Comment les fournisseurs de services managés font-ils face à la pandémie du COVID-19 ?

Comment les fournisseurs de services managés font-ils face à la pandémie du COVID-19 ?

Les fournisseurs de services managés (MSP) sont désormais très occupés à prendre en charge les demandes de plusieurs clients.

Les défis posés par la pandémie du COVID-19 ont encore rendu leurs tâches beaucoup plus difficiles pour qu’ils puissent s’assurer que leurs clients restent fonctionnels même pendant le confinement.

En plus de soutenir la technologie des entreprises, les MSP doivent aider les travailleurs à distance.

Les pirates informatiques savent très bien que les travailleurs à domicile sont plus vulnérables aux attaques de phishing et d’ingénierie sociale.

Ces attaques ont beaucoup augmenté et les MSP ont été chargés de sécuriser les données des entreprises contre des menaces supplémentaires.

La cybersécurité peut toujours être une priorité, même lorsque les clients des MSP ont une main-d’œuvre à domicile.

La surveillance est plus importante que jamais

Les attaquants qui accèdent aux ressources de l’entreprise sont de moins en moins visibles lorsque personne ne surveille le réseau.

Pendant les heures de travail normales, c’est-à-dire dans les locaux de l’entreprise, les administrateurs et même les employés peuvent remarquer une activité étrange sur leur réseau.

Mais lorsque les employés travaillent à domicile, certains de ces signaux d’alerte peuvent être moins évidents.

De nombreux outils de surveillance peuvent détecter le trafic réseau suspect et envoyer des notifications aux administrateurs. Il est également possible d’utiliser l’intelligence artificielle pour évaluer l’activité normale et détecter les tentatives d’accès inhabituelles à des fichiers.

En surveillant l’activité d’accès à certains fichiers à l’aide de l’intelligence artificielle, les MSP peuvent s’assurer que la cybersécurité est adaptée à chaque entreprise et que les alertes sont configurées pour répondre à des besoins spécifiques.

Une meilleure formation des utilisateurs pour contrer les attaques d’ingénierie sociale

Il a été démontré que la formation des utilisateurs réduit les risques de l’ingénierie sociale pour les entreprises. Des recherches montrent que les attaques utilisant l’ingénierie sociale et le phishing ont fortement augmenté pendant la pandémie du COVID-19.

Les pirates utilisent des e-mails malveillants combinés à l’ingénierie sociale pour accéder aux données de l’entreprise, et les travailleurs à domicile sont plus susceptibles de tomber dans le piège de ces escroqueries.

Le succès des attaques de phishing et d’ingénierie sociale rend la tâche beaucoup plus ardue aux fournisseurs de services mobiles qui doivent détecter, contenir et éradiquer toute activité malveillante sur un réseau d’entreprise.

La réponse aux incidents peut prendre plusieurs semaines, et les enquêtes pour détecter ce qui a mal tourné font partie de la responsabilité des MSP.

En réalité, la formation des utilisateurs permet de réduire le risque de réussite d’une attaque de phishing et d’ingénierie sociale.

Cela donne à vos employés les connaissances nécessaires pour détecter les formes d’escroquerie et pour signaler toute activité suspecte aux administrateurs.

Utiliser le filtrage des e-mails pour réduire les escroqueries et le phishing

Avec l’augmentation des attaques de phishing, les MSP doivent veiller à ce que les utilisateurs soient formés, mais la réduction de la capacité de l’attaquant à envoyer des e-mails dans les boîtes de réception des utilisateurs renforce également l’efficacité de la cybersécurité.

Les applications de filtrage des e-mails peuvent être appliquées à distance au système de l’entreprise. Il s’agit donc d’un outil efficace pour protéger les employés des menaces web pendant la crise du COVID-19. De plus, cela ne nécessite qu’une installation à distance sur leur système.

Les filtres web peuvent également tirer parti de l’intelligence artificielle. En effet, les MSP peuvent actuellement fournir des filtres plus efficaces pour leurs clients avec peu de faux positifs.

Ce qui pose souvent problèmes est qu’un nombre trop élevé de faux positifs peut conduire à l’épuisement des analystes lorsque les notifications légitimes sont ignorées. Les faux positifs augmentent également le temps nécessaire aux analystes pour examiner une notification légitime.

Communication accrue avec les clients pour les informer des dernières attaques via le web

Les MSP devraient toujours communiquer avec leurs clients, mais les entreprises doivent désormais faire face à une main-d’œuvre dispersée.

Les clients ont leur propre mode de communication, mais les MSP devraient faire preuve de plus de diligence en diffusant des notifications alertant leurs clients sur les dernières menaces en cours, étant donné le nombre d’attaques de phishing et d’ingénierie sociale qui ne cesse d’augmenter.

De plus en plus d’employés travaillent actuellement à domicile, et c’est pour cette raison que la communication est essentielle, en particulier dans le domaine de la cybersécurité.

Plus les utilisateurs auront de connaissances en matière de cybersécurité, plus ils seront en mesure d’identifier les menaces. À noter que les attaques de phishing et d’ingénierie sociale peuvent conduire à bien plus que le vol de données.

En effet, les attaquants peuvent obtenir des identifiants d’utilisateur, ce qui représente des menaces persistantes sur le réseau, laissant des portes dérobées et permettant le téléchargement des malwares pour leur permettre de lancer des attaques supplémentaires.

Grâce à une communication accrue, les employés, y compris les cadres, pourront savoir qu’une attaque vise l’entreprise et être en alerte lorsqu’ils reçoivent des e-mails suspects.

Les MSP qui communiquent avec les clients pourront donc réduire les attaques réussies et protégeront les clients contre les menaces courantes via le web.

Les fournisseurs de services mobiles et le paysage actuel de la cybersécurité

Les MSP ont déjà une grande responsabilité pour assurer la sécurité des données de leurs clients, mais la crise du COVID-19 a aussi apporté plusieurs autres défis, principalement une nouvelle main-d’œuvre à domicile qu’ils doivent protéger.

La sécurisation des données des clients peut être assurée par des filtres des e-mails, par une surveillance accrue des infrastructures et par une communication continue et la formation des utilisateurs.

Une fois ces stratégies en place, les MSP obtiendront de meilleurs résultats pour leurs clients.

COVID-19 a changé la façon dont les employés travaillent ainsi que le paysage de la cybersécurité. Même avec ce changement, les MSP peuvent toujours maintenir un lieu de travail sûr pour leurs clients.

Avec une infrastructure adéquate en place et une formation des utilisateurs, ils peuvent s’assurer que leurs clients travaillent de manière transparente et réduire les risques de violation des données.

