Après la pandémie, chaque entreprise, quel que soit son secteur, a été obligée d’entreprendre des opérations commerciales numériques pour faire avancer les choses. Bien que cela soit de bon augure pour leur avenir ainsi que pour la commodité des clients/clients d’un point de vue commercial, la transition a également donné un plus large éventail d’objectifs à atteindre.
Les pirates ont adopté de multiples façons de s’introduire dans l’infrastructure Web des entreprises telles que l’injection SQL, les attaques DDoS et Bot, les ransomwares et les logiciels malveillants pour extraire des données et de l’argent. Les récentes violations de données signalées par Cleartrip et Policy Bazaar ont une fois de plus exposé la vulnérabilité des start-up aux cyberattaques et souligné l’urgence de placer la cybersécurité en tête de leur liste de priorités.
Les startups sont devenues plus vulnérables aux violations de données au cours des dernières années, notamment Juspay, Unacademy, Dunzo et Bigbasket. Alors que Juspay a perdu 35 millions de disques, Unacademy en a perdu plus de 20 millions ! Bigbasket a également été piraté en 2020, après quoi ils ont pris des mesures énergiques pour renforcer la sécurité.
Les violations de données ont coûté aux entreprises indiennes en moyenne 17,6 crores INR en 2022, le montant le plus élevé jamais enregistré, selon un rapport d’IBM qui a qualifié les cyberattaques de plus grand défi pour l’industrie indienne. L’équipe indienne d’intervention d’urgence informatique (CERT-In) a signalé plus de 2,12 lakh d’incidents de cybersécurité cette année (jusqu’en février). En comparaison, le CERT-In a signalé plus de 14,02 lakh d’incidents liés à la cybersécurité au total l’année dernière. Bien que des données désagrégées soient disponibles avec CERT-In, les violations de données provenant de bases de données non sécurisées ou d’interfaces de programmation d’application (API) défectueuses sont de plus en plus courantes parmi les start-ups.
Cependant, les développeurs de logiciels indiens ne prennent pas encore les cyberattaques au sérieux, car une enquête IDC a révélé que seuls 21 % des développeurs indiens ont suivi la pratique consistant à incorporer des tests de sécurité dans les premières étapes du développement de logiciels. De nombreuses start-up n’ont pas les moyens de faire ceci ou cela et en adoptant une politique de rigueur financière, la cybersécurité est souvent compromise.
L’Inde n’a pas non plus de loi complète sur la protection des données et tandis que des organismes de réglementation tels que PCI, SEBI, RBI, IRDA, etc. disposent de directives complètes sur la façon de se protéger des cyberattaques, les start-up n’accordent toujours pas assez d’importance à la sécurité des applications. Les start-ups de logiciels en tant que service (SaaS) qui gèrent des données et des opérations pour le compte de leurs clients devraient être encore plus disciplinées pour s’assurer que leur programme de cybersécurité est complet et à jour.
Les types de cyberattaques que vous devez connaître :
1. Ransomware – Les attaques de ransomware sont parmi les menaces de sécurité les plus répandues pour les sites Web et les applications Web. Un ransomware est un logiciel malveillant qui utilise le cryptage pour infiltrer et prendre le contrôle des systèmes/applications ou appareils. En règle générale, l’attaquant demande une rançon pour déchiffrer les fichiers et permettre l’accès aux systèmes ou applications piratés. La menace des ransomwares a augmenté de 92,7 % en 2021 par rapport à 2020, et chaque startup qui possède des données client précieuses est à risque.
2. Attaques de la chaîne d’approvisionnement – En termes de sécurité des applications Web, une autre menace majeure est l’attaque de la chaîne d’approvisionnement. Cela se produit lorsqu’un attaquant accède à votre application via une partie prenante externe telle qu’une société SaaS ou un fournisseur, etc. Dans l’écosystème actuel du travail à distance et des intégrations cloud, il existe souvent des points faibles ou des vulnérabilités non détectés dans la chaîne que les cybercriminels exploitent.
3. Attaques basées sur le cloud – Avec la croissance de l’adoption du cloud, les entreprises connaissent également une augmentation des attaques Web basées sur le cloud telles que :
- Injections SQL (SQLi) – Dans les attaques SQLi, l’attaquant injecte du code malveillant/des entrées non nettoyées dans les instructions SQL (Structured Query Language) en exploitant les vulnérabilités d’injection SQL présentes dans le site Web ou l’application Web. Ce faisant, les attaquants contournent essentiellement les mesures de sécurité telles que l’autorisation, l’authentification, la vérification du mot de passe, etc., et accèdent à la base de données principale de l’application et aux informations sensibles/confidentielles.
- Cross-Site Scripting (XSS) – Les attaques de type Cross-Site Scripting (XSS) sont des attaques par injection de code côté client, dans lesquelles des scripts malveillants sont injectés dans des sites Web autrement bénins et fiables. Les attaques XSS se produisent lorsqu’un site Web vulnérable renvoie un script malveillant à un utilisateur qui est exécuté dans le navigateur de la victime, permettant à l’attaquant de compromettre complètement l’interaction avec l’application.
- Déni de service distribué (DDoS) – Dans ce type de cyberattaque, les applications Web/sites Web cibles sont ralentis ou rendus indisponibles pour les utilisateurs légitimes en submergeant l’application/le réseau/le serveur avec un trafic illégitime.
