Votre mot de passe a été exposé lors d'une violation de données. Que faire maintenant?

Les violations de données ne montrent aucun signe de ralentissement, et le résultat est le vol des informations d'identification de milliards de personnes. Aujourd'hui, il est plus probable qu'improbable que les données de quelqu'un aient été exposées lors d'une violation de données - et il se peut même qu'il ne le sache pas.

Les entreprises sont légalement tenues d'informer leurs utilisateurs et clients d'une violation de données dès qu'ils la découvrent. Habituellement, cela se présente sous la forme d'un e-mail.

Vous avez reçu un e-mail concernant une violation de données ? Ne l'ignorez pas. Quiconque soupçonne que son mot de passe ou toute autre information personnelle a été exposé lors d'une violation de données doit prendre des mesures immédiates.

Qu'est-ce qu'une violation de données ?

Le terme « violation de données » désigne le cas où les serveurs ou la base de données d'une entreprise ont été piratés par une entité extérieure, généralement un réseau criminel. Les pirates peuvent violer la sécurité d'une entreprise pour voler toutes sortes d'informations.

Habituellement, lorsqu'une violation de données fait la une des journaux, c'est parce que les dossiers des clients ont été volés. L'accès aux informations sur les clients est généralement aussi l'objectif principal des criminels.

Le type de données généralement volées lors d'une violation de données comprend :

• mots de passe (espérons-le hachés et salés si la sécurité de l'entreprise est correctement mise en œuvre),
• des noms,
• adresses mail,
• les numéros de téléphone,
• adresses physiques,
• informations de carte de crédit,
• numéros de sécurité sociale ou autres formes d'identification,
• d'autres informations personnelles confidentielles en fonction des données recueillies par l'entreprise.

Cependant, ne paniquez pas. Une violation de données ne signifie pas automatiquement que les comptes de quelqu'un ont été piratés - pour le moment. Mais cela signifie que les comptes de ces personnes et d'autres informations personnelles sont en danger. Cela pourrait également être pire pour certains que pour d'autres, en fonction de leurs habitudes de sécurité.

Recommandé pour vous : Les 5 principales menaces à la cybersécurité aujourd'hui en 2020 et au-delà.

Immédiatement : modifier les mots de passe du compte

Changez immédiatement le mot de passe du compte en question, que la violation de données soit confirmée ou non. Même si quelqu'un ne sait pas si ses données ont été exploitées lors de la violation de données, il est préférable de changer quand même les mots de passe.

Faites-en l'occasion de pratiquer également une bonne hygiène des mots de passe en rendant le mot de passe unique et complexe. Il est possible que le mot de passe n'ait pas été volé lors de la violation de données, mais changez-le néanmoins.

Les pirates disposent de diverses méthodes pour découvrir les mots de passe des utilisateurs, surtout s'ils ne sont pas assez complexes. Ainsi, s'ils ont obtenu l'adresse e-mail de quelqu'un lors d'une violation de données, ils peuvent alors essayer de trouver leur mot de passe.

Si le mot de passe du compte en question a également été utilisé sur d'autres comptes, modifiez également ces mots de passe. N'oubliez pas que ce n'est jamais une bonne idée de réutiliser un mot de passe sur plusieurs comptes, car ils peuvent également accéder à ces comptes.

Guide d'action en cas de violation de données

1. Confirmez qu'une violation de données s'est produite

Une entreprise est censée informer ses utilisateurs lorsqu'une violation de données s'est produite au moment où ils en prennent connaissance. En réalité, cela ne se produit pas toujours. Parfois, les gens le découvrent d'abord par les médias. Parfois, ils ne le savent pas du tout.

Toute personne qui ne sait pas si ses données ont été exploitées lors d'une violation de données peut consulter un outil comme Avast Hack Check ou HaveIBeenPwned. Les gens peuvent entrer leur adresse e-mail sur ce site Web, et il leur dira si des comptes associés à cet e-mail ont été impliqués dans des violations. En dehors de cela, il est également généralement possible de contacter la société piratée et de lui demander directement.

Gardez à l'esprit, cependant, qu'il existe une chose telle que les escroqueries par hameçonnage de violation de données. Il s'agit d'e-mails envoyés à des personnes se faisant passer pour une entreprise qui a été piratée et les invitant à cliquer sur des liens pour changer leurs mots de passe. Assurez-vous d'abord que toute réclamation pour violation de données est légitime en visitant le site Web de l'entreprise ou les canaux de médias sociaux officiels.

2. Déterminez quelles informations ont été volées

Obtenir une image complète du type de données volées est essentiel pour savoir quelles sont les prochaines étapes à suivre. Naturellement, le mot de passe du compte doit être changé, de toute façon, juste pour être sûr. Mais il peut y avoir d'autres informations confidentielles maintenant exposées qui nécessitent des mesures supplémentaires.

Par exemple, les numéros de sécurité sociale des personnes ont été divulgués lors de la violation de données d'Equifax en 2017. Cela signifie que toute personne dont les données ont été exposées aurait alors dû prendre des mesures pour surveiller son crédit en cas de comportement suspect, entre autres. S'ils ne savaient pas que leurs SSN étaient exposés à cette violation de données, ils n'auraient pas su prendre d'autres mesures.

Vous aimerez peut-être : Menaces pour la cybersécurité : les escroqueries liées au COVID-19 que vous devez éviter.

3. Revérifiez les données du compte et activez 2FA

Les mots de passe ne sont pas les seules informations liées au compte qui pourraient avoir été compromises. Il y a aussi d'autres informations de connexion comme les réponses aux questions de sécurité. Ainsi que toute information sensible enregistrée sur ou envoyée via le compte. Cela doit être changé, aussi.

