nos employés, de nos clients, de nos partenaires et de leurs familles est l’une de nos principales préoccupations.

L’équipe TitanHQ s’engage pleinement à soutenir ses partenaires et ses clients. Les avantages de nos produits de sécurité pour le courrier électronique et le web sont encore plus pertinents et importants aujourd’hui.

Notre fantastique équipe a relevé le défi avec vigueur et nous avons mobilisé notre personnel pour que tout se passe comme d’habitude pendant cette phase inhabituelle. Nous suivons les conseils du gouvernement sur les meilleures pratiques et nous avons mis en place un groupe de travail pour gérer nos progrès.

Les clients et les partenaires peuvent être assurés que les équipes de support continueront à être disponibles et que les équipes de produits travaillent normalement. Si vous avez des questions ou des préoccupations concernant les produits ou le support technique, veuillez nous contacter de la manière habituelle.

L’équipe d’assistance a été formée pour être au courant des préoccupations particulières des clients pendant cette période et transmettra toute question à la personne ou au service responsable approprié.

Notre nouvelle ressource de documentation et de mise en place a été particulièrement occupée pendant cette période. Vous pouvez y accéder ici et, comme toujours, notre équipe d’assistance vous attend ici : https://www.titanhq.com/support-portal/

Nous sommes conscients que le moment est délicat et nous ferons en sorte de faire un effort supplémentaire pour faciliter la vie de nos clients.

Nous tous, chez TitanHQ, vous souhaitons une bonne santé et vous remercions de votre soutien continu.

Quelles sont les exceptions au droit à la suppression des données selon la CCPA ?

Quelles sont les exceptions au droit à la suppression des données selon la CCPA ?

En vertu de la loi californienne sur la confidentialité des données personnelles des consommateurs (CCPA), les Californiens peuvent demander la suppression de leurs données personnelles, mais il existe des exceptions à cette règle que vous devez connaître.

Toutes les données personnelles ne doivent pas être supprimées.

Qui doit se conformer à la CCPA ?

La CCPA donne aux Californiens de nouveaux droits sur leurs données personnelles.

À partir du 1er janvier 2020, les organisations qui exercent leurs activités dans l’État de Californie sont tenues de se conformer à cette réglementation si :

  • Elles ont un revenu annuel brut supérieur à 22,64 millions d’euros
  • Elles traitent les données personnelles de 50 000 consommateurs ou plus
  • Si elles tirent plus de 50 % de leur revenu annuel de la vente d’informations personnelles.

Le droit de suppression des données personnelles de la CCPA

L’un des nouveaux droits accordés aux consommateurs californiens est le droit de faire supprimer leurs données personnelles.

La CCPA s’applique aux données qui identifient, concernent, décrivent ou peuvent être associées à un individu ou à un ménage, directement ou indirectement.

Lorsque les consommateurs exercent leur droit de suppression de leurs données personnelles, les organisations sont tenues de s’y conformer dans un délai de 45 jours. Mais il existe des exceptions à ce droit.

A noter toutefois que, si les données ne doivent pas être supprimées, le consommateur doit en être informé au plus tard 45 jours après la réception de la demande. Ce délai ne s’applique pas aux données contenues dans les systèmes d’archivage ou de sauvegarde.

La suppression des données personnelles stockées dans une archive ou une sauvegarde peut être retardée jusqu’à la prochaine consultation ou utilisation de l’archive ou de la sauvegarde.

Lorsqu’une demande de suppression de données est reçue, l’organisation concernée doit prendre des mesures raisonnables pour vérifier que la demande de suppression de données a été envoyée par la personne à laquelle elles se rapportent.

Voici maintenant les 9 exceptions au droit de suppression des données personnelles en vertu de la CCPA.

Exceptions au droit à la suppression des données selon la CCPA

Les entreprises ne sont pas tenues par la loi de supprimer les données nécessaires à l’exercice de 9 activités spécifiques suivantes.

Activités transactionnelles

Les données n’ont pas besoin d’être supprimées si elles sont nécessaires pour mener à bien la transaction pour laquelle elles ont été collectées ou pour fournir les biens ou les services qui ont été demandés par le consommateur.

Les données n’ont pas besoin d’être supprimées si elles sont « raisonnablement prévues dans le cadre de la relation commerciale continue d’une entreprise avec le consommateur, ou si elles sont nécessaires à l’exécution d’un contrat entre l’entreprise et le consommateur ».

Activités de sécurité

L’exception concerne également les données à caractère personnel, telles que celles contenues dans les journaux d’un serveur, et qui sont nécessaires pour détecter des incidents de sécurité, pour protéger contre des activités malveillantes, trompeuses, frauduleuses ou illégales.

En effet, les données qui permettent la poursuite des personnes responsables ne doivent pas être supprimées.

Erreurs

Les données à caractère personnel qui sont nécessaires pour déboguer, identifier ou réparer des erreurs ne doivent pas non plus être supprimées.

Liberté d’expression

Si la CCPA contribue à protéger la vie privée des consommateurs, cette mesure est considérée comme secondaire par rapport à la liberté d’expression.