- Botnets – Un botnet est un ensemble d’ordinateurs et d’appareils en réseau infectés par des logiciels malveillants (IoT, appareils intelligents, etc.) qui fonctionnent ensemble sous le contrôle d’un seul acteur malveillant ou d’un groupe d’attaquants. Un tel réseau est également connu sous le nom d’armée de zombies et chaque appareil infecté est appelé un bot/zombie. Le nombre de bots dans un botnet varie selon les réseaux zombies, allant de quelques milliers à plus d’un million d’appareils compromis.
- CSRF – Cross-Site Request Forgery (également connu sous le nom de XSRF, CSRF et Cross-Site Reference Forgery) est une attaque qui force un utilisateur final à exécuter des actions indésirables sur une application Web dans laquelle il est actuellement authentifié. Avec un peu d’aide d’ingénierie sociale (comme l’envoi d’un lien par e-mail/chat), un attaquant peut tromper et exploiter les utilisateurs d’une application Web pour exécuter des actions de son choix.
- Virus du cheval de Troie–Un programme apparemment inoffensif mais malveillant qui est téléchargé sur votre système sans votre consentement.
- Logiciel espion, etc. – Semblable à un cheval de Troie, mais utilisé pour surveiller l’activité d’un utilisateur légitime et envoyer ces données à un utilisateur/pirate malveillant tiers.
4. Menaces API – Avec l’essor rapide des applications Jamstack à page unique et de l’architecture d’application modulaire à l’ère du commerce dynamique, les API sont devenues partie intégrante de la connectivité/performance des applications. Le fait que les API aient un accès plus facile aux données en fait une cible clé des attaquants. Du codage faible aux API non sécurisées, il existe de nombreuses vulnérabilités que les attaquants exploitent pour voler les données.
5. Attaques de phishing – Dans les attaques de phishing, les victimes sans méfiance sont amenées à cliquer sur des sites Web malveillants, des liens ou à télécharger des pièces jointes qui nuisent à leurs systèmes. Une fois que l’utilisateur tombe dans le piège, l’attaquant peut accéder aux données souhaitées et également créer des portes dérobées pour effectuer son vol prévu ou d’autres activités non détectées à l’avenir.
Comment protéger votre entreprise Web
En tant que startup, il est préférable de vous concentrer sur la croissance de votre entreprise et de laisser la gestion de la sécurité à une solution holistique, gérée, intelligente et futuriste qui devrait inclure les éléments suivants :
- Un WAF de nouvelle génération capable de protéger dès le jour zéro en surveillant le trafic entrant, en bloquant les mauvaises requêtes, en appliquant des correctifs virtuels instantanés aux vulnérabilités pour empêcher leur exploitation, et en offrant des alertes en temps réel pour arrêter les menaces, etc.
- Le WAF doit être équipé de renseignements sur les menaces mondiales, d’analyses de sécurité, de technologies avancées (IA, ML, automatisation, analyses, etc.) et d’une visibilité complète sur la posture de sécurité.
- Mettre à jour en permanence l’inventaire des actifs et trouver de nouveaux domaines à explorer.
- Analyse et test d’intrusion réguliers et intelligents pour identifier les vulnérabilités avant que les attaquants ne le fassent.
- Services CDN pour éviter les temps d’arrêt dus à des pics de trafic illégitimes et volumineux et garantir la sécurité sans compromettre la vitesse.
- Protection DDoS basée sur le comportement Bot Management pour garantir que l’application est protégée contre les attaques DDoS et Bot sophistiquées.
Il est important de s’assurer en outre que les règles et les politiques sont personnalisées pour répondre aux besoins, aux spécifications et au contexte de votre entreprise afin d’assurer une protection efficace. Il est essentiel de trouver une solution prête à être personnalisée selon vos besoins, car chaque entreprise a ses propres défis, menaces de sécurité, systèmes, processus, etc. Vous devez vous assurer que la technologie que vous choisissez doit être gérée par des experts en sécurité certifiés. Ils seraient en mesure d’élaborer des politiques avec une précision extrême, d’entreprendre des tests d’intrusion pour découvrir des vulnérabilités inconnues, d’analyser et d’évaluer les données de sécurité, et de partager des recommandations pour améliorer la sécurité, etc.
Quelques éléments supplémentaires sur lesquels se concentrer pour une sécurité renforcée :
- Sécuriser les pratiques de développement et les tests
- Systèmes de gestion des fournisseurs appropriés
- Validation des entrées
- Authentification forte et contrôles d’accès
- Formation continue de toutes les parties prenantes
- Tout mettre à jour
- Sauvegarde de données
Conclusion
Dans le cyberespace, la complaisance ou croire qu’ils ne sont pas sur le radar d’un hacker sont les plus grosses erreurs que les fondateurs de startups peuvent commettre. Alors que les cybercriminels choisissent leurs cibles au hasard et ne sont pas opposés à attaquer une catégorie d’entreprises, s’ils devaient vraiment choisir des favoris, ils choisiraient toujours des entreprises plus petites et des startups. Cela est dû à la facilité et à l’inexpérience en matière de cybersécurité qu’offre ce segment. Le succès de l’entreprise numérique étant le meilleur pari pour l’avenir, vous ne devez jamais vous faire de fausses hypothèses sur les menaces. Restez proactif et protégez vos actifs numériques comme une armée protégeant les frontières. Dans le même temps, préparez-vous au pire en vous associant à des fournisseurs de solutions de sécurité fiables et omniprésents.
L’auteur est PDG et co-fondateur d’Indusface.
Avis de non-responsabilité : les opinions exprimées n’engagent que l’auteur et ETCIO.com n’y souscrit pas nécessairement. ETCIO.com ne sera pas responsable de tout dommage causé à toute personne/organisation directement ou indirectement.
.