C'est également le bon moment pour activer l'authentification à deux facteurs (2FA) sur le compte piraté (et d'autres) s'il n'a pas déjà été activé. 2FA est une méthode d'authentification qui nécessite deux éléments de vérification ou plus. Habituellement, cela prend la forme d'une épingle envoyée à un deuxième compte ou appareil par e-mail ou SMS.

4. Sauvegarder les informations importantes

En cas de doute sur le fait que le compte ait été piraté ou non, il est préférable de sauvegarder les informations précieuses. De cette façon, il n'y a aucune chance que des données soient perdues si le compte a été compromis.

5. Suivez les directives de l'entreprise enfreinte

Parfois, les entreprises piratées offrent à leurs utilisateurs/clients une assistance pour limiter la perte de données personnelles ou d'autres risques. Si une entreprise fait cette offre, acceptez son aide. Cela facilitera grandement le processus de gestion des retombées de la violation de données.

À moins qu'il y ait des problèmes avec l'acceptation de l'offre, comme des conditions répréhensibles. Gardez à l'esprit que l'entreprise peut toujours avoir ses propres intérêts et peut insérer des clauses dans son offre pour aider à sauver sa propre peau.

6. Aviser tout intermédiaire des informations volées

Cette étape dépend uniquement du type d'informations volées.

Par exemple, s'il s'agissait d'une plate-forme de médias sociaux telle que Facebook qui était piratée, les pirates pourraient accéder aux comptes des personnes. Dans ce cas, ils peuvent publier des escroqueries par hameçonnage ou voler d'autres informations. Toute personne craignant que son compte de réseau social ait été piraté doit en informer ses amis et ses abonnés.

De même, si la violation a révélé des informations de carte de crédit, une personne peut vouloir contacter sa société de carte de crédit pour l'avertir d'une éventuelle fraude. Ou même d'annuler complètement cette carte de crédit.

7. Évaluer la cybersécurité personnelle et ajuster au besoin

Les violations de données montrent souvent aux gens à quel point ils sont vulnérables aux attaques extérieures. C'est peut-être le bon moment pour évaluer la cybersécurité personnelle et identifier les failles. La cybersécurité englobe tout, de l'appareil que quelqu'un utilise à la sécurité de son réseau. Naturellement, cela a aussi à voir avec la sécurité des comptes en ligne.

Si cela vous aide, faites une liste de contrôle de tout ce qui doit être vérifié et sécurisé. Voici quelques éléments pour commencer :

• Sécurité du réseau : Si le routeur utilise toujours le SSID et le mot de passe du réseau par défaut, modifiez-les maintenant. Les pirates peuvent facilement trouver le mot de passe par défaut du routeur en ligne. Inscrivez-vous également avec un service VPN. Les réseaux privés virtuels comme NordVPN protègent les données envoyées via une connexion réseau en les cryptant, empêchant ainsi les pirates de voler les données en transit.
• Sécurité de l'appareil : les smartphones et les ordinateurs doivent être verrouillés à l'aide d'un code PIN ou d'une méthode d'authentification similaire. L'authentification biométrique est considérée comme la plus sûre, mais n'a pas encore fait passer l'adoption des smartphones aux ordinateurs. Les gens devraient également toujours sécuriser leurs appareils avec des programmes antivirus crédibles.
• Sécurité des logiciels et des applications : les applications et les programmes doivent également être protégés. Tout d'abord, cela signifie les vérifier correctement avant de les installer en premier lieu. Cela signifie également les tenir à jour, car les développeurs doivent publier des mises à jour de sécurité régulières pour protéger les utilisateurs contre d'éventuels exploits.
• Sécurité du compte : Outre les mots de passe, les questions de sécurité et 2FA, les utilisateurs doivent également vérifier leurs paramètres de confidentialité. Les plateformes recueillent souvent de nombreuses informations personnelles sur leurs utilisateurs, mais cela peut être limité en modifiant les paramètres de confidentialité. Limiter la quantité de données qu'ils peuvent collecter contribuera également à limiter les retombées en cas de violation de données.

8. Continuez à surveiller ces comptes

Il est bon de prendre une pause après avoir suivi toutes ces étapes pour atténuer les conséquences de la violation de données. Ne devenez pas complaisant, cependant. Même si les chances des criminels d'accéder au compte sont désormais minimes, il est impossible de dire avec certitude qu'ils ne le peuvent pas.

Alors, continuez à surveiller le compte - et tous les autres qui peuvent avoir partagé le même mot de passe - pour un comportement ou des changements inhabituels.

Vous pourriez également aimer : Conseils d'évaluation et de gestion des risques liés à la cybersécurité pour les petites entreprises.

Dernières pensées

Les violations massives de données font régulièrement la une des journaux, et c'est une tendance inquiétante. Toute personne craignant que ses informations aient été volées lors d'une violation de données doit immédiatement sécuriser son compte. Après cela, ils peuvent prendre des mesures pour réduire les conséquences potentielles de la violation de données et s'assurer que leurs comptes et appareils sont plus sécurisés.

Réaliser qu'un mot de passe (ou toute autre information) a été volé lors d'une violation de données est une source de préoccupation. Mais il est important de respirer profondément et de gérer la situation rapidement et efficacement. N'oubliez pas qu'un mot de passe volé ne signifie pas que le compte associé a déjà été piraté. Essayez d'agir avant que cela n'arrive.