TitanHQ collabore avec des fournisseurs de services managés dans le monde entier depuis 1999 et travaille actuellement en partenariat avec plus de 1 500 d’entre eux.

Nous avons développé WebTitan pour le secteur des MSP afin de répondre aux exigences spécifiques du marché des PME.

Cette orientation a débouché sur notre stratégie de commercialisation de WebTitan, le programme MSP conçu pour nos partenaires stratégiques, les fournisseurs d’accès Internet et les MSP.

Nous protégeons 7 500 entreprises et travaillons quotidiennement avec plus de 1 500 MSP. Nous protégeons vos clients contre les malwares, les ransomwares, le phishing, les virus, les botnets et bien d’autres cybermenaces. Plus important encore, nos produits ont été conçus à partir de zéro avec des MSP et pour les MSP.

Contactez-nous dès aujourd’hui pour en savoir plus sur notre programme MSP pour les fournisseurs d’accès Internet stratégiques et les partenaires MSP.

Top 10 des menaces de cybersécurité pour les PME

Top 10 des menaces de cybersécurité pour les PME

Les cybercriminels sont inventifs et leurs attaques sont de plus en plus sophistiquées. Pour vous aider à vous préparer et à protéger votre entreprise contre ces attaques, nous avons dressé une liste des 10 principales menaces de cybersécurité auxquelles votre PME est susceptible d’être confrontée.

Nous allons également vous donner quelques conseils pour vous aider à prévenir une éventuelle et coûteuse fuite de données.

Les cybercriminels n’essaient pas seulement d’attaquer les grandes entreprises. Il est évident qu’une cyberattaque contre une grande organisation de soins et de santé ou une entreprise de premier ordre peut être incroyablement gratifiante, mais les défenses que ces dernières ont mises en place rendent les attaques très difficiles.

Par contre, les PME ont beaucoup moins de ressources à consacrer à la cybersécurité et sont donc plus faciles à attaquer. Les récompenses potentielles ne sont peut-être pas importantes, mais les attaques ont plus de chances de réussir, ce qui signifie un meilleur retour sur investissement.

C’est pourquoi tant de PME sont aujourd’hui attaquées par les cybercriminels.

Il existe une myriade de façons d’attaquer une entreprise. Les tactiques, techniques et procédures utilisées par les cybercriminels changent constamment.

Les 10 principales menaces de cybersécurité énumérées ci-dessous comprennent les principaux vecteurs d’attaques qui doivent être bloquées et qui serviront de bon point de départ sur lequel vous pourrez construire un programme de cybersécurité robuste.

Les 10 principales menaces de cybersécurité auxquelles les PME doivent faire face

Nous avons dressé une liste des dix principales menaces de cybersécurité contre lesquelles les PME doivent se protéger. Toutes les menaces énumérées ci-dessous ne doivent pas être prises à la légère, car l’une d’entre elles pourrait facilement entraîner une fuite de données qui s’avère souvent coûteuse, ou bien paralyser votre entreprise.

Certaines de ces menaces seront plus difficiles à traiter que d’autres, et il faudra du temps pour que vos défenses de cybersécurité arrivent à maturité.

L’important est de commencer à agir et de traiter le plus grand nombre de ces problèmes dès que possible.

1 – Erreur humaine et menaces d’initiés

Nous allons d’abord parler de l’erreur humaine, car peu importe les solutions matérielles et logicielles que vous mettez en œuvre, elle peut facilement défaire une grande partie de votre bon travail. Quelles qu’en soit les raisons, vos employés sont susceptibles de commettre des erreurs.

Ce que vous devez faire est de réduire limiter les dommages qui peuvent en découler.

L’élaboration de politiques et de procédures robustes et la formation des employés contribueront à faire en sorte qu’ils sachent ce qu’il faut faire et, surtout, ce qu’il ne faut pas faire pour se protéger des attaques cybercriminelles.

Les erreurs humaines ne sont pas la seule chose que vous devez prendre en considération pour prévenir les atteintes à la protection des données. Il peut aussi y avoir des personnes dans votre entreprise qui profiteront d’une mauvaise sécurité pour en tirer un gain personnel.

Vous devrez donc vous attaquer au problème des menaces d’initiés et faire en sorte qu’il soit plus difficile pour les employés malhonnêtes de causer du tort et de voler des données. Les mesures énumérées ci-dessous vous aideront à faire face aux menaces d’initiés et à réduire les risques.

Mots de passe

Utilisez de mots de passe forts, mais faites en sorte que vos employés puissent les mémoriser plus facilement afin qu’ils n’essaient pas de contourner votre politique en matière de mots de passe ou qu’ils notent leurs mots de passe dans des supports qui risquent de tomber dans les mains des personnes aux intentions malveillantes.

Mettez en place un gestionnaire de mots de passe pour stocker les mots de passe de vos employés. Ainsi, ces derniers n’auront plus besoin que de se souvenir d’un seul mot de passe ou une seule phrase de passe.

Règle du moindre privilège

Cette règle est évidente, mais elle est souvent négligée.

Ne donnez pas aux employés l’accès à des ressources dont ils n’ont pas besoin pour leurs tâches quotidiennes. Ainsi, au cas où leurs titres de compétences seraient compromis, cela limitera les dommages ainsi que le tort pouvant être causé par des employés malhonnêtes.

Bloquez l’utilisation des périphériques USB

Les périphériques USB facilitent le vol de données par des employés mal intentionnés et l’introduction accidentelle ou délibérée de malwares.

Vous devriez donc mettre en place des contrôles techniques pour empêcher la connexion des périphériques USB et, s’ils sont nécessaires pour le travail, n’autoriser que certaines personnes à les utiliser. Idéalement, utilisez des méthodes plus sûres de transfert ou de stockage des données.

Surveiller les activités des employés

Si des employés malhonnêtes volent des données, vous ne pourrez le découvrir que si vous surveillez leur activité informatique. De même, si les informations d’identification sont compromises, les journaux système mettront en évidence toute activité suspecte. Assurez-vous donc que les journaux sont créés et surveillés. Envisagez d’utiliser une solution de Gestion de l’information des événements de sécurité (SIEM) pour automatiser le plus possible cette tâche.

Terminer l’accès aux points d’extrémité

Vous venez de licencier un employé ? Mettez fin à ses accès à vos systèmes au moment de son licenciement. Il est surprenant de constater la fréquence à laquelle les droits d’accès d’un employé aux points d’extrémité ne sont pas résiliés pendant des jours, des semaines, voire des mois après qu’il quitte son entreprise.

