Sécurité

Sensibilisation à la cybersécurité et sa terminologie : les bases à connaître

En matière de protection informatique, être réactif ne suffit pas : il faut aussi et surtout être proactif. Découvrez ci-dessous l’univers de la cybersécurité et apprenez à mieux vous protéger, vous et votre entreprise.

Les fuites de données ne sont pas une fatalité, anticipez-les !

La vie numérique a connu une croissance exponentielle ces dernières années. Tout comme les risques de cyberattaques.

82 %

des fuites de données sont d’origine humaine, comme l’utilisation d’identifiants volés ou l’hameçonnage.¹

10 000

milliards de dollars : selon les estimations, c’est ce que devraient coûter au minimum les dommages liés à la cybercriminalité en 2025.²

La sensibilisation à la cybersécurité : votre meilleure arme pour pouvoir anticiper

Il existe quatre grands moyens d’accéder à vos biens informatisés : les identifiants, le hameçonnage, l’exploitation des faiblesses et les réseaux d’ordinateurs zombies.¹ Ce sont tous les quatre des menaces omniprésentes dans l’univers de la cybersécurité et aucune entreprise ne peut garantir sa protection sans avoir de plan pour les contrer.

Il est primordial que les membres de votre entreprise et vous-même compreniez les définitions de base des différents termes employés dans le cadre des cyberattaques. Vous pourrez ainsi identifier plus facilement les signaux d’alerte liés à une fuite de données et sensibiliser à votre tour les autres personnes sur les risques encourus. En outre, cette connaissance vous aide à informer les clients rapidement et clairement en cas de cyberattaque.

Connaître les différents types de cyberattaque et leur définition

Vous êtes un client et vous ne comprenez pas vraiment le vocabulaire utilisé par une entreprise qui vous alerte sur une fuite de données ? Vous êtes une entreprise et vous désirez communiquer efficacement avec vos clients en cas de données piratées ?

Il est important de noter que la terminologie liée aux cyberattaques est souvent mal utilisée : un incident de cybersécurité est souvent appelé à tort « piratage informatique ». Nous vous recommandons de toujours bien relire les détails que vous vous apprêtez à partager et de vous référer uniquement aux informations provenant d’une source digne de confiance.

Conseil : fiez-vous avant tout à l’entreprise ou l’organisation impliquée et référez-vous à leurs communiqués, articles de blog, publications et autres, qui seront alors des sources fiables.

Le vocabulaire lié aux cyberattaques à connaître absolument :

Pirate/hacker

Utilisateur non autorisé qui tente d’accéder à un système d’information ou au réseau via lequel des personnes créent, partagent ou diffusent des informations depuis leurs appareils.

Cyberattaque

Tout acte malveillant visant à collecter, désorganiser, invalider, endommager ou détruire des informations ou des ressources utilisées par les systèmes d’information.

Piratage

Tentative d’exploitation d’un système informatique, d’un réseau privé, d’un ordinateur ou d’un appareil à l’aide d’identifiants volés.

Définition des types de cyberattaque les plus courants

  • Bourrage d’identifiants (ou credential stuffing) : il s’agit de l’étape qui suit une violation de données et au cours de laquelle une personne malveillante utilise l’identifiant et le mot de passe trouvés sur tous les sites et applications possibles. Réutiliser un même mot de passe est donc risqué : si l’un de vos comptes se fait pirater, les autres deviennent à leur tour vulnérables.
  • Attaque d’applications web basique : elle cible directement l’infrastructure la plus exposée d’une entreprise, comme un serveur web par exemple.
  • Hameçonnage (ou phishing) : technique de fraude consistant à usurper l’identité d’une entité ou personne fiable dans un e-mail ou toute autre forme de communication comme le SMS (smishing) ou l’appel vocal (vishing).
  • Rançongiciel (ou ransomware) : sorte de logiciel malveillant visant à crypter des fichiers installés sur un appareil pour rendre inutilisables tous les autres dispositifs et systèmes exploitant ces fichiers. Les rançongiciels continuent d’être de plus en plus utilisés, avec une augmentation annuelle de près de 13 %, soit une hausse équivalente à celle de ces cinq dernières années cumulées.¹
  • Piratage psychologique : méthode consistant à tromper un individu, en établissant un faux lien de confiance, dans le but de l’inciter à révéler des informations sensibles qui serviront ensuite à obtenir un accès non autorisé ou à commettre une fraude.
  • Attaque de la chaîne d’approvisionnement : cette cyberattaque consiste à injecter des éléments malveillants dans un programme avant même son installation, afin d’accéder aux données ou de manipuler les produits (matériel, logiciels, systèmes d’exploitation, périphériques) ou services informatiques à tout moment du cycle de vie du programme infecté.