Il n’est pas nécessaire de supprimer les données personnelles pour permettre l’exercice de la liberté d’expression, pour garantir le droit d’un autre consommateur à exercer son droit à la liberté d’expression, ou pour exercer un autre droit prévu par la loi.

Conformité à la CCPA

Les données personnelles ne doivent pas être supprimées si elles sont nécessaires pour assurer la conformité avec la loi californienne sur la protection de la vie privée dans le cadre des communications électroniques.

Conformité juridique

Les données personnelles ne doivent pas être effacées si elles doivent être utilisées dans le cadre d’une conformité juridique, telle que les lois sur la conservation des données.

Recherche menée dans l’intérêt public

Les informations personnelles des consommateurs qui sont utilisées pour des recherches menées dans l’intérêt public n’ont pas besoin d’être supprimées.

Cela comprend les données personnelles qui sont collectées et conservées pour des recherches scientifiques, historiques ou statistiques.

C’est également le cas si la suppression des données risque de nuire gravement à la réalisation d’une recherche, à condition que le consommateur ait préalablement donné son consentement pour que ses données personnelles soient utilisées à des fins de recherche.

Utilisations internes attendues

Les données ne doivent pas être supprimées si elles sont nécessaires pour permettre uniquement des utilisations internes raisonnablement alignées sur les attentes du consommateur sur la base de la relation du consommateur avec l’entreprise.

Autres utilisations internes

Les données à caractère personnel ne doivent pas être supprimées si elles sont nécessaires à d’autres utilisations internes qui, de manière licite, sont compatibles avec le contexte dans lequel le consommateur a fourni ses données personnelles.

Mise en œuvre de la conformité à la CCPA

Le procureur général de Californie est chargé de faire respecter la CCPA. Il a le pouvoir d’imposer des sanctions financières en cas de non-conformité à cette loi.

Le montant de la sanction peut aller jusqu’à plus de 2 260 euros par infraction ou plus de 6 790 euros pour une infraction intentionnelle.

Quant aux consommateurs californiens, ils sont autorisés à intenter des actions en justice contre les organisations en cas de violation de leurs données personnelles. Ils peuvent également réclamer des dommages-intérêts, dont le montant est compris entre 90 et 680 euros par violation de données.

Premier procès intenté au titre de la loi californienne sur la protection de la vie privée (CCPA)

Premier procès intenté au titre de la loi californienne sur la protection de la vie privée (CCPA)

Le premier procès intenté en vertu de la loi californienne sur la protection de la vie privée des consommateurs (CCPA) porte sur un prétendu défaut de protection adéquate des données des consommateurs. La plainte a été déposée contre Hanna Andersson, une entreprise spécialisée dans la vente de vêtements pour enfants, et son fournisseur de plateforme e-commerce Salesforce.com.

La CCPA est entrée en vigueur le 1er janvier 2020. En vertu du Code civil 1798.100 – 1798.199, les consommateurs pouvaient commencer à exercer leurs nouveaux droits à partir de cette date. L’un de ces droits est de pouvoir intenter une action en justice contre les entreprises pour violation de la vie privée, comme le vol de données personnelles.

La poursuite, en vertu de la CCPA, a été déposée devant le tribunal de district américain du district nord de la Californie au nom d’une victime d’une violation de données de 2019.

La victime reproche à Hanna Andersson d’avoir commis une négligence et un manquement à la mise en œuvre de garanties raisonnables pour protéger les données des consommateurs. Aucune demande de dommages et intérêts n’a été formulée, bien que la victime ait été en droit de le faire.

La fuite de données personnelles a été annoncée par Hanna Andersson le 15 janvier 2020. Les pirates informatiques avaient accédé à ses systèmes et téléchargé des malwares, ce qui leur a permis de voler des informations telles que des noms, des informations personnelles et des données de cartes de paiement. Ces informations ont ensuite été mises en vente sur le dark web.

La CCPA permet aux Californiens de réclamer des dommages-intérêts pouvant aller jusqu’à plus de 660 euros par violation de données. Une action collective intentée en vertu de cette loi pourrait donc s’avérer extrêmement coûteuse pour votre entreprise en cas de violation importante de données.

Pour notre cas, l’attaque a touché environ 10 000 résidents californiens, de sorte que les dommages-intérêts pouvaient atteindre plus de 6,6 millions d’euros.

Application de la loi sur la protection des données californienne (CCPA)

La mise en application de la conformité par le procureur général de Californie a été retardée et commencera 6 mois après la publication des règlements définitifs ou le 1er juillet 2020. Les règlements définitifs n’ont donc pas encore été publiés.

Le procureur général de Californie, Xavier Bercerra, a déjà déclaré que cette situation est un bon exemple pour les entreprises qui ne se conforment pas à la CCPA.

Il convient de noter que la CCPA n’empêche pas le procureur général de l’État d’émettre des avis de non-conformité avant cette date et que les consommateurs peuvent déjà intenter des poursuites pour réclamer des dommages et intérêts. Il est donc essentiel que toutes les entités couvertes par le CCPA s’assurent qu’elles respectent les nouveaux droits des consommateurs et qu’elles mettent en place des garanties pour protéger les données des consommateurs.