Plus tard, nous allons vous recommander quelques mesures de protection plus importantes que vous pouvez mettre en œuvre pour protéger votre entreprise contre les erreurs humaines et les attaques cybercriminelles.

2 – Attaques de phishing et escroqueries basées sur l’ingénierie sociale

Le phishing est sans doute la plus grande menace de cybersécurité à laquelle sont confrontées les PME. Le phishing consiste à utiliser de techniques d’ingénierie sociale pour persuader les gens de divulguer des informations sensibles ou de prendre une mesure telle que l’installation de malwares ou de ransomwares.

L’attaque est souvent lancée via la messagerie électronique, mais elle peut aussi se faire via le message texte, les sites de médias sociaux ou par téléphone.

Ne présumez pas que vos employés ont tous du bon sens et savent qu’il ne faut pas ouvrir les pièces jointes aux e-mails provenant des personnes inconnues ou répondre aux offres alléchantes telles que l’arnaque « à la nigériane ». Vous devez former vos employés et leur enseigner les meilleures pratiques en matière de cybersécurité et leur montrer comment identifier les e-mails de phishing.

Vous devriez organiser des formations de recyclage à intervalles réguliers et effectuer des exercices de simulation de phishing (qui peuvent être en grande partie automatisés). Cela vous permet de savoir qui sont les employés qui ont compris et adopté les mesures nécessaires en cas d’attaque et lequel d’entre eux a besoin d’une formation supplémentaire.

Les employés constituent la dernière ligne de défense contre la cybercriminalité. Ce qui signifie que vous avez besoin d’un niveau de sécurité supplémentaire. Autrement dit, cela signifie qu’une solution antispam/antiphishing avancée doit être en place pour bloquer les menaces avant qu’elles n’atteignent les boîtes de réception de vos employés. Si vous utilisez Office 365, vous devez tout de même mettre en place une solution antispam. Une étude récente d’Avanan a révélé que 25% des e-mails de phishing contournent les défenses antispam d’Office 365.

Une autre couche de protection devrait également être mise en place pour protéger votre entreprise contre le phishing. Il s’agit de l’authentification multi-facteurs. Le concept consiste à utiliser un facteur d’authentification supplémentaire qui se déclenchera si un pirate tente d’utiliser des informations d’identification à partir d’un périphérique ou d’un emplacement non fiable. Si les informations d’identification sont compromises lors d’une attaque de phishing, une ou plusieurs autres authentifications devrait empêcher l’utilisation de ces données et empêcher le pirate d’accéder aux comptes de messagerie, aux ordinateurs ou aux ressources réseau de votre entreprise.

3 – Malware et Ransomware

Les malwares, les virus, les ransomwares, les spywares, les chevaux de Troie, les vers, les botnets, et les cryptomonnaies sont tous des menaces sérieuses qui nécessitent des mesures adéquates pour pouvoir les bloquer. En réalité, vous devez avoir un logiciel antivirus installé sur tous les points d’extrémité et sur vos serveurs.

Les malwares peuvent être installés de plusieurs façons. Comme nous l’avons déjà mentionné, le blocage des périphériques USB est important et un logiciel de filtrage du spam, associé à un système de sandboxing vous protégera contre les attaques basées sur la messagerie électronique. La plupart des infections par des malwares se produisent désormais via Internet, et c’est la raison pour laquelle une solution de filtrage web est également importante. Cela ajoutera une couche supplémentaire à vos défenses contre le phishing.

Un filtre web bloquera les téléchargements de malwares ; empêchera les employés de visiter des sites malveillants (y compris les sites de phishing) et vous permettra d’appliquer vos politiques d’utilisation d’Internet.

Une solution de filtrage DNS est le meilleur choix. Grâce à cela, tout le filtrage a lieu dans le cloud avant qu’un contenu ne soit téléchargé.

4 – Shadow IT

Shadow IT est le terme donné à tous les matériels ou logiciels en usage, mais qui n’ont pas été autorisé par votre département informatique. Cela peut être un périphérique de stockage portable tel qu’un lecteur zip, un client VPN pour contourner votre filtre web, une application pour aider vos employés dans la réalisation de leurs tâches quotidiennes, ou tout autre type de logiciel.

Il est surprenant de constater le nombre exact de programmes installés sur les appareils des utilisateurs lorsque le personnel de soutien informatique est appelé à régler un problème.

Mais pourquoi cela devrait-il poser problème ?

En effet, tous les matériels et applications installés sans autorisation représentent un risque potentiel de sécurité et de conformité. Votre équipe de sécurité n’a aucun contrôle sur les correctifs, et les vulnérabilités de ces applications pourraient ne pas être corrigées qu’après plusieurs mois. Pendant cette période, les pirates disposent d’un point d’entrée facile dans votre réseau. De fausses applications pourraient être téléchargées, notamment des malwares et des progiciels comprenant souvent une foule de programmes et de spywares potentiellement indésirables.

De plus, toutes les données stockées dans ces applications pourraient être transmises à des emplacements non sécurisés et il est peu probable que ces applications et les données qu’elles contiennent soient sauvegardées par le service informatique. En cas d’attaque cybercriminelle, de sinistre ou de perte des données, celles-ci peuvent donc être perdues facilement.

5 – Logiciels non patchés

Il est important d’appliquer les correctifs le plus rapidement possibles dès qu’ils sont disponibles. Des vulnérabilités existent dans toutes les solutions logicielles.

Tôt ou tard, ces vulnérabilités seront découvertes par les pirates qui vont par la suite développer des kits d’exploitation pour en tirer profit.

Les chercheurs en matière de sécurité informatique sont constamment à la recherche de failles qui pourraient potentiellement être exploitées par les cybercriminels dans le but d’accéder à des informations sensibles, d’installer des malwares ou d’exécuter du code à distance.

Lorsque ces failles sont identifiées et que des correctifs sont publiés, ceux-ci doivent être appliqués rapidement. Gardez à l’esprit que les vulnérabilités sont activement exploitées au moment où un correctif est publié. Il est donc essentiel qu’elles soient corrigées le plus rapidement possible et que tous vos logiciels soient mis à jour.

Lorsque des logiciels ou des systèmes d’exploitation approchent de leur fin de vie, vous devez les mettre à niveau. En effet, lorsque les correctifs cessent d’être publiés et que les logiciels ne sont plus pris en charge, les vulnérabilités peuvent être exploitées facilement par des personnes aux intentions malveillantes.

6 – Matériel obsolète

Toutes les vulnérabilités ne proviennent pas des logiciels obsolètes.

