Les cyberattaques et les brèches dans les grandes startups indiennes ont fait l’actualité ces derniers temps
La stratégie de sécurité d’une entreprise est aussi importante que sa dynamique commerciale de nos jours
Le secteur des startups devant exploser prochainement, il est important pour les PDG et les dirigeants de concentrer leurs stratégies pour garantir un modèle commercial en ligne sûr.
Des millions de dossiers personnels ont été divulgués (y compris le vôtre et le mien), des informations de carte de crédit volées, des attaques sur des réseaux électriques, des cyberattaques sur des pays!
La phrase ci-dessus aurait fait une belle intrigue pour un film de science-fiction il y a dix ou deux ans. Mais au cours des deux dernières années, tout ce qui précède a été une réalité et Covid-19 n’a fait qu’accélérer le processus. Les entreprises sont devenues complètement distantes du jour au lendemain, les employés devaient avoir tout accès en dehors du réseau du bureau, les informations sur les clients étaient accessibles à partir de toutes les zones où les employés étaient présents. Les entreprises ont travaillé dur pour assurer un atterrissage en douceur pour leurs équipes et rapidement leurs solutions ont été adaptées à la nouvelle réalité – qu’il s’agisse de créer de nouvelles solutions ou de modifier des solutions existantes pour se préparer à la WFH – Zomato a dû repenser leur adhésion Gold, Cult Fit l’a fait. un excellent travail de transition vers des séances de fitness en ligne, etc. Malheureusement, alors que tout cela se passait – la sécurité n’était pas la première pensée et les pirates ont su l’exploiter.
Les cyber-attaques contre certaines des plus grandes startups indiennes comme BigBasket, Juspay, Unacademy et White Hat Jr. ont pris d’assaut l’industrie lors de la pandémie de l’année dernière. Plus de 50 millions de disques volés! Eh bien, c’est en effet quelque chose.
Si bon nombre de ces incidents ont fait la une des journaux à travers le pays, plusieurs attaques à petite échelle n’ont pas non plus été signalées. De nombreux incidents de malwares infectant des sites Web et les piratant quotidiennement – sont passés inaperçus simplement parce qu’ils ne sont pas connus à l’échelle de Zomato ou de BigBaskets du monde. Bien que ces violations aient été énormes, la «réponse à l’incident» est en effet louable par ces startups indiennes – elles ont publié des déclarations publiques pertinentes, expliqué ce qui n’a pas fonctionné et quelles mesures elles ont prises pour y remédier. En effet, traité de manière professionnelle et responsable. Cependant, l’idée devrait être de s’assurer que de tels incidents ne se produisent jamais en premier lieu ou même s’ils se produisent, ils devraient être d’une ampleur beaucoup plus petite. Cela n’est possible qu’avec des audits de sécurité continus, une protection en temps réel et une détection précoce des menaces.
Il est révolu l’époque où le plan technologique d’une entreprise était considéré comme secondaire par rapport à d’autres processus. Citant le scénario actuel, où les PME et les startups mettent leurs entreprises en ligne du jour au lendemain, une stratégie technologique forte est nécessaire pour définir la stratégie commerciale globale de ces entreprises. Selon le Forum économique mondial, la cybersécurité est la principale préoccupation des PDG du monde entier. Selon IBM, les entreprises indiennes ont enregistré un coût total moyen de 2 millions de dollars de violation de données en 2020, soit une augmentation de 9,4% par rapport à 2019. Une autre enquête de Barracuda Networks a révélé que 66% des organisations indiennes ont eu au moins une violation de données ou cybersécurité. incident depuis le démarrage d’un modèle de travail à distance pendant la pandémie.
La saga des violations de données et des données en vente
Une violation de données entraîne des atteintes à la réputation et a un impact direct sur le bilan d’une organisation. La startup d’épicerie en ligne la plus populaire d’Inde, BigBasket, a été victime d’une faille de sécurité qui a compromis les données d’au moins 20 millions d’utilisateurs. La base de données de BigBasket était vendue pour plus de 40 000 $ sur le marché de la cybercriminalité.
Un autre incident qui a fait la une des journaux pendant la pandémie a été la cyber-attaque sur l’application de livraison à domicile – Dunzo. La société a signalé une violation en juillet 2020 dans laquelle ses données personnelles de 3,4 millions d’utilisateurs ont été exposées.
