25 mai 2023
Dernière mise à jour
5.25.2023
05 MIN.
Dans cet article, nous examinerons les risques de sécurité inhérents aux médias sociaux auxquels les entreprises sont confrontées et les mesures à prendre pour les éviter.
Irina Maltseva
Les médias sociaux sont un atout marketing précieux, mais il est rare que les entreprises prennent des mesures supplémentaires pour protéger les comptes des pirates informatiques. 37 % des utilisateurs de médias sociaux se fient à l'opinion des autres utilisateurs avant d'acheter en ligne, et c'est cette même confiance qui est rompue lorsqu'une entreprise subit une faille de sécurité.
La confiance est l'ultime monnaie d'échange dans les interactions numériques, et les marques doivent faire davantage pour garantir la sécurité de l'expérience utilisateur. Dans cet article, nous allons passer en revue les risques de sécurité inhérents aux médias sociaux auxquels les entreprises sont confrontées et présenter les mesures à prendre pour éviter qu'ils ne se produisent.
Les comptes professionnels dans les médias sociaux sont toujours dans la ligne de mire des pirates qui cherchent des moyens ingénieux pour s'y introduire. Voici cinq des risques de sécurité les plus courants auxquels vous pourriez être confronté aujourd'hui :
Ce n'est pas pour rien que le phishing, en tant que forme de cybercriminalité, a survécu si longtemps. Les pirates n'ont besoin que d'une petite erreur de décision pour s'introduire dans les comptes des victimes et, si nous savons quelque chose, c'est que les gens gardent rarement leur sang-froid sous l'effet du stress. Les courriels et les SMS de phishing imitent des sources authentiques pour établir la confiance et forcer les victimes à réagir en paraissant urgents. L'année dernière, un employé de Twilio a divulgué des données internes en cliquant sur un faux SMS SSO.
Les attaques de logiciels malveillants sont très répandues car le partage de liens et de documents est au cœur des interactions numériques. Les employés sont souvent incités à cliquer sur de faux liens qui, outre le vol des données de connexion, peuvent installer des logiciels malveillants sur les appareils. Les logiciels malveillants peuvent passer inaperçus pendant des mois, consommer des ressources, voler des données sensibles et se répandre sur les appareils d'un même réseau.
Les attaques par ingénierie sociale prennent des mois à être exécutées, mais ce sont elles qui ont le plus d'impact sur votre entreprise. Ces types d'attaques recueillent des bribes de données pendant un certain temps afin de reconstituer des profils qui peuvent aider les pirates.
Par exemple, les pirates peuvent observer vos employés pendant des mois et repérer celui qui partage trop en ligne et qui n'est pas conscient du respect de la vie privée. Ensuite, ils peuvent extraire de leur profil des informations personnelles telles que leur anniversaire, le nom de leur chien ou leur école, et les utiliser comme mots de passe. Dans certains cas, les pirates ont de la chance et votre entreprise est victime d'une attaque d'ingénierie sociale bien organisée.
Si votre entreprise s'appuie fortement sur le marketing des médias sociaux, les smartphones doivent être un élément essentiel de ce flux de travail. Les pirates peuvent essayer de faire du "shoulder surfing" (espionnage en public) ou de l'échange de cartes SIM pour s'emparer des données du téléphone de la victime et de tous les comptes liés au numéro de téléphone. Si la protection de la vie privée n'est pas assurée, les pirates essaieront d'autres moyens de compromettre les appareils.
En outre, veillez à choisir un fournisseur de système téléphonique hébergé fiable, avec une couche supplémentaire de protection contre l'ingénierie sociale, la fraude et les escroqueries.
Si vos comptes de médias sociaux sont piratés par des cybercriminels, les conséquences seront multiples. Le premier impact, évident, est la perte de données. Qu'il s'agisse de documents internes, de données d'utilisateurs, de détails financiers ou de propriétés intellectuelles, les pirates informatiques volent tout ce qui est digne d'intérêt pour eux.
Un autre aspect de l'impact concerne les données personnelles. Les pirates informatiques peuvent voler les données confidentielles des employés et des clients, imiter leurs informations personnelles identifiables (PII) pour commettre des fraudes et des vols d'identité, ou vendre les données sur le dark web.
Enfin, vous devez tenir compte de la perte de réputation. Les attaques sur les médias sociaux se produisent en public - si la confiance, si importante, est rompue, les consommateurs risquent de ne plus jamais revenir vers votre marque. Des entreprises comme DigiNotar, Code Spaces et The Heritage Company étaient très différentes les unes des autres, mais il y a un fil conducteur qui les relie : toutes ces entreprises ont été attaquées par des pirates informatiques au cours des dernières années et aucune d'entre elles n'existe aujourd'hui.