Les matériels que vous utilisez peuvent également présenter des risques. Vous devez donc tenir un inventaire de tous vos matériels afin de vous assurer que rien ne passe à travers les mailles du filet.

Les mises à jour de micrologiciels doivent être appliquées dès qu’elles sont disponibles et vous devez surveiller les appareils qui approchent de leur fin de vie. Si vos appareils ne prennent pas en charge les derniers systèmes d’exploitation, il est alors temps de les remplacer. Bien entendu, cela aura un coût, mais les cyberattaques et les violations de données impliquent aussi un coût bien plus conséquent.

7 – Dispositifs IoT non sécurisés

L’Internet des objets (IoT) offre une certaine commodité, mais il peut aussi représenter des risques en matière de sécurité informatique. Étant donné que les dispositifs IoT peuvent envoyer, stocker ou transmettre des données, ils doivent être sécurisés.

Malheureusement, dans l’empressement de tout connecter à Internet, les fabricants d’appareils négligent souvent la sécurité, tout comme les utilisateurs de ces appareils. Prenez par exemple les caméras de sécurité. Vous pouvez accéder à vos caméras à distance, mais vous n’êtes peut-être pas la seule personne à pouvoir le faire.

Si vos caméras de sécurité sont piratées, les voleurs pourraient voir ce que vous avez, où il se trouve, et où et quand votre système sécurité présente des failles. Il y a eu des cas où des caméras de sécurité ont été piratées parce que les personnes responsables n’ont pas réussi à modifier les informations d’identification par défaut pour leur gestion à distance.

Veillez à modifier les informations d’identification par défaut des périphériques et utilisez des mots de passe forts. Gardez les périphériques à jour et, si les périphériques doivent se connecter à votre réseau, assurez-vous qu’ils sont isolés des autres ressources.

Les cybercriminels peuvent également tirer parti des failles des applications auxquelles ces périphériques IoT se connectent. L’une des meilleures solutions que vous pouvez appliquer est de les mettre à jour.

8 – Attaques du type « Man-in-the-Middle » via le Wi-Fi public

Une attaque de type Man-in-the-Middle (MITM) est un scénario d’attaque dans lequel les communications entre deux personnes (ou entre une personne et un site web/réseau) sont interceptées par un pirate informatique.

Un employé peut croire qu’il communique de façon sécuritaire, alors que tout ce qu’il dit ou fait est vu ou enregistré. Un attaquant pourrait même contrôler la conversation entre deux personnes et communiquer avec chacune d’entre elles séparément alors que les deux personnes croient qu’elles communiquent entre elles.

Cette méthode d’attaque se produit le plus souvent par le biais de points d’accès Wi-Fi non sécurisés ou via la technique du Honeypot (Evil Twin). En effet, les cybercriminels peuvent installer de faux points d’accès Wi-Fi dans les cafés, les aéroports et tout autre endroit où le Wi-Fi gratuit est offert pour inciter les utilisateurs à s’y connecter dans le but de voler leurs données sensibles.

Si vous avez des travailleurs à distance, vous devez prendre des mesures pour vous assurer que toutes les communications restent privées. Cela peut se faire de deux façons. D’une part, vous pouvez vous assurer que les employés utilisent un VPN sécurisé qui chiffre leurs communications sur les réseaux Wi-Fi publics ou non sécurisés. D’autre part, vous pouvez mettre en place une solution de filtrage DNS.

La solution de filtrage DNS offre la même protection aux travailleurs à distance qu’aux travailleurs sur site et empêche les téléchargements de malwares et l’accès des employés à des sites web malveillants.

9 – Menaces pour la sécurité des appareils mobiles

Nul ne peut nier la commodité offerte par les appareils mobiles tels que les ordinateurs portables, les tablettes et les Smartphones. Ils permettent aux travailleurs d’être joignables instantanément et de travailler depuis n’importe quel endroit. Les appareils mobiles peuvent améliorer la mobilité, la satisfaction et le confort de vos employés dans leur milieu de travail et augmenter ainsi leur productivité.

Cependant, les appareils présentent de nouveaux risques. Que vous fournissiez ces appareils ou que vous appliquiez une politique de BYOD (une pratique consistant à autoriser les employés à utiliser leurs propres appareils personnels dans un contexte professionnel), vous devez mettre en place une série de contrôles de sécurité pour vous assurer que les menaces cybercriminelles sont parfaitement gérées.

Vous devez connaître chaque dispositif que vous autorisez à se connecter à votre réseau informatique. Une solution de sécurité des appareils mobiles peut vous aider à gagner en visibilité sur l’utilisation de tous les dispositifs connectés à votre réseau et vous permettre de contrôler vos applications et vos données.

Assurez-vous également que des contrôles de sécurité sont appliqués aux appareils. Ceux-ci ne doivent accéder à votre réseau que par des canaux sécurisés (VPN) et ils doivent être couverts par une solution de filtrage DNS. En outre, toutes les données sensibles stockées sur ces appareils doivent être chiffrées.

10 – Remote Desktop Protocol (RDP)

Le protocole RDP permet aux employés de se connecter à distance à vos ordinateurs et serveurs lorsqu’ils ne sont pas au bureau. Grâce à cela, votre prestataire de services pourra régler rapidement vos problèmes et assurer la maintenance de vos systèmes sans avoir à se déplacer.

Le problème est que le RDP offre aux pirates informatiques un moyen facile d’accéder à vos ordinateurs et serveurs ; de voler des données sensibles ou d’installer des malwares. Avez-vous vraiment besoin d’activer ce protocole ? Si ce n’est pas le cas, désactivez-le. Est-ce que le RDP doit être utilisé uniquement en interne ? Assurez-vous donc qu’il n’est pas exposé à l’Internet.

Si vous avez besoin du protocole RDP, alors vous devez faire preuve d’une extrême prudence. Les utilisateurs doivent se connecter uniquement via un VPN ou définir des règles de pare-feu. Limitez les personnes qui ont des permissions d’utiliser RDP. Par ailleurs, des mots de passe forts doivent être mis en place, ainsi qu’un système de limitation du débit, et ce, afin de protéger votre entreprise contre les attaques par force brute. Utilisez également l’authentification multifactorielle.

Les informations d’identification RDP volées sont souvent utilisées par les pirates pour accéder à vos systèmes. Ils mènent souvent des tentatives de force brute et exploitent les vulnérabilités dans le protocole RDP qui n’ont pas été corrigées. C’est l’une des principales façons d’installer un ransomware.