Comment TitanHQ peut aider à la mise en conformité avec la CCPA

TitanHQ propose deux solutions de sécurité puissantes qui peuvent aider les entités couvertes par la CCPA à assurer la protection des consommateurs, en prévenant les violations de données. Ces deux solutions de cybersécurité protègent contre les deux vecteurs d’attaque les plus courants : les e-mails et le web.

SpamTitan est une puissante solution anti-spam, anti-malware et anti-phishing qui protège les systèmes de messagerie électronique contre les attaques de phishing et de spear phishing. Il protège également les utilisateurs des menaces de malwares connus (comme l’attaque du type « zero day ») et les attaques de ransomwares lancées via la messagerie électronique.

WebTitan est une solution complémentaire pouvant bloquer les attaques de phishing menées via le web, les attaques de phishing, les kits d’exploitation et les téléchargements de malwares sur Internet. En même temps, elle est conçue pour contrôler les contenus auxquels vos employés peuvent accéder sur les réseaux câblés et sans fil.

Par ailleurs, TitanHQ peut aider les entités couvertes par la CCPA à se conformer au droit des consommateurs qui veulent savoir et supprimer leurs données. Il s’agit d’ArcTitan, une solution d’archivage de la messagerie électronique qui permet à votre entreprise de répondre aux exigences des États et du gouvernement fédéral en matière de conservation et de recherche des données des e-mails.

Si un résident de Californie exerce son droit de savoir quelles données sont détenues sur lui par votre entreprise ; s’il demande que toutes ses données personnelles soient supprimées, cette information peut être rapidement trouvée dans l’archive.

Enfin, ArcTitan vous permet de trouver rapidement des données dans les e-mails dans le cadre de l’e-Discovery, notamment en cas de litige.

Pour plus d’informations sur nos solutions, pour obtenir un essai gratuit de SpamTitan, d’ArcTitan et de WebTitan (avec un support client complet), contactez-nous dès aujourd’hui.

Une nouvelle arnaque par phishing PayPal vise les données personnelles

Une nouvelle arnaque par phishing PayPal vise les données personnelles

Une nouvelle attaque de phishing visant Paypal a été identifiée. Elle tente d’obtenir un grand nombre d’informations personnelles de ses victimes en se faisant passer pour une alerte de sécurité PayPal.

Les e-mails semblent avoir été envoyés depuis le centre de notification de PayPal et avertissent les utilisateurs que leurs comptes ont été temporairement bloqués en raison d’une tentative de connexion depuis un navigateur ou un appareil précédemment inconnu.

Les e-mails comprennent un lien hypertexte sur lequel les utilisateurs sont invités à cliquer pour se connecter à PayPal afin de vérifier leur identité. Un bouton est inclus dans l’e-mail et les utilisateurs sont invités à cliquer sur « Sécuriser et mettre à jour mon compte maintenant ! ». Le lien hypertexte est une adresse bit.ly abrégée, qui dirige la victime vers une page PayPal usurpée sur un domaine contrôlé par un attaquant.

Après avoir saisi les informations d’identification de son compte PayPal, les pirates invite la victime à saisir une série d’informations sensibles pour vérifier son identité dans le cadre d’un contrôle de sécurité PayPal. Ces informations doivent être saisies pour déverrouiller le compte et la liste des étapes est détaillée sur la page.

Tout d’abord, les pirates demandent le nom complet de l’utilisateur, son adresse de facturation et son numéro de téléphone. Ensuite, la victime doit confirmer les détails complets de sa carte de crédit/débit. La page suivante demande sa date de naissance, son numéro de sécurité sociale, son numéro de guichet automatique ou de carte de débit.

Enfin, la victime est tenue de télécharger une pièce d’identité, qui doit être soit une numérisation d’une carte de crédit, d’un passeport, d’un permis de conduire ou d’une pièce d’identité avec sa photo.

Cette escroquerie de phishing de PayPal vise à obtenir une grande quantité d’informations. Ceci devrait permettre à la victime de reconnaître que l’avertissement que tout n’est pas ce qu’il paraît. Il peut, par exemple, s’agir d’une demande de saisie d’informations très sensibles telles qu’un numéro de sécurité sociale ou un code PIN.

L’e-mail contient également d’autres signes d’avertissement qui pourraient indiquer que la demande n’est pas légitime. Entre autres, il n’est pas envoyé depuis un domaine associé à PayPal et son contenu commence par une phrase du type « Bonjour cher client », plutôt que par le nom du titulaire du compte. A la fin du message, le message indique à l’utilisateur de marquer l’expéditeur sur sa liste blanche si l’e-mail a été livré dans son dossier spam.

L’une des tactiques utilisées par les pirates est également de rédiger le message de manière à encourager le destinataire à agir rapidement pour éviter toute perte financière. Comme pour les autres escroqueries de phishing de PayPal, de nombreux utilisateurs sont susceptibles d’être amenés à divulguer au moins une partie de leurs informations personnelles.

Les consommateurs doivent toujours faire preuve de prudence et ne devraient jamais répondre immédiatement à un e-mail qui les avertit d’une faille de sécurité. Ils devraient plutôt s’arrêter et réfléchir avant d’agir, et vérifier soigneusement l’expéditeur de l’e-mail, puis lire très attentivement le message.

