Comme je m'installe à mon bureau pour une nouvelle journée, un message apparaît sur mon bureau et m'indique qu'une nouvelle mise à jour de sécurité est disponible pour Windows. La question pressante est : est-ce que j'accepte de télécharger et d'installer la mise à jour maintenant ? Je sais que ça va nécessiter un redémarrage et j'ai quelques e-mails urgents à répondre, donc je ne peux tout simplement pas être dérangé pour le moment. Je clique dédaigneusement sur "plus tard" et je le repousse à un autre jour
De l'autre côté de la planète, il y a un autre ordinateur qui a eu ce même pop-up. "Nouvelle mise à jour de sécurité, souhaitez-vous télécharger et installer maintenant ?". L'utilisateur de cet ordinateur, cependant, choisit de télécharger immédiatement la mise à jour. Une fois qu'il est téléchargé, une équipe se met rapidement au travail pour décortiquer la mise à jour de sécurité et constater qu'il contient un correctif pour une importante faille. Avec ce savoir-faire clé, cet utilisateur mal intentionné est en mesure de mettre rapidement en place un script qui peut entrer par la porte dérobée de n'importe quel ordinateur non corrigé sur cette version de Windows et lui fournir un accès. Maintenant armé de cet accès, ce dernier est libre d'accéder à toutes les données intéressantes, de prendre l'ordinateur en otage pour une rançon, de l'utiliser comme un point d'entrée pour le reste de mon réseau ou tout simplement créer des dommages si c'est son intention. Dans les heures qui ont suivi ma décision de reporter ma mise à jour de sécurité, je me retrouve exposé aux caprices de cette personne à des milliers de kilomètres.
Bien que cela puisse ressembler à un récit d'un thriller high-tech, c'est la réalité dans laquelle nous vivons maintenant : mises à jour constantes de sécurité, correctifs pour serveurs, changement de mots de passe et authentification multifactorielle. À mesure que les données stockées par les organisations du monde entier deviennent de plus en plus précieuses et que les transactions financières circulent de plus en plus dans le cyberespace, les incitations financières pour accéder illicitement aux ordinateurs privés augmentent également. Avec quelques jours de travail, il est possible de voler des centaines de milliers, peut-être des millions, de dollars.
Alors que j'assistais à la réunion de la communauté européenne pour le PCI Security Standards Council (PCI SSC) la semaine dernière, j'ai participé à une session discutant d'une première ébauche des normes de sécurité des données du secteur des cartes de paiement (PCI DSS) Version 4.0. Ces normes mises à jour pourraient potentiellement offrir une plus grande souplesse dans la sécurisation des données des détenteurs de cartes dans un paysage de menaces en constante évolution, tout en assurant des objectifs clairs pour la sécurisation des données. Au fur et à mesure que de nouvelles méthodes de piratage des données des détenteurs de carte sont mises en œuvre et que les meilleures pratiques évoluent continuellement pour s'attaquer à ces méthodes, une plus grande flexibilité peut permettre aux commerçants de s'adapter rapidement. Par exemple, alors que les meilleures pratiques suggéraient auparavant un changement fréquent des mots de passe, cette pratique est moins sûre dans de nombreux environnements systèmes actuels. En tant qu'organisation participante à la PCI SSC, AdvantageCS contribuera au processus de commentaires sur cette mise à jour des normes.
Chez AdvantageCS, nous nous efforçons de favoriser des partenariats solides avec nos clients afin de les aider à s'adapter à un monde de meilleures pratiques en constante évolution, de normes du secteur et de réglementations publiques. De la récente réglementation RGPD dans l'Union européenne aux normes PCI DSS bientôt mises à jour, nous travaillons avec nos clients sur des solutions pratiques pour rester conformes. Dans certains cas, cela signifie un partenariat autour de nouveaux développements qui intègrent le concept de « sécurité par conception ». Dans d'autres cas, nous fournirons nos services d'hébergement ou d'autres services autour du logiciel Advantage pour alléger le poids au sein de nos clients. Quel que soit votre niveau d'association, nous sommes toujours heureux de vous aider à trouver la meilleure solution pour sécuriser les données de votre environnement Advantage.