Voici les dix principales menaces de cybersécurité auxquelles les PME doivent faire face. Il existe beaucoup d’autres risques qui doivent être identifiés et atténués pour assurer votre protection. Cependant, si vous parvenez à éviter les problèmes ci-dessus, vous aurez déjà beaucoup fait pour que les pirates informatiques et les cybercriminels ne puissent nuire facilement à votre entreprise.

TitanHQ est là pour vous aider !

TitanHQ peut vous aider en vous fournissant des solutions de cybersécurité avancées pour vous protéger contre plusieurs des 10 principales menaces de cybersécurité énumérées ci-dessus. Grâce à ces solutions, vous pourrez mieux combattre les attaques lancées via la messagerie électronique et le web. Ces solutions, à savoir SpamTitan et WebTitan, sont 100% basées dans le cloud. Elles sont faciles à mettre en œuvre et à maintenir et peuvent fournir une excellente protection contre les malwares, les ransomwares, les virus, les botnets et les attaques de phishing. De plus, ces solutions sont puissantes et abordables pour les PME.

Si vous êtes un fournisseur de services gérés qui dessert le marché des PME, vous devriez également prendre contact avec nous. SpamTitan et WebTitan ont été développés par des MSP pour des MSP. Il y a une foule de raisons pour lesquelles TitanHQ est devenu le fournisseur leader en matière de solutions de sécurité web et de messagerie électronique basées dans le cloud pour les MSP.

Contactez dès aujourd’hui notre équipe de vente pour en savoir plus. Vous pouvez également demander une démonstration de nos solutions ou vous inscrire pour un essai gratuit.

WebTitan Cloud : une alternative économique et puissante à Cisco Umbrella

WebTitan Cloud : une alternative économique et puissante à Cisco Umbrella

Si vous êtes à la recherche d’une alternative à Cisco Umbrella, vous n’êtes certainement pas le seul. TitanHQ a aidé des centaines d’entreprises à passer de cette solution de WebTitan Cloud. Dans la plupart des cas, la principale raison pour laquelle les entreprises cherchent une alternative à Cisco Umbrella est d’économiser de l’argent.

Le coût de la solution Cisco Umbrella est difficile à justifier pour de nombreuses PME et fournisseurs de services gérés (MSP). Le coût par utilisateur est considérablement plus élevé que de nombreuses autres solutions sur le marché. En fait, vous pourriez être surpris de voir combien d’argent vous pourriez économiser en changeant votre fournisseur de filtre Web.

Combien coûte la solution de sécurité Cisco Umbrella ?

Pour une entreprise de 100 utilisateurs, le coût de Cisco Umbrella en 2019 est de 1,99 euros par utilisateur par mois. C’est certainement un prix raisonnable étant donné le niveau de protection que cette solution fournit. Mais il existe d’autres alternatives qui sont accessibles à un coût réduit et qui fournissent le même niveau de protection contre les menaces web. Elles permettent un contrôle minutieux des types de contenus malveillants qui peuvent être consultés par les utilisateurs finaux.

Si vous avez 100 utilisateurs, vous dépenserez environ 200 euros par mois si vous optez pour Cisco Umbrella, soit 2 400 euros par an. Ce prix est raisonnable si vous comparez cela au coût généré suite à une infection malveillante, à une attaque de ransomware, à une violation de données ou à une attaque de phishing. Mais il est possible d’avoir le même niveau de protection à un tiers de ce prix si vous passez de Cisco Umbrella à WebTitan Cloud.

Combien peut-on économiser en passant de Cisco Umbrella à WebTitan Cloud ? Le coût du WebTitan Cloud est de 0,82 euro par utilisateur par mois. Cela représente un coût mensuel de 81,56 euros, soit environ 980 euros par an.

Vous l’avez sûrement compris, en choisissant cette alternative, vous pourrez économiser 1420 euros par an.

Une alternative idéale à la solution Cisco Umbrella

Le coût n’est pas la seule considération lorsque vous recherchez une alternative à Cisco Umbrella. Si vous changez de fournisseur de solutions de sécurité, vous devrez vous assurer que le nouveau produit possède toutes les caractéristiques dont vous avez besoin. Comme WebTitan Cloud et Cisco Umbrella sont conçus sur les mêmes principes de base, à bien des égards, les solutions sont équivalentes. Mais il y a plusieurs fonctionnalités de WebTitan Cloud qui ne sont pas disponibles avec Cisco Umbrella. Cette alternative de TitanHQ présente d’autres avantages importants pour les PME et pour les fournisseurs de services mobiles.

TitanHQ a une politique de prix parfaitement transparente. Vous payez un seul prix et vous obtenez toutes les fonctionnalités. Il n’y a pas d’options supplémentaires qui augmentent le coût et pas de forfaits Premium, sans lesquels vous ne pourrez pas bénéficier de protections supplémentaires. En effet, chaque utilisateur bénéficie du même niveau élevé de protection.

L’équipe de TitanHQ est également heureuse de négocier avec les entreprises et les ESN et peut conclure des accords commerciaux qui conviennent à toutes les parties.

L’une des caractéristiques de WebTitan Cloud – et qui est particulièrement attractive pour les MSP, est la possibilité d’héberger la solution localement dans leurs propres environnements. La plupart des entreprises choisiront d’héberger WebTitan Cloud de TitanHQ tout simplement, mais vous pouvez aussi choisir WebTitan Cloud en marque blanche. Autrement dit, vous pouvez retirer le marquage TitanHQ si vous voulez ajouter votre propre marquage.

Il peut y avoir des moments où vous devez contourner les contrôles de filtrage. Pour rendre cela aussi simple que possible, nous avons développé des nuages de mots-clés. Ceux-ci peuvent être utilisés pour contourner une partie ou la totalité de vos contrôles de filtrage, plutôt que de changer les stratégies d’un utilisateur et revenir en arrière lorsqu’une tâche particulière est effectuée. La solution cloud peut être configurée pour expirer après un certain nombre d’utilisations ou après une certaine période de temps.

Nous avons développé WebTitan Cloud pour qu’il soit facile à configurer, à utiliser et à mettre à niveau, mais il y aura naturellement des moments où les choses ne se passeront pas comme prévues. Heureusement, en cas de problème, tous les utilisateurs bénéficient d’un support de classe mondiale. Nos ingénieurs qualifiés et notre service à la clientèle sont à votre disposition pour vous aider. Cela s’applique à tous les utilisateurs, même ceux qui sont encore au stade d’essai gratuit du produit. Le support n’est pas une option supplémentaire pour laquelle vous devriez payez plus.