Pour vérifier si le message est vraiment légitime, il est recommandé de vous rendre directement sur le site web officiel de PayPal en tapant l’URL correcte dans la barre d’adresse de votre navigateur. Pour finir, n’utilisez jamais les URL qui figurent dans les e-mails.

Phishing et Emotet : une nouvelle méthode d’infection Wi-Fi découverte

Phishing et Emotet : une nouvelle méthode d’infection Wi-Fi découverte

Emotet est la plus grande menace de malwares à laquelle sont confrontées les entreprises et l’activité a considérablement augmenté ces dernières semaines, après une accalmie en décembre.

Plusieurs nouvelles campagnes sont désormais identifiées chaque semaine, dont la plupart ciblent les entreprises. L’une des campagnes les plus récentes utilise une technique éprouvée pour installer le cheval de Troie Emotet. Il s’agit de documents Word malveillants qui se font passer pour des factures, des devis, des renouvellements et des coordonnées bancaires.

La campagne cible principalement des organisations aux États-Unis et au Royaume-Uni, bien que des attaques aient également été détectées en Inde, en Espagne et aux Philippines. Environ 90% des e-mails de phishing d’Emotet ciblent les services financiers, et environ 8 % des attaques visent des entreprises de l’industrie alimentaire et des boissons.

Les documents Word malveillants sont soit joints aux e-mails, soit des hyperliens inclus dans les messages et qui dirigent la victime vers un site web compromis où le document Word est téléchargé. Les sites web utilisés sont fréquemment modifiés et de nouvelles variantes d’Emotet sont fréquemment publiées pour empêcher leur détection. Les solutions de sécurité de la messagerie électronique qui s’appuient sur des moteurs antivirus pour détecter les malwares ont peu de chances de détecter ces menaces du type « zero day ».

Comme Emotet est un botnet massif, les e-mails qui le propagent proviennent de nombreuses sources différentes. Les solutions de sécurité de la messagerie électronique qui s’appuient sur des listes noires en temps réel ont également peu de chances de détecter ces sources comme étant malveillantes.

Emotet est principalement distribué via la messagerie électronique à partir d’appareils infectés, mais une autre méthode de distribution a récemment été identifiée. Le Cheval de Troie se propage également via les réseaux Wi-Fi. Cette méthode est utilisée depuis près de deux ans, mais elle vient seulement d’être détectée par les chercheurs en sécurité de Binary Defense.

Lorsqu’Emotet est installé, un fichier binaire worm.exe s’exécute automatiquement. Il tente de se connecter à des réseaux quasi Wi-Fi et force les mots de passe faibles. Une fois connecté à un réseau Wi-Fi, il recherche des fichiers partagés et non cachés sur le réseau.

Puis, il tente de recenser tous les utilisateurs connectés au réseau Wi-Fi pour permettre au pirate de lancer une attaque de phishing.

Comment bloquer Emotet ?

Les pirates ne cessent de développer de nouvelles tactiques pour rendre la détection Emotet de plus en plus difficile et il n’existe pas de solution unique pouvant assurer une protection contre toutes les formes d’attaque. Ce qu’il faut, c’est une approche de défense en profondeur et des défenses multicouches.

La principale défense contre Emotet est essentiellement basée sur la messagerie électronique, ainsi qu’une solution avancée de filtrage du spam. De nombreuses entreprises utilisent Office 365 et s’appuient sur la protection fournie par Exchange Online Protection (EOP), qui est incluse en standard dans les licences Office 365.

Mais EOP, à elle seule, ne peut pas fournir une protection suffisante contre Emotet. EOP peut bloquer toutes les menaces de malwares connues, mais il peine à identifier les attaques de type « zero day ». Pour ce faire, il faut également adopter d’autres méthodes de détection plus avancées.

SpamTitan a été développé pour fonctionner de manière transparente avec EOP afin de protéger la messagerie électronique d’Office 365 contre les menaces du type « zero day ». Cette solution utilise une variété de techniques pour identifier les différentes formes d’attaques d’Emotet, y compris deux antivirus capables de bloquer les variantes connues d’Emotet. Elle intègre également une fonction de sandboxing pour bloquer les attaques du type « zero day ». Les pièces jointes suspectes ou inconnues sont envoyées dans la sandbox où elles sont soumises à une analyse approfondie pour identifier les actions malveillantes.

En outre, SpamTitan peut analyser les e-mails sortants dans le but d’identifier les tentatives de diffusion d’Emotet à partir d’une machine déjà infectée.

A ceux-ci s’ajoute la DMARC, une fonction qui permet d’identifier les tentatives d’usurpation d’identité et de domaine, lesquelles sont couramment utilisées par les pirates pour diffuser Emotet.

Pour assurer la protection contre les attaques basées sur le web – y compris les e-mails d’Emotet qui utilisent des hyperliens malveillants plutôt que des pièces jointes -une autre couche de sécurité doit être ajoutée pour mieux protéger votre organisation des attaques cybercriminelles. Il s’agit d’une solution de filtrage DNS, telle que WebTitan.

WebTitan utilise la détection des menaces par URL en temps réel, grâce à une base de données alimentée par 650 millions d’utilisateurs. La base de données en temps réel comprend plus de 3 millions d’URL et d’adresses IP malveillantes. Chaque jour, environ 100 000 nouvelles URL malveillantes sont détectées et bloquées.

