Protégez les données personnelles et organisationnelles contre les vulnérabilités de sécurité

Le lieutenant-général Nguyen Minh Chinh, directeur du département de cybersécurité (A05, ministère de la Sécurité publique ), vice-président permanent de l'Association nationale de cybersécurité, a commenté : La situation des attaques, de l'appropriation et du commerce de données personnelles et organisationnelles sur le réseau est compliquée, évolue rapidement, utilise de nombreuses méthodes criminelles, avec des scénarios et des directions lors de la réalisation de cyberattaques.

Au Vietnam, au cours des 6 premiers mois de 2024, il y a eu 2 364 noms de domaine frauduleux ciblant les utilisateurs et les clients de grandes organisations, soit une augmentation de 1,2 fois par rapport à la même période en 2023 ; 496 fausses pages, utilisant illégalement les marques de grandes organisations au Vietnam, soit une augmentation de 4 fois par rapport à la même période en 2023 ; 495 000 attaques DDoS sous diverses formes.

Trois téraoctets de données ont été attaqués par un rançongiciel, pour un total de dommages estimé à plus de 10 millions de dollars. L'attaque du groupe Lockbit contre VNDirect Securities Corporation et les attaques contre les sites web de Vietnam Oil Corporation (PVOil), Post and Telecommunication Insurance Corporation (PTI), IPA Investment Group Joint Stock Company et IPA Securities Investment Fund Management Company Limited (IPAAM) ont notamment causé d'importants dommages à ces entreprises.

L'une des principales causes du problème susmentionné est l'existence de failles qui entraînent la fuite d'informations et de données de nombreuses organisations et personnes. Au cours des six premiers mois de 2024, le système de surveillance technique du Département de la sécurité de l'information ( ministère de l'Information et des Communications ) a recensé 90 033 faiblesses et vulnérabilités en matière de sécurité de l'information au sein d'agences et d'organisations au Vietnam. Le nombre d'incidents graves que le département a dû gérer a augmenté de près de 60 % par rapport à 2023.

Viettel Cyber ​​Security (VCS) a enregistré 46 fuites d'informations concernant environ 13 millions de données clients à vendre, 12,3 Go de code source et 16 Go de données. Environ 17 000 nouvelles vulnérabilités ont été identifiées, dont plus de la moitié étaient des vulnérabilités graves et de haut niveau, avec 71 vulnérabilités liées à des centaines de millions de comptes et d'informations clients divulguées par des organisations et des entreprises vietnamiennes.

La divulgation d'informations personnelles telles que le numéro de téléphone, le nom complet, l'adresse, le numéro de carte d'identité, le numéro de compte, etc. est très fréquente. Les personnes reçoivent non seulement des messages frauduleux et de faux liens, mais sont également harcelées par des appels téléphoniques proposant divers services.

M. Nguyen Van Hung, un fonctionnaire à la retraite de Xuan La (district de Tay Ho, Hanoi) a déclaré qu'il recevait souvent des appels téléphoniques l'invitant à investir dans des actions, à lui donner des bons pour des voyages de vacances, à l'inviter à goûter du vin ou à recevoir des récompenses d'entreprises... Il a déclaré qu'il y a quelques années, il avait effectué une transaction pour acheter un appartement, peut-être à cause de cela, ses informations personnelles ont été divulguées.

La principale cause de fuite d'informations est due à la négligence des utilisateurs qui ne sont pas conscients de la protection des données personnelles ou qui ne prennent pas de mesures de protection adéquates, publient publiquement des informations personnelles sur le cyberespace ou font l'objet d'une fuite de données personnelles lors du processus de transfert, de stockage ou d'échange d'informations.

Activités normales de sauvegarde de données ; réparation, vente, liquidation d'appareils d'informations personnelles tels que téléphones portables, ordinateurs, disques durs... même si les utilisateurs suppriment soigneusement les données, il existe toujours un risque potentiel de divulgation.

Pour les organisations et les entreprises, cela est dû à des failles dans les systèmes, les applications et les logiciels ; à un manque de conformité aux réglementations et à une discipline informatique insuffisante sur le réseau ; et à des failles dans les politiques de sécurité des informations clients. Certaines entreprises communiquent même intentionnellement les informations de leurs clients à des tiers à des fins malsaines.

Le ministère de la Sécurité publique met en garde contre l'existence de trois principaux groupes d'escroqueries sur Internet : la contrefaçon de marque, le piratage de compte et d'autres combinaisons de 24 formes d'escroquerie. Ngo Minh Hieu (Hieu PC), expert en cybersécurité, a expliqué que la principale cause de fuite d'informations est le manque de connaissances, l'absence de mesures et de procédures de protection des données, ainsi que le manque de contrôle lors de la collecte, du traitement, du stockage et de l'exploitation des informations.

Selon M. Vu Xuan Nguyen, président du conseil d'administration de la société par actions IGB, spécialisée dans les logiciels et la technologie, pour prévenir les fuites d'informations, les entreprises doivent mettre en œuvre les mesures suivantes : authentification multifacteur (MFA) et gestion des accès, garantissant que seules les personnes autorisées ont accès aux informations sensibles ; cryptage des données pendant le stockage et la transmission ; cryptage de bout en bout pour garantir que seuls les destinataires désignés peuvent décrypter et lire les informations ; surveillance continue et détection précoce des intrusions à l'aide de technologies telles que les systèmes de détection d'intrusion (IDS) et les systèmes de prévention des intrusions (IPS) ; formation et amélioration des compétences en sécurité des employés sur l'identification du phishing (fraude par courrier électronique), les compétences de base en matière de sécurité et les procédures de traitement des informations pour aider à réduire le risque de fuite due aux facteurs humains.

En particulier, les données doivent être sauvegardées régulièrement en cas d'incident de sécurité ou de perte de données. IGB applique la norme de sécurité internationale ISO/IEC 2700I, utilisant le chiffrement SSL/TLS pour toutes les connexions en ligne.

La National Cyber ​​​​Security Association a proposé de créer une plate-forme pour connecter et partager des informations sur la cybersécurité, aidant les organisations à répondre de manière proactive aux incidents, à surveiller les nouveaux outils et techniques d'attaque criminelle, à fournir des alertes précoces sur les menaces, à soutenir la prise de décision stratégique ; à aider les organisations à protéger les actifs numériques et à maintenir la sécurité des données.

L'association a également lancé une application antifraude gratuite nTrust pour smartphones, qui permet de détecter les signes de fraude en vérifiant les numéros de téléphone, les numéros de compte, les liens vers des sites web et les codes QR. Le logiciel nTrust compte plus d'un million d'enregistrements vérifiés, compilés à partir de sources de données du ministère de la Sécurité publique, du ministère de l'Information et des Communications, de la Banque d'État du Vietnam et des organisations de cybersécurité membres de l'association.

Le 8 octobre, l'association a officiellement lancé le programme de formation d'experts en protection des données personnelles du VnDPO. Les stagiaires bénéficieront d'une formation intensive, dont 60 % de la durée totale sera consacrée à la pratique. Grâce au Système national d'alerte et de prévention des noms de domaine malveillants, en juin 2024, le Département de la sécurité de l'information (ministère de l'Information et des Communications) avait bloqué 3 170 sites web frauduleux en ligne, protégeant ainsi plus de 10 millions de personnes contre les sites web frauduleux et illégaux.