Avantages de WebTitan Cloud pour les MSP

Comment les utilisateurs notent-ils WebTitan par rapport à Cisco Umbrella ?

Toutes les solutions de filtrage Web n’offrent pas le même niveau de protection et beaucoup d’entre elles ne sont pas à la hauteur des attentes une fois installées. Pour ce qui est de WebTitan Cloud, non seulement, vous pouvez économiser beaucoup d’argent, mais notre solution de filtrage DNS est facile à installer, à utiliser et à mettre à niveau. De plus, si jamais vous rencontrez des problèmes, ou bien si vous avez besoin d’aide, vous bénéficierez toujours d’un service à la clientèle fiable.

Naturellement, nous chantons les louanges de WebTitan Cloud de manière à ce que nous essayions de vendre notre produit. Mais la plupart des utilisateurs de WebTitan sont d’accord avec nous et aiment utiliser notre produit. Vous pouvez le voir sur les sites d’évaluation tels que G2 Crowd.

G2 Crowd est un site indépendant d’évaluation de logiciels d’entreprise auquel les chefs d’entreprise font confiance pour fournir des informations sur les meilleures solutions logicielles sur le marché. Le site compte actuellement plus de 650 000 commentaires publiés par des utilisateurs vérifiés et vous donne un aperçu des différents produits du marché pour vous permettre de les comparer.

Découvrez pourquoi le filtrage DNS est la protection réseau la plus flexible et la plus évolutive

Découvrez pourquoi le filtrage DNS est la protection réseau la plus flexible et la plus évolutive

Selon les chercheurs en cybersécurité, 66% des malwares sont installés via des pièces jointes malveillantes et 64% des entreprises subissent des attaques liées au phishing.

La plupart des attaques commencent par des e-mails dans lesquels des messages envoyés à un utilisateur ciblé lui demandent de cliquer sur un lien, de télécharger une pièce jointe ou d’effectuer une action telle qu’un virement bancaire.

Plus inquiétant encore, beaucoup d’attaquants se livrent actuellement au spear phishing. Pour ce type d’attaque, les pirates ciblent des personnes ayant accès à des fonctions spécifiques telles que la finance ou l’administration informatique. Une stratégie efficace pour arrêter ces attaques est d’utiliser un filtre de contenu web basé sur le DNS.

Qu’est-ce que le filtrage DNS ?

Pour chaque demande sur Internet, un ensemble spécifique de procédures s’exécute avant qu’un utilisateur puisse visualiser le contenu dans un navigateur. Une des premières étapes consiste à interroger le serveur DNS, lequel est configuré soit comme une valeur statique assignée à la carte réseau du périphérique, soit comme une valeur configurée dynamiquement lorsque le périphérique de l’utilisateur démarre.

Les réseaux informatiques des entreprises ont généralement leurs propres serveurs DNS pour les requêtes internes, puis ils dédient des serveurs DNS externes pour les requêtes web. Au lieu d’obliger les utilisateurs à se souvenir des adresses IP complexes (surtout depuis le déploiement des adresses IPv6), le DNS leur permet de saisir des noms conviviaux dans un navigateur et les requêtes contre les serveurs de noms renvoient l’adresse IP associée.

Plusieurs autres requêtes se produisent entre le handshake client-serveur, mais ce sont les requêtes DNS qui lient le nom de domaine convivial avec l’adresse IP du serveur. L’ancien filtrage de contenu web impliquait l’interception des requêtes et le blocage du contenu du domaine sur la base de politiques définies par les administrateurs informatiques, mais ces méthodes étaient imprécises et les utilisateurs pouvaient éviter ces filtres en utilisant plusieurs méthodes.

Le filtrage DNS implémente le filtrage web pendant le processus de requête. Les administrateurs mettent en place des politiques qui bloquent des adresses IP spécifiques classées comme inappropriées pour un environnement d’entreprise. Toutes les adresses IP bloquées ne sont pas nécessairement malveillantes. Les administrateurs peuvent bloquer les adresses IP auxquelles les utilisateurs ne devraient pas pouvoir accéder pendant les heures d’ouverture et les adresses IP jugées malveillantes peuvent également être bloquées. Avec un blocage de contenu efficace, toutes les requêtes d’accès à des adresses IP malveillantes doivent être enregistrées et l’administrateur doit en être informé.

Si plusieurs utilisateurs tentent d’accéder à la même adresse IP malveillante, des alertes avertissent l’administrateur qu’une campagne de phishing pourrait cibler son organisation.

Filtrage DNS du niveau de la page (Page Level DNS Filtering)

Parce que le filtrage DNS est basé sur la recherche de domaine, toutes les pages d’un domaine risquent donc d’être bloquées. Par exemple, le domaine Medium.com héberge plusieurs types de contenu, de sorte que le blocage du domaine Medium.com filtrerait tout le contenu du domaine.

La solution innovante de filtrage DNS basé dans le cloud peut palier à ce problème, en bloquant uniquement les URL et les pages. Grâce aux filtres les plus récents, les administrateurs peuvent bloquer des pages et leur contenu plutôt que l’adresse IP complète. Les administrateurs disposent ainsi d’une approche plus granulaire du filtrage de contenu web, plutôt que d’établir une liste blanche pour chaque URL que les employés pourraient avoir besoin dans leurs tâches quotidiennes.

Reprenons l’exemple de Medium.com, grâce au filtrage DNS basé dans le cloud, les administrateurs peuvent bloquer certains contenus en fonction des catégories de stratégies, puis autoriser le contenu approprié que les salariés peuvent avoir besoin pour mener à bien leurs attributions.

Cette approche hybride du filtrage donne aux administrateurs un niveau de contrôle plus granulaire sur le contenu. La plupart des attaques sont basées sur les pages plutôt que sur le domaine. Les attaquants peuvent donc utiliser des hôtes connus et cacher des pages dans des contenus inoffensifs et utiles. Ces pages devraient aussi être bloquées de telle sorte que le reste du domaine puissent rester accessible aux employés.

Même avec une approche hybride, les administrateurs informatiques ont toujours la possibilité de bloquer des domaines entiers. Le blocage d’un domaine entier peut s’avérer nécessaire si le même domaine a plusieurs URLs qui pourraient nuire à la sécurité et à la stabilité du réseau.

Les domaines qui hébergent du contenu généré par l’utilisateur pourraient intégrer un contenu malveillant ou de liens de redirection vers un site contrôlé par un attaquant. Grâce à l’approche hybride, les administrateurs peuvent choisir de bloquer l’ensemble du domaine au niveau DNS ou de bloquer uniquement les URL spécifiques contenus dans le nom de domaine.

