Éd. Remarque: Ceci est le dernier de la série d’articles, Cybersecurity: Tips From the Trenchs, par nos amis de Sensei Enterprises, un fournisseur de boutique de l’informatique, de la cybersécurité et des services de médecine légale numérique.
Une autre semaine et une autre violation de données ont frappé la presse avec des milliers de dossiers médicaux des victimes accessibles par les attaquants. Bassford Remele, un cabinet d’avocats basé au Minnesota, a annoncé qu’elle avait connu une violation de données à partir de l’été dernier. Selon l’avis de violation sur son site Web, entre le 29 juillet 2024 et le 4 septembre 2024, une partie non autorisée peut avoir accédé et potentiellement compromis les informations personnelles sensibles dans ses systèmes. On ne sait pas quel type d’informations a été accessible.
Cependant, selon l’avis, certaines informations fournies par les organisations de soins de santé auxquelles Bassford Remele fournit des services juridiques peut avoir été accessible, y compris les numéros de sécurité sociale et les informations médicales. Des avis ont été envoyés aux personnes touchées. Il semble que la violation ait été détectée lorsque Bassford Remele a découvert que des e-mails non autorisés avaient été envoyés à partir d’une demande tierce qui prétend provenir du compte de messagerie d’un employé.
Dans l’actualité, le comté de Scott, Iowa, a également confirmé que le courrier électronique d’un employé avait été accessible, exposant les dossiers médicaux, les numéros de sécurité sociale et d’autres données sur les patients pour plus de 4 300 victimes.
L’alerte en cours des violations de données se poursuivra indéfiniment, gardant de nombreux partenaires et gestionnaires d’entreprises la nuit.
C’est le bon moment pour quelques recommandations sur les étapes que les entreprises peuvent prendre immédiatement pour améliorer leur posture de sécurité des e-mails, avec des recommandations pour Microsoft 365 et Google Workspace, qui était probablement l’environnement attaqué pour les deux incidents signalés (et la plupart des attaques de nos jours):
Activez l’authentification multifactrice sur tous les comptes de messagerie et en faites une exigence d’accès. Même si un attaquant a des informations d’identification d’un utilisateur, il n’aurait pas le deuxième facteur nécessaire pour accéder au compte via le navigateur. Bien qu’il existe quelques méthodes MFA, faire en sorte que les utilisateurs sélectionnent Authenticator avec des notifications push est la meilleure option à l’avenir. En raison de problèmes de sécurité, les fournisseurs commencent à éliminer l’option SMS / code texte. Activer la politique d’accès conditionnel pour les connexions du compte avec Microsoft 365. Cette fonctionnalité de sécurité est incluse si vous avez un niveau d’abonnement 365 E3 ou plus. Si vous avez un niveau d’abonnement moindre, vous devez acheter des licences Microsoft ENTRA ID P1 pour que vos utilisateurs aient accès à cette fonctionnalité. Il permet de définir des mesures de contrôle d’accès à grain fin pour authentifier les utilisateurs pour accorder l’accès à des ressources telles que les boîtes aux lettres, les données sensibles et les applications. Les options incluent la conformité à la sécurité des périphériques, l’emplacement de la demande d’origine d’une zone approuvée et indiquant si l’utilisateur se trouve sur un réseau domestique ou de bureau. Allumez l’audit des événements dans Microsoft 365 ou Google Workspace. Cela permettra aux enquêteurs d’afficher l’activité effectuée ou les fichiers et enregistrements accessibles tandis qu’un utilisateur non autorisé est connecté à la boîte aux lettres ou au compte. Il faut jusqu’à 60 minutes pour que les modifications prennent effet. Les administrateurs peuvent rechercher le journal d’audit pour afficher l’activité utilisateur et administrateur, avec de nombreux filtres disponibles pour affiner les recherches. Les journaux d’audit aident à suivre l’accès aux documents et à démontrer la conformité, ainsi que l’activité de la boîte aux lettres. Intégrez une solution d’informations de sécurité et de gestion des événements (SIEM) avec votre environnement de messagerie basé sur le cloud. En bref, un SIEM est une solution de cybersécurité qui recueille, analyse et corréle les données de diverses sources dans un environnement informatique pour aider les organisations à détecter, à enquêter et à répondre aux menaces de sécurité. Les agents SIEM doivent être repoussés et installés sur tous les points de terminaison, y compris les ordinateurs de bureau, les ordinateurs portables et les serveurs. Une solution SIEM complète sera également intégrée aux fournisseurs de diffusion basés sur le cloud, tels que Microsoft 365 et Google Workspace.
Un SIEM est une solution de sécurité active, plutôt que réactive, alertant les administrateurs et les utilisateurs en temps réel à toutes les menaces de cybersécurité en cours, les changements de contrôle ou les alertes. La prévention des attaques de prise de contrôle des comptes d’entreprise ou les arrêt en quelques minutes ou heures, plutôt que des semaines ou des mois, est essentiel pour éviter ou minimiser les dommages à vos clients et à vos entreprises.
Comprenez votre score sécurisé Microsoft. Microsoft Secure Score est un outil d’analyse de sécurité qui fournit une valeur numérique représentant la posture de sécurité d’une organisation, indiquant à quel point ses données sont bien protégées. Un score plus élevé signifie une meilleure sécurité. Il suit également votre score au fil du temps. Microsoft fournit des recommandations et des modifications qui peuvent être apportées pour améliorer le score et la sécurité globale de l’environnement Microsoft de votre entreprise. Vous pouvez même filtrer les recommandations pour ceux inclus avec votre niveau d’abonnement actuel sans passer à une offre d’abonnement plus élevée.
Ce ne sont que quelques-unes des étapes que vous pouvez prendre pour améliorer les protections de sécurité de l’environnement de messagerie de votre entreprise, et ces recommandations ne font qu’une partie de la posture de sécurité globale de votre entreprise. Les mesures de cybersécurité d’une entreprise pour protéger les systèmes d’information et les données des clients doivent être régulièrement examinées et mises à jour, car les méthodes et tactiques des cyberattaques évoluent constamment.
Michael C. Maschke ([email protected]) est le président et chef de la direction de Sensei Enterprises, Inc. M. Maschke est un examinateur certifié EnCase (ECE), un examinateur informatique certifié (CCE # 744), un examinateur certifié AccessData (ACE), un hacker éthique certifié (CEH), et un professionnel certifié de la sécurité des systèmes d’information (CISSP). Il est un conférencier fréquent à ce sujet, la cybersécurité et la criminalistique numérique et il a co-écrit 14 livres publiés par l’American Bar Association.
Sharon D. Nelson ([email protected]) est la co-fondatrice et consultante de Sensei Enterprises, Inc. Elle est une ancienne présidente du Virginia State Bar, de la Fairfax Bar Association et de la Fairfax Law Foundation. Elle est co-auteur de 18 livres publiés par l’ABA.
John W. Simek ([email protected]) est le co-fondateur de et consulter