La bonne nouvelle, c'est que les pirates informatiques ne sont pas des menaces anonymes toutes puissantes, comme je vous l'ai peut-être laissé croire jusqu'à présent. Oui, il est important d'être conscient des risques de cybersécurité lorsque vous utilisez les identifiants de votre entreprise, mais il est également important de savoir que vous pouvez prévenir la plupart de ces attaques grâce à quelques mesures simples. J'ai classé les mesures préventives en trois catégories : les mesures techniques, les mesures axées sur les employés, les mesures axées sur la protection de la vie privée dans les médias sociaux et les mesures de surveillance et d'intervention.
Les correctifs techniques ne sont pas trop techniques mais nécessitent une certaine connaissance technique pour combler les lacunes.
Cela peut sembler évident, mais les mots de passe sécurisés en 2023 sont très différents de ceux d'il y a quelques années. Un mot de passe vraiment sûr comporte au moins 12 caractères alphanumériques, des chaînes de caractères spéciaux et uniques, et aucune information personnelle facile à deviner.
Faites des mots de passe sécurisés une obligation dans votre entreprise et encouragez tout le monde à changer régulièrement de mot de passe et à utiliser un gestionnaire de mot de passe.
L'authentification à deux facteurs (2FA) ou l'authentification à plusieurs facteurs (MFA) ajoute une couche supplémentaire de sécurité. Les MFA peuvent être épuisantes à utiliser au quotidien, mais les risques dépassent de loin les inconvénients. Les pirates utilisent souvent des attaques de fatigue MFA pour cibler les utilisateurs avec un barrage de notifications 2FA et certains utilisateurs se fatiguent et approuvent la demande. Assurez-vous que vos employés sont conscients de ces tactiques et qu'ils ne réagissent pas immédiatement. Il est important d'éduquer aux règles de sécurité sur internet afin de protéger vos informations personnelles et de prévenir les cyberattaques.
Même si la plupart des sites web et des applications de médias sociaux intègrent des 2FA, il est conseillé d'utiliser des applications réputées telles que Google Authenticator, Duo, Microsoft Authenticator et Authy.
La sécurité du réseau implique de nombreuses choses, alors assurez-vous de cocher toutes les cases. Utilisez un pare-feu, un VPN, un service de protection contre le vol d'identité, du matériel anti-DDoS et un service de cryptage, protégez les routeurs par un mot de passe et utilisez la virtualisation pour sécuriser les sessions de navigation. Étendez la gestion des appareils mobiles (MDM) pour protéger les appareils distants et appliquez le VPN dans les wifi publics. Ne vous fiez pas aux mesures de sécurité standard et utilisez toujours des paramètres personnalisés pour protéger le réseau.
Les correctifs techniques ne sont qu'un début. Votre entreprise et vos comptes de médias sociaux sont aussi sûrs que les personnes qui les utilisent et y accèdent. Voici comment vous pouvez transformer vos employés en atout pour la sécurité :
Les employés doivent être armés des connaissances, de l'expérience et des outils nécessaires pour identifier et atténuer les cyberattaques. L'une des façons d'aider les employés à se tenir au courant du paysage de la cybersécurité est d'organiser des séminaires fréquents et complets. Les modules de formation doivent couvrir les risques fondamentaux des interactions numériques, les points d'accès vulnérables (smartphones, gestion des accès, etc.) et les stratégies de réponse. Un personnel sensibilisé à la sécurité est un atout qui vous rapportera au fil des ans.
Les liens et les pièces jointes compromises font partie intégrante des escroqueries par hameçonnage ; il est donc important de vérifier deux fois avant de cliquer sur quoi que ce soit. Sur le bureau, vous pouvez survoler les liens et les boutons dans les courriels pour voir un aperçu du lien en bas de l'écran. Si vous n'êtes pas sûr d'un lien ou si vous avez déjà téléchargé un fichier, vérifiez-le dans VirusTotal pour vous en assurer.
Les employés doivent également être très prudents lorsqu'ils cliquent sur des liens envoyés dans les boîtes de réception des médias sociaux et être proactifs en supprimant les liens de spam dans les commentaires.
Toutes les cyberattaques ne sont pas déclenchées par les employés et il est important de se concentrer sur l'atténuation plutôt que sur la rétribution. C'est pourquoi les employés doivent être habilités à signaler immédiatement toute activité suspecte. Il y a quelques mois, Reddit a été piraté, mais l'employé victime l'a immédiatement signalé aux autorités et a aidé l'équipe à limiter les dégâts.
Outre la vigilance de vos employés, vous devriez également modifier les paramètres par défaut en ligne afin de rendre les médias sociaux plus sûrs pour votre marque et les personnes qui vous suivent.
Les paramètres de confidentialité vous aident à réduire les risques d'attaques d'ingénierie sociale ; il est donc important de les revoir et de les modifier fréquemment. Les employés chargés de gérer les médias sociaux doivent veiller à la sécurité de leurs propres comptes en limitant ce qu'ils partagent en ligne et en restreignant l'accès à leur profil à des contacts de confiance. Facebook, LinkedIn, Twitter, Instagram et même Discord permettent aux comptes de personnaliser les comportements de leur profil et les utilisateurs devraient utiliser pleinement ces fonctionnalités.