Quel type de filtrage web peut bloquer les techniques de phishing ?

Les pirates informatiques disposent de nombreuses méthodes pour inciter les utilisateurs à accéder à un site qu’ils contrôlent ou à télécharger une pièce jointe malveillante. Les e-mails contenant des liens simples sont également utilisés pour inciter les utilisateurs à accéder à une page web malveillante. Toute requête web est analysée à l’aide d’une solution de filtrage DNS basé dans le cloud et le contenu jugé inapproprié ou malveillant peut donc être bloqué.

Plus important encore, un bon filtre web peut générer des notifications et des journaux qui permettent à un administrateur d’identifier une attaque possible si la même adresse IP est demandée par plusieurs utilisateurs. Le fait de savoir qu’une campagne de spear-phishing ou une attaque en cours cible une organisation peut aider énormément à éviter les atteintes coûteuses aux données. Lorsqu’ils sont bien informés, les aux administrateurs réseau peuvent bloquer les e-mails malveillants et les pièces jointes qui pourraient télécharger des malwares ou infecter le réseau.

Le filtrage DNS de WebTitan inclut la catégorisation de contenus et la détection d’URL malveillantes. Il propose également des mises à jour en temps réel et automatisées lorsque de nouveaux contenus et sites malveillants sont détectés. WebTitan peut détecter plus de 60 000 nouvelles itérations de programmes malveillants chaque jour.

WebTitan est hautement évolutif. Il est hautement évolutif. Il prend en charge de petits déploiements via des fournisseurs d’accès Internet et des déploiements avec des millions d’utilisateurs, avec des performances de requête en URL exceptionnelles. WebTitan offre également une précision, une couverture et une détection de sites web malveillants à la pointe du marché, et ce, grâce à une API facile à intégrer. Nos catégories web sont rassemblées grâce à des analyses avancées et à la détection en temps réel de 500 millions d’utilisateurs finaux et de plus de 5 milliards de requêtes web par mois, couvrant 99,9 % du web actif.

Pour plus d’informations sur le filtrage DNS de WebTitan, visitez notre page produit. Ou mieux encore, testez WebTitan par vous-même en vous inscrivant pour un essai gratuit. Contactez-nous pour de plus amples renseignements ou pour prenez rendez-vous avec l’un de nos spécialistes pour évaluer par vous-mêmes l’efficacité de notre produit.

Comment simplifier la gestion du filtrage de contenu web avec LDAP ?

Comment simplifier la gestion du filtrage de contenu web avec LDAP ?

Le filtrage de contenu Web fait partie intégrante du plan de sécurité multicouche des entreprises d’aujourd’hui. Une solution de filtrage de contenu est conçue pour empêcher l’accès à des sites de déploiement de malwares bien connus, à des domaines parqués – c’est-à-dire qui n’appartiennent pas obligatoirement à un webmaster réel ou à un site web – et à des sites temporaires souvent utilisés pour les publicités malveillantes ou d’autres actes sans scrupules.

Certaines entreprises soucieuses de la sécurité appliquent des règles de liste blanche strictes concernant l’utilisation du web, empêchant l’accès à tout site qui ne figure pas sur une liste approuvée.

Un filtre de contenu est également conçu pour gérer les paramètres d’utilisation web des employés et des utilisateurs. De nombreuses entreprises empêchent leurs employés d’accéder à des sites improductifs, contenant des contenus inappropriés ou offensants. Certains organismes, comme les systèmes scolaires, mettent en œuvre le filtrage de contenu pour se conformer aux exigences gouvernementales afin d’obtenir des fonds et des subventions pour l’éducation.

Le filtrage de contenu doit être flexible

En ce qui concerne le filtrage de contenu, tous les utilisateurs ne sont pas identiques, car chacun d’eux a une fonction différente. Par exemple, une succursale d’une banque peut refuser l’accès à Internet aux caissiers, tandis que les courtiers en hypothèques peuvent avoir accès à une variété de sites pour mener à bien leur travail. Ceci peut être réalisé à l’aide de stratégies de configuration réseau telles que les VLAN.

Ainsi, les périphériques VLAN des caissiers se verraient refuser l’accès à l’internet tandis que ceux des courtiers en hypothèques se verraient attribuer une politique moins restrictive. Cette stratégie fonctionne parfaitement tant que les utilisateurs utilisent toujours le même appareil. Mais que se passe-t-il si un technicien informatique travaille sur un guichet automatique et a besoin d’un accès à Internet ? Que se passe-t-il si un administrateur a besoin d’accéder à un site bloqué ?

Un exemple courant est celui des systèmes scolaires, qui peuvent universellement bloquer un site tel que Facebook. Pourtant, il existe chaque semaine des circonstances exclusives, telles que le principe selon lequel il faut accéder à Facebook pour mener une enquête sur la cyberintimidation.

Chaque école pourrait avoir un kiosque d’ordinateur, c’est-à-dire un ordinateur autonome en accès public, avec une adresse statique assignée qui pourrait ensuite se voir attribuer un profil web ouvert pour les administrateurs scolaires ou les bibliothécaires des médias. Pourtant, ce type de stratégie limite l’agilité des utilisateurs privilégiés qui ont un profil d’itinérance.

Bref, la gestion claire du filtrage de contenu en fonction des VLAN et des sous-réseaux n’offrent que peu de flexibilité.

L’avantage de l’intégration LDAP

C’est pour toutes les raisons susmentionnées que le protocole LDAP s’avère actuellement si important pour les solutions de filtrage de contenu. Cette solution de gestion de l’accès web offre beaucoup plus de souplesse aux groupes et aux utilisateurs. La plupart des logiciels de filtrage de contenu web fournissent aujourd’hui une section de configuration pour entrer les informations LDAP, ce qui permet au logiciel d’utiliser les authentifications LDAP.

Différentes solutions de filtrage capturent les informations d’identification LDAP de différentes manières. Dans un environnement de laboratoire informatique scolaire, les enseignants et les élèves pourraient par exemple se connecter aux mêmes postes de travail et recevoir l’accès web dont ils ont besoin grâce à leur identifiant de compte LDAP. C’est un moyen beaucoup plus simple de fournir des politiques d’accès web multiples. Vous pouvez également attribuer des privilèges de priorité à certains utilisateurs afin que ceux qui sont approuvés puissent accéder à des sites web bloqués au cas où cela serait absolument nécessaire.

