La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis et le Federal Bureau of Investigation (FBI) ont rappelé cette semaine aux organisations de tous types – en mettant l’accent sur les infrastructures critiques – que les cybercriminels ont tendance à lancer des cyberattaques percutantes pendant les vacances et les week-ends.

Au cours des dernières années, il est devenu clair que les cybercriminels planifient souvent des cyberattaques majeures pour le moment où les employés sont absents du bureau, à savoir les week-ends ou les jours fériés tels que le jour de l’indépendance, la fête des mères, Thanksgiving et Noël.

« L’histoire récente nous dit que cela pourrait être un moment où ces cyber-acteurs persistants à l’autre bout du monde cherchent des moyens, grands et petits, de perturber les réseaux et systèmes critiques appartenant aux organisations, aux entreprises et aux infrastructures critiques », les deux agences noter dans une alerte commune.

Les organisations, selon la CISA et le FBI, peuvent prendre des mesures proactives pour améliorer leur sécurité et s’assurer qu’elles peuvent empêcher les cyberattaques, y compris d’éventuelles attaques de ransomware, pendant la période des fêtes.

Les deux agences notent qu’elles n’ont pas identifié de menaces spécifiques pour cette période des fêtes, mais ont décidé de sensibiliser aux tendances récentes de 2021, afin de s’assurer que les organisations ont le temps de se préparer à d’éventuelles attaques.

Ainsi, la CISA et le FBI « exhortent fortement » les organisations – en particulier les infrastructures critiques – à évaluer leur posture de cybersécurité et à mettre en œuvre des mesures d’atténuation et des meilleures pratiques, telles que s’assurer qu’il y a des employés disponibles pour augmenter en cas de cyberattaque, que l’authentification multifacteur est en place pour l’accès à distance et des mots de passe sont utilisés, que le protocole de bureau à distance (RDP) est fortement sécurisé s’il est utilisé, et que les employés sont formés pour identifier les tentatives d’hameçonnage.

Les organisations doivent également rester vigilantes face aux e-mails non sollicités, aux sites Web frauduleux qui usurpent des domaines légitimes et aux transactions financières non cryptées.

Voir la source de cette publication