WebTitan comprend également la catégorisation et la détection en temps réel des domaines, des URL et des IP malveillants, avec des mises à jour à la minute près pour bloquer les nouvelles sources malveillantes. Dès qu’une URL est identifiée comme pouvant distribuer Emotet (ou d’autres malwares), elle est bloquée par WebTitan.

WebTitan effectue également une analyse des liens et des contenus web, une analyse statique, heuristique et des anomalies de comportement. Cette solution intègre plusieurs outils et pour protéger les utilisateurs contre les menaces du web.

Enfin, vous devriez également ces autres mesures pour faire face à la menace d’Emotet :

  • Désactiver les macros dans toute l’organisation
  • Veiller à ce que les systèmes d’exploitation soient tenus à jour et à ce que les vulnérabilités soient rapidement corrigées.
  • Définir des mots de passe forts pour contrecarrer les attaques par la force brute
  • Veiller à ce que les solutions de protection des points d’accès soient déployées sur tous les appareils
  • Fournir une formation de sensibilisation à la sécurité à vos employés

Effectuer des exercices de simulation de phishing pour identifier les employés qui ont besoin d’une formation complémentaire.

Phishing et spam ont commencé pour la saison des impôts aux USA

Phishing et spam ont commencé pour la saison des impôts aux USA

La saison des impôts est maintenant en cours aux USA et les escrocs qui compromettent les e-mails d’affaires ont intensifié leurs efforts pour obtenir des formulaires W-2. Il s’agit de documents envoyés par les employeurs et qui donnent les détails concernant les revenus imposables de leurs employés et le montant de chaque taxe retenue à la source. Les pirates font cela dans le but d’effectuer une fraude fiscale.

Les attaques de ce type commencent souvent par des e-mails de phishing ciblant le PDG et les membres du conseil d’administration d’une société. Une fois que les pirates réussissent à obtenir les références des e-mails de ces hauts responsables, ils peuvent alors accéder à leurs comptes et envoyer des e-mails au service de la paie et au service des ressources humaines pour demander les formulaires W-2 des employés ayant travaillé au cours de l’année fiscale précédente.

Les escrocs ciblent les entreprises, car le potentiel de profit est bien plus important que celui obtenu via des attaques contre les contribuables individuels.

Toutefois, les consommateurs doivent également se méfier des escroqueries de phishing liées à l’IRS, l’agence du gouvernement fédéral des États-Unis qui collecte l’impôt sur le revenu et sur les taxes diverses.

Cette période de l’année voit une augmentation des escroqueries de phishing de l’IRS. Les escrocs se font passer pour un responsable de l’agence et envoient des e-mails informant les contribuables qu’un remboursement d’impôt est dû et que des demandes sont envoyées pour des impôts impayés, avec la menace de conséquences désastreuses si des mesures ne sont pas prises rapidement pour régler le problème.

Les progrès réalisés en matière de sécurité de la messagerie électronique ont obligé les cybercriminels à faire preuve de créativité, car il est plus difficile de faire passer des e-mails de phishing en douce au-delà des défenses électroniques.

Les escroqueries de phishing sont désormais couramment initiées par SMS, par e-mail et par téléphone. Une campagne a déjà été identifiée, lors de laquelle les consommateurs ont été ciblés par des appels anonymes.

Ces appels avertissent que les numéros de sécurité sociale des victimes ont été suspendus après la détection d’une activité suspecte.

Si un grand nombre de ces escroqueries visent à obtenir des informations personnelles, d’autres sont menées pour diffuser des malwares.

Le groupe qui a propagé le cheval de Troie Emotet est l’un des groupes de menace qui a commencé ses escroqueries fiscales au début de cette année.

Ladite campagne est actuellement menée en utilisant des e-mails contenant de faux formulaires W-9. À noter que les formulaires W-9 signés sont demandés par les entreprises à leurs entrepreneurs s’ils ont été payés plus de 560 dollars au cours de l’année fiscale.

De nombreuses entreprises ont demandé à leurs sous-traitants de signer des formulaires W-9 pour confirmer leurs adresses et leurs numéros d’identification fiscale via des e-mails.

Dans le cadre d’une attaque récente, les pirates ont utilisé des e-mails courts et directs dans le but de diffuser le cheval de Troie Emotet. Le message disait : « Merci pour votre aide. Veuillez consulter le fichier joint ».

Les e-mails comprennent une pièce jointe en format Word nommée W-9.doc. Une fois que la victime ouvre le document, le logo d’Office 365 s’affiche avec un texte indiquant qu’il a été créé dans OpenOffice et que l’utilisateur doit activer la modification et le contenu.

En faisant cela, la victime de l’attaque déclenche le téléchargement le cheval de Troie Emotet, sans le savoir.

Ce n’est là qu’un exemple de message lié à la fiscalité qui a été utilisé par le gang derrière Emotet. Il est probable que de nombreuses autres variantes seront envoyées au cours des prochaines semaines. D’autres cybercriminels mèneront également leurs propres campagnes de phishing sur le thème de la fiscalité pour diffuser différentes variantes de malwares et de ransomwares.