L’intégration LDAP se distingue nettement dans le domaine de l’enregistrement et du reporting. Comme la plupart des entreprises utilisent DHCP pour leur poste de travail et leurs appareils mobiles, il est impossible d’examiner les journaux datant de plus d’un jour pour déterminer quelles machines ont accédé ou tenté d’accéder aux sites non autorisés. Souvent, même si la machine exacte est localisée, la corrélation de cette machine avec un utilisateur désigné est toujours difficile.

Avec l’intégration LDAP, le reporting devient un jeu d’enfant. Pour les solutions de filtrage de contenu qui offrent des fonctions de rapport étendues, un rapport complet peut être créé, montrant chaque site consulté par un utilisateur dans une fenêtre temporelle désignée lorsqu’une enquête s’avère nécessaire.

Filtrage LDAP et DNS

Si un utilisateur est affecté à plusieurs stratégies web parce qu’il est membre de plus d’un groupe LDAP, la direction peut spécifier que la stratégie la moins restrictive ou la plus restrictive sert de valeur par défaut. Vous pouvez également créer une politique par défaut pour les visiteurs et les invités qui n’ont pas de compte LDAP dans l’entreprise.

L’intégration LDAP est encore plus importante pour les emplacements de filtrage DNS basés dans le cloud. Les solutions dans le cloud sont idéales pour les entreprises qui ont des appareils mobiles dont les utilisateurs quittent fréquemment l’entreprise. C’est par exemple le cas des étudiants inscrits à des programmes individuels dans les écoles de la maternelle à la 12e année. Dans ces cas, le gestionnaire de filtres ne réside pas sur place, l’adresse IP activée par NAT (Network Address Translation) ne sera pas reconnue. Cela signifie que les politiques de filtrage ne peuvent pas être dérivées autour des adresses IP et des VLAN. L’intégration LDAP est donc une nécessité dans ces circonstances. Elle est utilisée à l’aide d’une solution client qui capture la session LDAP.

LDAP s’intègre à de nombreux aspects des entreprises d’aujourd’hui et votre solution de filtrage de contenu web ne devrait pas faire exception. Il fournit la granularité dont vous avez besoin pour gérer tous vos utilisateurs, peu importe où ils se trouvent.

Si vous êtes à la recherche d’une nouvelle solution, n’hésitez pas à vous renseigner sur cette fonction essentielle.

Si votre organisation utilise des services d’annuaire tels que LDAP, NetIQ ou Active Directory, WebTitan fournit les API pour intégrer notre solution de filtrage de contenu HTTPS dans votre service d’annuaire ainsi que d’autres outils de déploiement, de facturation et de gestion.

Vous êtes un professionnel de l’informatique et vous voulez vous assurer que vos données et appareils sensibles sont protégés ? Inscrivez-vous pour découvrir une démonstration de notre produit ou envoyez-nous un e-mail à info@titanhq.fr pour toute question.

AdvisorsBot : une nouvelle menace malveillante polyvalente distribuée par des spams

AdvisorsBot : une nouvelle menace malveillante polyvalente distribuée par des spams

Les hôtels, restaurants et entreprises de télécommunications sont la cible d’une nouvelle campagne de spam qui distribue une nouvelle forme de malware appelée AdvisorsBot. AdvisorsBot est un téléchargeur de malwares qui, comme de nombreuses autres variantes, est distribué par des emails contenant des pièces jointes Microsoft Word avec des macros malveillantes.

L’ouverture d’une pièce jointe infectée et l’activation des macros figurant dans le document entraîneront l’installation d’Advisorsbot. Le rôle principal de ce malware est de relever les empreintes digitales sur un appareil infecté. Les informations recueillies sur le dispositif infecté sont ensuite communiquées aux serveurs de commande et de contrôle des acteurs de la menace et des instructions supplémentaires sont fournies au malware en fonction des informations collectées sur le système. Le malware enregistre les informations système, les détails des programmes installés sur l’appareil, les détails du compte Office et d’autres informations. Il est également capable de faire des captures d’écran sur un appareil infecté.

AdvisorsBot est ainsi nommé parce que les premiers échantillons de malwares identifiés en mai 2018 ont contacté les serveurs de commande et de contrôle qui contenaient le mot advisors.

La campagne de spam est principalement menée sur des cibles aux États-Unis, mais d’autres infections ont également été détectées dans le monde entier. Selon les chercheurs en sécurité de Proofpoint qui ont découvert cette nouvelle menace, plusieurs milliers d’appareils ont été infectés par le malware depuis le mois de mai. Les pirates qui seraient à l’origine de ces attaques sont un groupe d’attaquants APT (Advanced Persistent Threat), connu sous le nom de TA555.

Différents leurres par email ont été utilisés dans cette campagne de malware pour inciter les destinataires à ouvrir la pièce jointe infectée et à activer les macros. Les emails envoyés aux hôtels semblaient provenir de personnes ayant été facturées deux fois pour leur séjour. La campagne sur les restaurants a utilisé des emails qui affirmaient que l’expéditeur a souffert d’une intoxication alimentaire après avoir mangé dans un établissement particulier, tandis que les attaques contre les entreprises de télécommunications avaient recours à des pièces jointes d’emails qui semblaient être des curriculum vitae de candidats postulant à une offre d’emploi.

AdvisorsBot est écrit en langage « C », mais une deuxième forme du malware a également été détectée. Cette variante est écrite en .NET et PowerShell. Cette deuxième variante a été nommée PoshAdvisor et elle est exécutée via une macro malveillante. Cette macro va, à son tour, exécuter une commande PowerShell qui télécharge un script PowerShell, lequel exécute le shellcode, ce qui exécute le malware dans la mémoire sans l’écrire sur le disque de l’appareil infecté.

Ces menaces de malware sont encore en cours de développement. Elles sont typiques de nombreuses menaces de malwares récentes qui disposent d’un large éventail des capacités et de la polyvalence nécessaires pour de nombreux types d’attaques différents comme le vol d’informations, la distribution de ransomwares et l’extraction de cryptomonnaie. Les actions malveillantes sont déterminées en fonction du système sur lequel le malware a été installé. Si ce système est parfaitement adapté à l’extraction de cryptomonnaie, le code correspondant sera installé. Si l’entreprise présente un intérêt particulier, elle fera l’objet d’un compromis plus large.

La meilleure forme de défense contre cette campagne est l’utilisation d’une solution avancée de filtrage de spam pour empêcher la distribution des emails malveillants, ainsi qu’une formation de sensibilisation des employés à la sécurité afin qu’ils puissent réagir au cas où une telle menace arriverait dans leur boîte de réception.