Les pirates n’ont même pas épargné la startup edtech – Unacademy qui a subi une violation de données massive en janvier 2020 dans laquelle des données de plus de 22 millions d’utilisateurs ont été mises en vente.
Certaines des startups licornes du nouvel âge telles que Zomato, Uber, Oyo, Airbnb ont perturbé la façon dont les gens voyagent, mangent, font des transactions – en bref, elles ont changé nos modes de vie. Toutes ces startups utilisent la technologie au centre de leurs activités et ont fini par avoir un impact significatif dans le paysage technologique mondial.
Ces startups utilisent des innovations de pointe et rassemblent un large éventail d’informations pour offrir des services et des produits exclusifs à leurs clients. Une telle énorme base de données d’informations en ligne est souvent la cible de tout pirate informatique et la répercussion même d’une petite violation de données peut être dangereuse.
Le secteur des startups devant connaître un essor prochain, il est important pour les PDG et les dirigeants de concentrer leurs stratégies sur la garantie d’un modèle commercial en ligne beaucoup plus sûr pour leurs employés et leurs clients.
Voici 5 moyens simples de protéger une startup contre une cyberattaque en 2021
- Sécurisez ces seaux et jetons: l’une des plus grandes sources de fuites de données sont les serveurs mal configurés (AWS, Azure, Google Cloud, etc.). Au fur et à mesure que les startups se développent, il est évident que leur infrastructure se développe rapidement. Cela augmente également la surface d’attaque des pirates et la configuration de ces nouveaux serveurs, tout en se développant pour répondre à la demande, présente souvent une faille de sécurité qui s’avère fatale. Nous avons suivi une augmentation massive des cas où des serveurs mal configurés permettent aux pirates d’accéder à des clés secrètes, leur permettant essentiellement d’accéder à des millions d’enregistrements. S’assurer que ces serveurs sont vérifiés à la fois en interne et audités par des sociétés de sécurité externes pour les meilleures configurations du point de vue de la sécurité est la clé.
- Obtenez des audits de sécurité réguliers: cela ne peut pas être souligné davantage. Plus les nouvelles fonctionnalités et le code sont générés plus fréquemment, plus les audits de sécurité devraient être fréquents. Les entreprises devraient obtenir au moins des analyses de vulnérabilité mensuelles pour découvrir les vulnérabilités avant les pirates. Ces évaluations de la vulnérabilité devraient faire partie des cycles de développement des organisations.
- Chiffrer au repos et en transit: le pire s’aggrave en cas de violation de données – les pirates ne doivent pas trouver vos données critiques en texte brut. Assurez-vous que toutes les données sont stockées dans un format crypté avec un cryptage fort. Cela rend la vente de données encore plus difficile pour les pirates, car des algorithmes de cryptage puissants nécessitent une puissance de calcul élevée et des décennies pour les décrypter.
- Faites de la sécurité votre argumentaire marketing: cela peut sembler un peu étrange, mais dans un monde où les gens se soucient de leur vie privée et se battent avec WhatsApp lorsqu’ils publient une nouvelle politique de confidentialité – la sécurité peut être une chose « vantardise »! votre application ou votre site Web sécurisé, vous devez indiquer les mesures que vous prenez aux clients et à quel point vous appréciez la confiance qu’ils ont mais dans votre application en partageant leurs données. Pourquoi attendre une faille de sécurité pour parler des meilleures pratiques de sécurité que vous avez suivies?
- Former l’équipe pour empêcher l’ingénierie sociale: il y a un dicton dans le secteur de la cybersécurité selon lequel les humains sont le maillon le plus faible de la sécurité. Le monde devenant «distant», cela devient encore plus réel car dans une configuration de bureau, vous auriez pu vous assurer que certaines normes de sécurité sont respectées pendant que les clients accèdent aux données critiques depuis le réseau du bureau. Maintenant, le monde est devenu votre réseau de bureau, ce qui signifie qu’en plus d’investir dans des VPN et des outils d’accès à distance sécurisés, il est essentiel de former les employés à la prévention des attaques de phishing ciblées et d’autres techniques où les attaques incitent les employés à divulguer des informations sensibles. Vous êtes aussi sûr que le maillon le plus faible!