Les entreprises, les préparateurs de déclarations de revenus et les consommateurs doivent être très vigilants pendant la période fiscale pour éviter les escroqueries de phishing et les e-mails diffusant des malwares.

Le moment est venu pour les entreprises de revoir leurs moyens de défense en matière de cybersécurité et de renforcer leur protection contre le phishing et les attaques de malwares. Si vous utilisez Office 365 et que vous vous fiez aux protections contre le phishing intégrées dans ce logiciel, vous devriez envisager de renforcer votre protection contre le phishing et les malwares avec un filtre anti-spam tiers. Plus précisément, vous avez besoin d’un filtre qui possède des capacités supérieures pour mieux détecter les malwares.

C’est un domaine dans lequel TitanHQ peut vous aider. SpamTitan utilise une variété de techniques avancées pour détecter et bloquer les menaces de phishing et les malwares de type « zero day », y compris une « sandbox » où les pièces jointes inconnues et suspectes des e-mails sont soumises à une analyse approfondie.

Appelez l’équipe de TitanHQ pour en savoir plus sur SpamTitan, une solution qui améliore la protection contre les malwares et le phishing d’Office 365. Vous pouvez également découvrir comment fonctionne cette solution à travers un essai gratuit de SpamTitan.

En attendant, prenez des mesures pour alerter vos employés sur les escroqueries de phishing pendant la période fiscale et préparez-les au scenario lors duquel un e-mail de phishing arriverait dans leur boîte de réception. Envoyez leur un e-mail d’alerte pour qu’ils sachent identifier la menace d’escroquerie pendant la période fiscale et comment empêcher une coûteuse attaque de phishing ou une infection par un malware.

Le coût du spam dans les universités révélé par une nouvelle étude

Le coût du spam dans les universités révélé par une nouvelle étude

Il est bien connu que les entreprises perdent beaucoup de temps à traiter le spam et on ne peut nier la menace que représentent les emails de spam malveillants (malspam), mais ce n’est pas seulement un problème pour les grandes entreprises. Le spam dans le milieu universitaire est également un problème majeur.

Une étude récente publiée dans la revue Scientometrics explore le coût du spam dans les universités. L’étude s’est principalement intéressée aux courriels de spam envoyés par de nouvelles revues non évaluées par des pairs qui tentent de gagner une part de marché. Ces revues adoptent les mêmes tactiques de spam souvent utilisées par les escrocs pour vendre des montres bon marché, des médicaments à prix réduit, et pour le phishing et la diffusion de logiciels malveillants.

Trois chercheurs – Jaime A. Teixeira da Silva, Aceil Al-Khatib et Panagiotis Tsigaria – ont tenté de quantifier le temps perdu à traiter ces messages et les pertes qui en résultent.

Pour évaluer l’ampleur du problème, les chercheurs ont utilisé les chiffres de plusieurs études sur le spam afin d’obtenir le nombre moyen de courriels de spam ciblés que les universitaires reçoivent chaque jour. Ils ont opté pour un chiffre conservateur de 4 à 5 messages par jour et par universitaire.

La plupart de ces messages ne prennent que quelques secondes pour être ouverts et lus, mais ce temps s’accumule. Ils ont supposé un temps moyen de 5 secondes par message, soit moins d’une demi-minute par jour. Cela équivaut à 100 dollars par chercheur, par an, à un taux horaire moyen de 50 dollars.

En utilisant l’estimation des Nations Unies sur le nombre de chercheurs dans le monde universitaire, le coût total mondial du spam dans le monde universitaire a été estimé à 1,1 milliard de dollars par an.

Ce chiffre est basé sur le seul temps perdu et ne tient pas compte des courriers électroniques non ciblés – des courriers électroniques non sollicités en masse qui ne ciblent pas spécifiquement les chercheurs. Si l’on ajoute le temps passé à traiter ces messages, le coût global atteint 2,6 milliards de dollars par an.

Pour mettre ce coût en perspective, 2,6 millions de dollars sont bien plus que le temps que les chercheurs consacrent à l’examen par les pairs, dont le coût a été estimé à 1,9 milliard de dollars par an. Ces chiffres ne tiennent pas compte des pertes considérables dues au phishing, aux logiciels malveillants et aux attaques de ransomware.

Si l’on tient compte de ces coûts, les pertes seraient plusieurs fois plus élevées.

Le co-auteur de l’étude, Panagiotis Tsigaris, professeur d’économie à l’université Thompson Rivers au Canada, a expliqué qu’il n’existait pas de solution miracle pour lutter contre le spam et a suggéré plusieurs moyens de réduire le coût du spam dans le monde universitaire.

M. Tsigaris suggère d’augmenter les peines pour publication dans des revues prédatrices, d’informer les universitaires sur le spam et d’améliorer la technologie de filtrage du courrier électronique.

Ici, chez TitanHQ, nous sommes bien conscients du problème du spam, tant en termes de pertes de productivité qu’il entraîne que de dommages causés par les courriels de spam malveillants.

Pour aider à prévenir les pertes et les temps d’arrêt dus au spam et aux menaces basées sur le courrier électronique, TitanHQ a mis au point une solution de filtrage du spam puissante, facile à utiliser et rentable, basée sur le cloud, appelée SpamTitan.

