Le piratage de compte en hausse, une opportunité pour les MSP

Récemment, la propriétaire d'une société de traiteur à Kettering, dans l'Ohio, a commencé à recevoir des e-mails étranges : un colis qu'elle avait commandé sur Amazon avait été livré, mais elle ne se souvenait pas avoir commandé quoi que ce soit. Suite à cet incident avec Amazon, elle a reçu un e-mail l'informant que sa cotisation d'assurance-vie augmentait. Mais elle ne se souvenait pas en avoir été informée par son courtier en assurance.

Ensuite, ce sont les SMS qui ont commencé : les mariés Finkbein-Markle n'avaient pas reçu la confirmation du service de traiteur pour leur mariage. Et une fête de départ à la retraite attendait ses 72 cupcakes, une commande qu'elle n'avait jamais validée. Soudain, sa vie ressemblait à une suite de réservations oubliées et de commandes de fournitures dont elle n'avait aucune trace.

La cheffe d'entreprise commençait à mettre sérieusement en doute sa santé mentale. C'est alors que la problème est devenu plus grave, quand d'autres personnes de son entreprise ont commencé à vivre la même chose.

Cette expérience lui a appris la valeur d'un MSP (fournisseur de services gérés) pour son entreprise. « Mon mari s'occupait de notre service informatique. J'ai commencé en faisant des cupcakes pour mes voisins, et cela s'est progressivement transformé en entreprise, et maintenant j'ai un petit bureau et six personnes salariées », explique Nancy, qui a souhaité rester anonyme, par peur de faire fuir les clients. « Il effectuait toutes les opérations techniques de base et je pensais que tout allait bien. Je n'ai jamais rencontré de problèmes, et notre entreprise a continué de grandir. Je n'aurais jamais pensé qu'un pirate s'intéresserait à moi. Je pensais qu'ils s'en prenaient uniquement au gouvernement. »

Mais même si l'entreprise de Nancy n'a rien à voir avec une agence gouvernementale ou un établissement de santé, certains de ses clients faisaient partie de ces secteurs. « L'un de nos clients est un centre de soins pour les personnes atteintes de cancer, et les pirates essayaient d'utiliser mes identifiants pour s'introduire dans ce centre », explique-t-elle.

L'impact réel des piratages de compte

Une fois que son mari a commencé à creuser plus loin, Nancy a réalisé qu'elle avait été victime d'un piratage de compte et que quelqu'un se faisait passer pour elle. Un piratage de compte est un cybercrime dans lequel un pirate obtient un accès non autorisé au compte de la victime. Une fois que le pirate a accès au compte, il peut l'utiliser pour effectuer des transactions non autorisées, comme des virements, des achats ou des modifications de paramètres de compte. Le piratage de compte est de plus en plus courant. Les chiffres font réfléchir.

Entre 2019 et 2021, les piratages de compte ont augmenté de 307 %. En 2022, la hausse s’est poursuivie, avec des attaques en hausse de 121 %. « D'après nos observations cette année, je m'attends à ce que l'augmentation soit similaire », déclare David Kingsley, analyste en cybersécurité basé à Halifax, en Nouvelle-Écosse.

Nancy a également appris qu'on ne peut pas négliger la cybersécurité. « Mon mari pensait qu'il faisait tout ce qu'il fallait, les firewalls et tout le reste, et pour moi, l'avantage est qu'il ne me coûtait rien ! Mais je l'ai payé cher », se souvient-elle.

Après l'incident, elle a embauché un fournisseur de services gérés local pour venir réparer le problème et s'assurer que l'entreprise de traiteur avait une bonne cybersécurité en place pour éviter que cela ne se reproduise. « Ils ont été super, la tranquillité d'esprit en vaut la peine selon moi », se réjouit Nancy tout en posant le glaçage sur ses cupcakes. « Mon fournisseur de services gérés me permet de me concentrer sur la cuisine et sur mes clients. »

Nancy dit qu'elle n'avait jamais entendu parler des piratages de compte auparavant et qu'elle ne voulait plus jamais prononcer ces mots. « J'ai bien assez de choses à retenir, entre mes recettes et les besoins de mes clients. Je préfère externaliser l'informatique, pour ne plus avoir à y penser. »

L'histoire de Nancy montre que le piratage de compte peut concerner quiconque dont la sécurité présente quelques failles. « Mes mots de passe n'étaient pas bons du tout, et mon mari aurait dû s'en rendre compte. Notre fournisseur de services gérés est désormais en charge de tout cela. »

Il suffit d'adopter de bonnes pratiques de cybersécurité

David Kingsley lui donne des conseils qu'elle aurait aimé avoir plus tôt. « Créez des mots de passe complexes et ne les réutilisez pas entre plusieurs comptes. Un mot de passe fort comporte au moins 12 caractères et comprend un mélange de lettres majuscules et minuscules, de chiffres et de symboles », résume-t-il, en ajoutant qu'il faudrait avoir des mots de passe forts différents pour les autres comptes.

« Tous mes mots de passe étaient cupcake123 », se souvient-elle. « Aujourd'hui, plus aucun de mes mots de passe n'utilise ce mot, je ne les mémorise plus, mais mon fournisseur de services gérés m'a paramétré un gestionnaire de mots de passe. »

David Kingsley souligne que le fournisseur adopte la bonne approche. « Très souvent, pour les plus petites entreprises, les principes de base peuvent déjà réduire le risque d'une attaque de 90 % ou plus. Ces petites entreprises sont des opportunités à saisir pour les fournisseurs de services gérés. »

Il explique en outre que, malgré l'essor du piratage de compte, la protection contre ces attaques revient à appliquer quelques règles de base. « Activez l'authentification multifacteur (MFA). La MFA ajoute une couche de sécurité supplémentaire en vous obligeant à fournir un deuxième facteur. C’est particulièrement important pour éviter le piratage de compte. »

D'après David Kingsley, les fournisseurs de services gérés devraient enseigner aux propriétaires de TPE/PME comme Nancy d'être prudents avant de cliquer sur des liens ou des pièces jointes. « Un e-mail de phishing bien placé peut être un vrai jackpot pour un pirate informatique. »