Il est important de bien cerner les différences entre ces définitions. Référez-vous toujours à la source d’information pour étudier la façon dont l’entreprise communique sur le sujet et la terminologie employée. Cela vous aidera à mieux comprendre l’impact potentiel de la cyberattaque et les démarches à entreprendre pour la contrer.

Les cyberattaques peuvent provoquer une certaine panique, mais vous parviendrez plus facilement à les déjouer si vous connaissez la bonne terminologie, la comprenez et savez l’utiliser.

Comment élaborer une stratégie de cybersécurité

Après avoir sensibilisé votre entreprise à la cybersécurité, l’idéal est de passer rapidement à l’action en élaborant un plan de protection informatique proactif. Vous pouvez commencer par les mesures de sécurité suivantes :

  • Utiliser un mot de passe complexe, unique et différent pour chaque compte en ligne.
  • Activer l’authentification multifacteur (MFA) pour les services tels que la boîte de réception des e-mails, les réseaux sociaux, l’accès aux comptes bancaires en ligne, les applications professionnelles, etc.
  • Utiliser un outil de surveillance des fuites de données afin de garder un œil sur vos identifiants en ligne et d’être alerté(e) en cas de piratage, ce qui vous permet de modifier immédiatement l’identifiant concerné pour éviter d’autres fuites de données.
  • Réagir de manière proactive lorsque vous êtes face à des tentatives classiques de cyberattaque : ne cliquez pas sur les liens envoyés par des personnes que vous ne connaissez pas, n’ouvrez pas les sites web mal orthographiés, ne répondez pas aux e-mails mal écrits et provenant d’adresses inconnues.
  • Exécuter un logiciel antivirus, anti-logiciel malveillant ou de protection des terminaux.
  • Mettre régulièrement à jour les apps et systèmes d’exploitation (OS) pour avoir des logiciels toujours actualisés.
  • Sauvegarder régulièrement les données critiques, qu’elles soient stockées localement ou sur un cloud, pour s’assurer d’avoir toujours une copie des informations sensibles dans un endroit sûr.

Sources utilisées

  1. « Data Breach Investigations Report (DBIR) », Verizon, 2022
  2. Rapport sur la cybersécurité pour conseils d’administration, Secureworks
  3. NIST Computer Security Resource Center

Découvrez comment LastPass protège vos données contre les acteurs malveillants, les mauvaises habitudes en matière de mots de passe, etc.

What if LastPass has a security incident, or gets hacked?

LastPass operates on a zero-knowledge security model. Zero-knowledge means that no one has access to your decrypted Master Password, vault or vault data except you. To ensure that only authorized access is granted to your vault, we use industry-standard mechanisms, such as AES-256 encryption and PBKDF2 hashing plus salting, to keep your Master Password safe.

LastPass also protects our infrastructure, by regularly upgrading systems and using redundant data centers across the globe to reduce the risk of downtime or a single point of failure. LastPass is market-tested and trusted by over 100,000 companies, including Fortune 500 and leading tech enterprises.

What are you doing to prevent LastPass from being hacked, ensuring my data is secure?

LastPass customers are protected through LastPass’ zero-knowledge security model, in which LastPass – by design – does not have access to your Master Password, vault, or vault data. This is an industry standard that all password managers should adhere to. In addition, LastPass implements several best practices to further protect you and your data, including but not limited to:

  • Certified compliance, such as SOC 2 Type II, SOC3, BSI C5, APEC CBPR and PRP Privacy Certification, TRUSTe Enterprise Privacy Certification, GDPR, and ISO/IEC 27001:2013.
  • Audits and Penetration Tests: LastPass employs trusted, world-class, third-party security firms to conduct routine audits and testing of the LastPass service and infrastructure.
  • Bug Bounty Program: LastPass welcomes and partners with security researchers to ensure continuous improvement.

How will I know if LastPass has been hacked or if an incident has occurred?

LastPass values transparency in its incident response procedures meaning you’ll receive honest and timely communication. Communication with users will depend on the incident, and those of the highest priority will include emails, blog posts, and social posts. Earning trust from our community is rooted in the ability to communicate effectively.

Hub de sécurité

LastPass se montrera toujours transparente avec ses clients. Explorez toutes nos normes et pratiques de cybersécurité proactives.

Découvrir le hub de sécurité

Modèle de sécurité zéro-connaissance

LastPass offre comme principale fonctionnalité une sécurité zéro-connaissance, qui garantit la meilleure protection à votre coffre-fort (mots de passe, notes, etc.).

En savoir plus

Livre blanc technique

Découvrez les mesures techniques et organisationnelles mises en place chez LastPass.

Lire le livre blanc

Les cyberattaques sont une réalité du quotidien. Protégez-vous avec LastPass.

Essayez gratuitement LastPass Premium pendant 30 jours ou LastPass Business pendant 14 jours. Aucune carte bancaire requise.