SpamTitan a été testé de manière indépendante et il a été démontré qu’il bloque plus de 99,9 % des courriers électroniques non sollicités, 100 % des menaces connues de logiciels malveillants et de ransomwares.

Grâce à une série de mesures de détection et de sandboxing, SpamTitan est également efficace pour bloquer les menaces de logiciels malveillants et de logiciels contre rançon de type « zero-day » (nouveaux).

Pour en savoir plus sur SpamTitan et sur la façon dont vous pouvez bloquer davantage de spams et vous assurer que les courriels malveillants n’atteignent pas les boîtes de réception de vos chercheurs, appelez l’équipe du TitanHQ dès aujourd’hui.

Rapport FBI : le phishing est la méthode d’attaque la plus fréquente, la fraude au président très coûteuse

Rapport FBI : le phishing est la méthode d’attaque la plus fréquente, la fraude au président très coûteuse

Un nouveau rapport du Centre de plaintes pour les crimes sur l’Internet (IC3) du FBI a révélé l’ampleur des attaques de phishing qui ciblent les entreprises et des pertes énormes qui ont résulté d’une autre forme d’attaque lancée par e-mail : la fraude au président, ou attaque BEC (Business Email Compromise)

En 2019, l’IC3 a reçu 467 361 plaintes concernant la cybercriminalité et les pertes signalées ont dépassé les 3 milliards d’euros, contre environ 2,3 milliards d’euros en 2018. Les pertes réelles et le nombre d’attaques seront bien plus élevés, car tous les crimes et pertes ne sont pas signalés.

Les attaques de phishing, de smishing et de pharming – une technique de piratage informatique qui exploite les vulnérabilités des services DNS – sont les types de crimes les plus répandus, avec 114 702 plaintes déposées auprès de l’IC3 en 2019. Ces attaques ont entraîné des pertes de plus de 50 millions d’euros.

Il y a eu 23 775 plaintes concernant les attaques du type BEC, et les pertes dues à ces attaques étaient estimées à plus de 1,65 milliards d’euros. En moyenne, les attaques du type BEC entraînent des pertes d’environ 66 000 euros et ces attaques ont représenté 50,75 % de toutes les pertes dues à la cybercriminalité en 2019.

Les attaques d’escroquerie à la compromission d’e-mails d’affaires, ou arnaque au président, impliquent l’usurpation de l’identité d’une personne ou d’une entreprise connue et une fausse facture, ainsi qu’une demande de virement bancaire frauduleuse. Il peut également s’agir de modifications des coordonnées bancaires d’un vendeur, de demandes ou de modifications de comptes de dépôt direct des employés. Ces attaques impliquent l’usurpation d’un compte de messagerie électronique qui est généralement réalisée au moyen des e-mails de phishing.

La messagerie électronique peut également être utilisée pour livrer des ransomwares. L’IC3 a par exemple enrégistré 2 0417 incidents de ce genre qui ont entraîné des pertes de plus de 7,8 millions d’euros. En ce qui concerne les attaques de malwares et de virus, l’IC3 a également enregistré 2 373 incidents, impliquant des pertes de plus de 1,7 millions d’euros.

L’importance d’une approche à plusieurs niveaux pour la sécurité de la messagerie électronique

Comme le montre le rapport IC3 2019 sur le coût de la cybercriminalité, le vecteur d’attaque le plus courant est la messagerie électronique. Comment les propriétaires d’entreprises peuvent-ils donc se protéger contre les attaques par e-mails ?

Les entreprises peuvent soit acheter directement des solutions de cybersécurité, soit faire appel à un fournisseur de services managés (MSP) pour s’occuper de la cybersécurité. Si la décision est prise de gérer la cybersécurité en interne, il est essentiel d’adopter une stratégie de défense en profondeur et de mettre en place plusieurs niveaux de protection.

Si une solution de cybersécurité ne parvient pas à bloquer une menace, d’autres couches empêcheront les attaques lancées via le web de réussir.

De nombreuses entreprises ont adopté Office 365 et l’utilisent pour la messagerie électronique. Microsoft inclut un niveau de base de protection des e-mails pour Office 365 en standard : la protection en ligne d’Exchange (EOP ou Exchange Online Protection).

L’EOP constitue la première couche de protection contre les attaques de phishing, les malwares et le spam, mais l’EOP ne suffit pas à elle seule à bloquer les attaques de phishing sophistiquées, les attaques BEC et les menaces de malwares du type « zero day ».

Une couche de protection supplémentaire est donc nécessaire.

Protection avancée contre le phishing et les attaques BEC ou arnaques au président

TitanHQ a développé une solution antispam avancée – SpamTitan – qui fournit une couche de protection supplémentaire contre les menaces lancées via la messagerie électronique.

Pour se protéger contre les menaces de malwares connus, TitanHQ utilise un double anti-virus. Toutefois, de nouvelles variantes de malwares sont constamment mises sur le marché. Avant que les moteurs antivirus puissent bloquer les nouvelles menaces, celles-ci doivent être identifiées et la signature des malware est alors ajoutée aux définitions de virus du moteur antivirus. En attendant, les menaces ne seront pas identifiées comme malveillantes et seront transmises dans les boîtes de réception de vos employés.

