California Pizza Kitchen (CPK) fondée à Beverly Hills, en Californie en 1985, compte plus de 250 succursales dans 32 États. CPK a subi une violation de données exposant les noms complets et les numéros de sécurité sociale (SSN) des employés actuels et anciens. Le site Web des procureurs généraux du Maine a signalé que cette « violation du système externe » s’était produite en septembre 2021 et avait touché presque tous les 103 767 employés, selon le rapport de notification de violation de données.

La violation

CPK a détecté une « activité suspecte » dans ses systèmes le 15 septembre 2021 et a pris des mesures rapides pour atténuer et enquêter sur l’événement avec des enquêteurs médico-légaux informatiques tiers, selon l’avis. Le 4 octobre 2021, les enquêteurs ont confirmé que certains fichiers des systèmes du CPK « auraient pu être consultés sans autorisation ». À la fin de l’examen initial, il a été déterminé que l’attaque avait envoyé aux attaquants les noms des anciens et actuels employés en combinaison avec leurs SSN, a déclaré CPK. CPK a informé par écrit toutes les personnes concernées de la violation le lundi 15 novembre, plus d’un mois après avoir déterminé que les données critiques des employés avaient été exfiltrées.

Les détails n’ont pas été révélés sur le type exact de violation qui s’est produit ou sur la manière dont les attaquants ont infiltré les systèmes de CPK. CPK examine actuellement les politiques de sécurité existantes et met en œuvre des mesures supplémentaires, y compris des mesures de protection et une formation des employés pour aider à prévenir des incidents similaires à l’avenir.

CPK s’est également associé à Experion pour permettre aux employés de s’inscrire à un programme de protection contre le vol d’identité appelé « IdentityWorks ». CyberHoot considère que tout programme de surveillance du crédit, comme « IdentityWorks » dans cette situation, est à 100% contraire à l’éthique. Pourquoi pouvez-vous demander? Parce que la simple vérité est que l’on peut geler son crédit dans les quatre agences de crédit (comme détaillé ici) et empêcher que son identité et son crédit ne soient exploités. Encourager les employés à surveiller leur crédit au lieu de le geler, permettant aux agences de crédit de continuer à monétiser leurs données, est le comble de l’intérêt des agences de crédit au détriment de la sécurité des consommateurs. Gelez votre crédit pour sécuriser votre identité.

Que peut faire votre entreprise ?

La violation de California Pizza Kitchen devrait être un rappel cauchemardesque aux organisations qui manquent de mesures de cybersécurité de base, d’agir maintenant. Certains propriétaires d’entreprise pensent qu’ils n’ont pas de données que les pirates informatiques voudraient, mais ils le font certainement s’ils paient des employés. Afin d’envoyer des paiements aux employés, l’entreprise a besoin du nom de l’employé, des informations sur le compte bancaire et du numéro de sécurité sociale (entre autres informations personnelles). Il est essentiel que les entreprises protègent correctement ces données critiques des employés, en tirant parti de la formation de sensibilisation ainsi que des protections techniques telles que le cryptage, les mots de passe forts stockés dans les gestionnaires de mots de passe. et associé à une authentification multifacteur.

Formation de sensibilisation

Al-Khalidi, co-fondateur et co-PDG de la société de sécurité Axiad, a déclaré ceci à propos de la violation :

« Chaque entreprise comme California Pizza Kitchen possède de précieuses données PII qui en font une cible de choix pour les attaquants. Pour aider à se protéger contre les attaques, les entreprises doivent s’assurer que leurs employés pratiquent une bonne hygiène de cybersécurité… En cours [cybersecurity] La formation, qui peut empêcher les employés d’être la proie du phishing ou d’autres attaques d’ingénierie sociale pouvant détruire tout un environnement informatique, peut renforcer la défense de sécurité globale d’une entreprise.

Former les employés aux menaces auxquelles ils sont confrontés chaque jour lorsqu’ils utilisent des appareils connectés à Internet est la meilleure approche de la cybersécurité en armant les utilisateurs pour qu’ils soient attentifs aux risques et suivent les meilleures pratiques.

Zéro confiance

L’utilisation d’une approche proactive et zéro confiance (ne jamais faire confiance/toujours vérifier) ​​est recommandée. Le modèle de sécurité de l’information Zero Trust se débarrasse de l’ancienne stratégie de « château et douves » qui obligeait les organisations à se concentrer sur la défense de leurs périmètres tout en supposant que tout ce qui se trouve déjà à l’intérieur ne constitue pas une menace. Les experts soutiennent que l’approche du château et des douves ne fonctionne pas. Game of Thrones a prouvé que cela était vrai à maintes reprises; quiconque pourrait franchir les murs du château pourrait et voudrait vous tuer. Dans notre monde, les violations de données les plus dommageables se sont produites lorsque les pirates ont accédé à l’intérieur des pare-feu d’entreprise et sont ensuite capables de se déplacer dans les systèmes internes sans trop de résistance.

Selon les experts, un certain nombre d’entreprises informatiques mettent déjà en œuvre de nombreux aspects de Zero Trust. Ils ont souvent mis en place une authentification à deux facteurs, une gestion de l’accès à l’identité (IAM) et un « plus petit privilège ».

Zero Trust est un modèle difficile mais nécessaire à adopter pour les PME. Lors de l’utilisation de Zero Trust, les réseaux sont segmentés, souvent par division du travail. Les PME doivent adopter une authentification à deux facteurs, des protections renforcées de la gestion des identités et des accès (IAM) et doivent toujours essayer de suivre les principes du moindre privilège pour accéder aux données critiques et sensibles.

Recommandations supplémentaires

En plus de ces protections, CyberHoot recommande également aux PME de prendre les mesures suivantes pour sécuriser leur entreprise. Ces mesures offrent une grande valeur pour le coût et l’investissement en temps qu’elles nécessitent (en particulier lorsqu’elles sont fournies via CyberHoot).

Gouverner les employés avec des politiques et des procédures. Vous avez besoin d’une politique de mot de passe, d’une politique d’utilisation acceptable, d’une politique de gestion des informations et d’un programme écrit de sécurité des informations (WISP) au minimum.Formez les employés sur la façon de détecter et d’éviter les attaques de phishing. Adoptez un système de gestion de l’apprentissage comme CyberHoot pour enseigner aux employés les compétences dont ils ont besoin pour être plus confiants, productifs et sécurisés. Testez les employés avec des attaques de phishing pour vous entraîner. Les tests de phishing de CyberHoot permettent aux entreprises de tester les employés avec des attaques de phishing crédibles et de mettre ceux qui échouent dans une formation corrective sur le phishing. Déployez une technologie de cybersécurité critique, y compris l’authentification à deux facteurs sur tous les comptes critiques. Activez le filtrage des courriers indésirables, validez les sauvegardes, déployez une protection DNS, un antivirus et un anti-malware sur tous vos terminaux. À l’ère moderne du travail à domicile, assurez-vous de gérer les appareils personnels qui se connectent à votre réseau en validant leur sécurité ( correctifs, antivirus, protections DNS, etc.) ou en interdisant totalement leur utilisation. Si vous n’avez pas fait d’évaluation des risques par un tiers au cours des 2 dernières années, vous devriez en avoir une maintenant. L’établissement d’un cadre de gestion des risques dans votre organisation est essentiel pour faire face à vos risques les plus flagrants avec votre temps et votre argent limités. Achetez une cyber-assurance pour vous protéger en cas de défaillance catastrophique. La cyber-assurance n’est pas différente de l’assurance automobile, incendie, inondation ou vie. Il est là quand vous en avez le plus besoin.