Les commentaires et messages de spam provenant de faux comptes et de comptes nuisibles doivent être signalés à la plateforme pour qu'il y ait des changements significatifs. Vos employés doivent se sentir à l'aise pour signaler les contenus répréhensibles susceptibles de nuire à la marque et à l'expérience de l'utilisateur. Outre le signalement, vous devriez également utiliser le géoblocage pour restreindre l'accès à des messages et des informations spécifiques.
Une grande partie de la sécurité des médias sociaux réside dans la surveillance proactive. Comme il est difficile d'empêcher une cyberattaque sur les médias sociaux d'être vue par le public, les employés et les administrateurs doivent essayer d'éviter qu'un incident ne se produise.
La gestion de la réputation dans les médias sociaux consiste à surveiller la façon dont votre marque est perçue par les internautes et à revoir les directives de publication afin de créer une identité cohérente et fiable. L'image étant primordiale dans les médias sociaux, vous ne pouvez pas prendre de risques.
Utilisez des outils d'écoute sociale, suivez les mentions et répondez-y, et contrôlez la façon dont votre marque est perçue par les gens. Sur la base de ces données, vous pouvez modifier votre stratégie, renforcer la sécurité et répondre aux objections des utilisateurs.
Grâce à une surveillance constante des performances des médias sociaux, vous pouvez également détecter les faux comptes et les tentatives d'usurpation et de prise de contrôle de comptes. L'usurpation du titre de dirigeant et les fraudes au poste de PDG sont en augmentation et les profils de médias sociaux servent de passerelles aux pirates. Utilisez des outils d'écoute sociale pour identifier les activités inhabituelles et prendre des mesures.
Lorsque vous détectez un incident de sécurité ou une menace potentielle, vous devez réagir rapidement, efficacement et de manière exhaustive.
La première chose à faire est de prendre contact avec la plateforme de médias sociaux et de collaborer avec elle pour établir votre identité. Les pirates s'emparent des comptes pour promouvoir des contenus susceptibles de nuire à la réputation de votre entreprise ; il est donc important de reprendre le contrôle dès que possible. Si l'un de vos employés est visé et que les comptes professionnels sont sûrs, commencez par isoler ce compte en supprimant l'accès, puis passez à l'étape suivante.
Les conséquences d'un piratage d'entreprise peuvent être graves, c'est pourquoi vous devez prendre contact avec les forces de l'ordre locales. Cela peut inciter les pirates à prendre du recul et vous aider à maîtriser la situation. L'enquête légitime l'attaque, ce qui vous permet de vous attaquer au cœur du problème et peut même susciter la sympathie des utilisateurs.
Une bonne stratégie de réponse aux incidents dépend de la solidité du plan de communication. Chaque étape doit être documentée, le personnel doit être identifié et les équipes doivent être averties pour faire face aux cyberattaques. Passez en revue la stratégie au cours de la formation et maintenez une boucle de rétroaction transparente pour améliorer la gestion de la crise.
Les cyberattaques sur les médias sociaux suscitent beaucoup d'interrogations. Il est donc important que les entreprises rétablissent d'abord l'accès et communiquent avec les parties prenantes. En mettant en œuvre les correctifs techniques, en formant les employés et en travaillant avec un plan de réponse aux incidents approprié, vous pouvez identifier les attaques à l'avance et atténuer les dommages en cas d'attaque.
Irina Maltseva est Growth Lead chez Aura et fondatrice d'ONSAAS. Au cours des sept dernières années, elle a aidé des entreprises SaaS à accroître leur chiffre d'affaires grâce au marketing entrant. Dans son entreprise précédente, Hunter, Irina aidait les spécialistes du marketing 3M à établir des relations d'affaires qui comptent. Aujourd'hui, chez Aura, Irina travaille sur sa mission : créer un internet plus sûr pour tous.
Fais le plein de contenu pertinent : articles de blog, épisodes de podcast et autres astuces d'experts !
Essai gratuit de 14 jours
Chaque semaine, Emily interviewe des marques de premier plan, des influenceurs renommés et des agences cachées avec un objectif en tête : comprendre ce qui se passe dans les coulisses de leurs stratégies de médias sociaux.
Ecouter esm²
Notre Social Media Calendar 2023 est gratuit et téléchargeable, et contient plus de 250 dates "tendance", toutes préchargées et prêtes à être utilisées sur tes réseaux sociaux, toute l'année.
Découvre comment d'autres entreprises, agences et entrepreneurs ont pu améliorer leur stratégie réseaux sociaux à l'aide de puissants outils d'analyse et de stratégies expertes.
Besoin d'un coup de main pour bien manier les multiples fonctionnalités d'Iconosquare ? Tu veux savoir comment les utiliser pour maximiser ta performance sur les réseaux ? Consulte nos tutoriels sur YouTube.
Réponse en une minute grâce à nos audits.
La plateforme d'analyse, de gestion et de programmation des réseaux sociaux la plus puissante pour les marques et les agences.
Made in Limoges,
Nouvelle-Aquitaine, France.