Pour améliorer la protection contre les menaces du type « zero day », TitanHQ utilise le sandboxing. Lorsqu’une pièce jointe suspecte ou inconnue est reçue, elle est envoyée dans la sandbox où elle est soumise à une analyse approfondie pour identifier les rappels du centre de commande et de contrôle et les actions potentiellement malveillantes.

Les comptes Office 365 sont ciblés par les cybercriminels et leurs nouvelles campagnes de phishing sont testées par rapport aux protections d’Office 365 pour s’assurer que les e-mails sont bien délivrés.

Une étude précédente a montré que 25 % des e-mails de phishing sont envoyés dans les boîtes de réception d’Office 365.

Pour s’assurer de la détection des menaces de phishing qui ne seraient pas autrement bloquées par l’EOP, SpamTitan utilise une série de techniques de détection avancées :

  • Multiples listes de trous noirs en temps réel et des flux de renseignements sur les menaces
  • Analyse de messages à plusieurs niveaux
  • SURBL (des listes de sites web qui sont apparus dans des messages non sollicités)
  • Analyse bayésienne
  • Greylisting
  • Etc.

La protection contre les attaques par usurpation d’identité et l’usurpation d’identité via les e-mails est assurée par le Sender Policy Framework et la DMARC

Tous les e-mails sortants sont scannés pour identifier les compromissions potentielles des comptes de messagerie électronique.

SpamTitan est une solution de sécurité complète qui protège votre entreprise, vos employés et vos clients contre les attaques lancées via les e-mails. Avec SpamTitan, vous pouvez adopter une approche par couches pour la sécurité des e-mails à un coût très faible par utilisateur.

Si vous voulez vous assurer que votre entreprise soit protégée contre les coûteuses attaques lancées via les e-mails, appelez l’équipe de TitanHQ dès aujourd’hui.

Attaque de phishing sur le gouvernement de Porto Rico : perte de plus de 2,2 millions d’euros pour

Attaque de phishing sur le gouvernement de Porto Rico : perte de plus de 2,2 millions d’euros pour

Récemment, les nouveaux chiffres du FBI ont confirmé que les escroqueries aux compromis d’e-mails d’affaires étaient la principale cause de pertes en matière de cybercriminalité.

Une nouvelle cyberattaque massive contre une agence gouvernementale de Porto Rico a été révélée.

Les cybercriminels avaient obtenu l’accès au compte de messagerie électronique d’un employé, censé travailler dans le cadre du système de retraite des employés de Porto Rico.

Le compte de messagerie électronique compromis a été utilisé pour envoyer des demandes à d’autres agences gouvernementales afin que des changements soient apportés aux comptes bancaires standards pour les virements.

Comme le compte de messagerie utilisé était fiable, les modifications ont été apportées aux comptes bancaires. Les paiements ont alors été effectués normalement et des millions d’euros ont été transférés sur des comptes bancaires contrôlés par des pirates.

La société de développement industriel de Porto Rico – une société d’État qui stimule le développement économique du pays – a été l’une des plus touchées. Des e-mails ont été reçus pour demander des changements dans les comptes bancaires et deux paiements ont été effectués. Le premier paiement de plus de 54 000 euros a été effectué en décembre et un autre de plus de 2,2 millions d’euros en janvier.

D’autres ministères ont également été visés, notamment une société de tourisme. Cette dernière a effectué un paiement de plus de 1,3 million d’euros.

Au total, les pirates ont tenté de voler environ 4,13 millions d’euros.

L’escroquerie a été découverte lorsque ces paiements n’ont pas été reçus par les bons destinataires. Des mesures rapides ont alors été prises pour bloquer les transferts et certains des paiements ont été gelés, mais le gouvernement n’a pas été en mesure de récupérer environ 2,6 millions de dollars des fonds volés.

Une enquête approfondie a été lancée pour déterminer comment les attaquants ont eu accès au compte de messagerie électronique pour monter l’arnaque.

Bien que la méthode utilisée n’ait pas été confirmée, les attaques de BEC commencent généralement par un e-mail de spear phishing.

Un e-mail de phishing est envoyé à une personne d’intérêt pour lui demander de prendre des mesures urgentes afin de résoudre un problème. Un lien est fourni dans l’e-mail qui dirige l’utilisateur vers un site web qui lui demande les informations d’identification de son compte de messagerie électronique. Le compte peut alors être consulté par l’attaquant.

Les attaquants mettent souvent en place des redirections des e-mails pour recevoir une copie de chaque e-mail envoyé vers et depuis le compte. Cela leur permet de se renseigner sur l’entreprise et les paiements typiques et de construire des e-mails d’escroquerie très convaincants.

Une fois que l’accès à un compte de messagerie électronique d’entreprise est obtenu, l’escroquerie BEC (« Business E-mail Compromise » ou Compromission d’E-mail d’Entreprise) est beaucoup plus difficile à identifier et à bloquer. La meilleure défense consiste à s’assurer que les premiers e-mails de phishing ne sont pas envoyés, et c’est un domaine dans lequel TitanHQ peut apporter son aide.