Les salariés en première ligne de la cybersécurité !
La « démocratisation » de la cybercriminalité a ouvert la porte à une nouvelle vague de cyberdélinquants, moins « professionnalisés » et opportunistes, qui bénéficient d’une panoplie de kits de piratage prêts à l’emploi. Des outils certes moins sophistiqués, mais facilement accessibles sur le Dark Web (web clandestin). L’hammeçonnage et les rançonlogiciels sont au cœur de cette cyberdélinquance.
L'ingénierie sociale, au coeur des problématiques des TPE / PME
L’ingénierie sociale est une tendance de plus en plus forte qui touche aujourd’hui les TPE et PME. Dans le contexte de la sécurité de l’information, il s’agit d’une pratique de manipulation psychologique à des fins d’escroquerie.
S’il est vrai que l’usurpation d’identité n’est pas de l’apanage exclusif des cybercriminels, elle est néanmoins plus facilement perpétrée par le biais de la technologie. Les cinq types d’ingénierie sociale les plus fréquents sont :
- Pollupostage par contact : il s’agit de la forme d’ingénierie sociale en ligne la plus répandue. Les pirates utilisent cette méthode pour envoyer des pourriels à tous les contacts de leurs victimes. Ces e-mails sont envoyés depuis la liste de contacts de la victime, et semblent donc plus réalistes aux destinataires. Plus important encore, ils auront moins de chance de terminer dans le dossier « Indésirables » de leur boîte de réception.
- Spear Phishing (harponnage) : cette pratique cible des groupes ou individus spécifiques. Les pirates spécialistes en hameçonnage, utilisent les réseaux sociaux pour collecter des informations sur leurs cibles pour personnaliser leurs courriels d’hameçonnage et les rendre plus réalistes et donc plus susceptibles d’être pris au sérieux.
- Baiting (appâtage) : utilisation d’un appât physique réel que la victime doit attraper pour que l’attaque fonctionne. Par exemple, le pirate peut laisser une clé USB contenant un malware sur le bureau de la victime dans l’espoir que celle-ci la branche sur son ordinateur.
- Pretexting (faux-semblant) : consiste en l’utilisation d’un prétexte attrayant conçu pour attirer l’attention de la cible et l’attraper. Une fois immergé dans l’histoire, le pirate auteur de l’attaque tente de duper la victime potentielle pour qu’elle lui fournisse des informations importantes.
- Quid Pro Quo : le plus souvent les pirates se font passer pour des techniciens informatiques et vous demandent vos identifiants de connexion pour effectuer une vérification de sécurité soi-disant importante.
Mais l’ingéniosité des cyberdélinquants ne s’arrête pas là. Vous devrez aussi apprendre à identifier : le chantage à la vidéo, l’arnaque aux faux sentiments ou la spoliation de compte de réseaux sociaux.
Des escroqueries de masse, aux escroqueries ciblées
Le Whaling (chasse à la baleine) ne cible pas des victimes « ordinaires », mais vise, principalement, les dirigeants, et les cadres supérieurs d’une entreprise.
Le but de cette opération consiste à obtenir des informations confidentielles ou sensibles, afin d’usurper leurs identités et piéger leurs collaborateurs par l’envoi d’e-mail en leurs noms afin d’effectuer des opérations financières frauduleuses.
Plus les messages envoyés paraissent crédibles, plus les pirates ont de chances de voir leurs attaques aboutir.
Pour aboutir, cette escroquerie nécessite au préalable de disposer de suffisamment d’informations sur sa victime. Les techniques utilisées sont principalement :
- Phishing (hammeçonnage) : envoie d’un « appât » qui prend la forme d’un message frauduleux visant à inviter les victimes à se rendre sur des sites frauduleux où elles révèlent sans le vouloir des informations personnelles telles que leur nom d’utilisateur, leurs mots de passe ou leurs coordonnées bancaires.
- Pharming (dévoiement) : le pirate se sert d’un malware (logiciel malveillant) pour rediriger des utilisateurs d’Internet vers des versions falsifiées de sites Web, où ils dévoilent sans le vouloir leurs informations personnelles.
- Keylogging (enregisteur de frappe) : un spyware (logiciel espion) enregistre secrètement tout ce que vous saisissez sur votre clavier, capturant les informations de votre compte et d’autres détails personnels.
- Sniffing (renifleur) : si vous êtes connecté à un réseau Wi-Fi public non sécurisé et non chiffré, les pirates peuvent capturer vos données en suivant votre trafic Internet à l’aide d’outils spéciaux (à moins, bien entendu, que vous ne naviguiez à l’aide d’un VPN).
L’humain comme dernier rempart
De nombreuses entreprises se demandent quels sont les moyens techniques les plus efficaces pour renforcer la sécurité de leur système d’information. Certaines ont pu lire que la sécurité périmétrique classique était morte, que la ligne de pare-feu ou d’anti-virus ne servait plus à grand-chose, car une fois l’assaillant à l’intérieur il lui était facile de circuler librement. Ou que le périmètre s’élargissant (télétravail, cloud, mobilité) la sécurité non périmétrique basée sur des contrôles continus à tous les niveaux de l’infrastructure était l’avenir.
Pour les cybercriminels, chacun de nous est une porte d’entrée potentielle dans l’entreprise. Les attaques actuelles profitent de la faille humaine et non de l’informatique.
Aucun moyen ne permet d’empêcher facilement la transmission d’un rançonlogiciel, car les employés sont toujours responsables de son introduction. Par ailleurs, les salariés peu accoutumés au télétravail et déconcertés par le contexte, n’ont pas toujours les bons réflexes d’hygiène numérique et font preuve de moins de vigilance.
Renforcé par les pratiques sociétales où se mélangent vie privée et travail, le facteur humain est devenu primordial en matière de sécurité informatique pour les entreprises.
Sensibiliser et former à la cybersécurité
L’e-mail est le moyen de communication privilégié en entreprise, c’est aussi la principale source des incidents de sécurité dans l’entreprise. La majorité des cyberattaques démarre par une tentative de hameçonnage (phishing), et un salarié qui « mord à l’hameçon ».
Si un fichier provenant d’un mail frauduleux n’est pas activé, l’infection est évitée. D’où l’importance humaine dans la propagation des cyberattaques.
La prévention humaine est un excellent pare-feu, mais pour cela il y a lieu de mettre en place les conditions d’exercice.
Sensibiliser, plutôt que sanctionner. Une culture de la confiance doit exister en interne dans l’entreprise, pouvoir dire qu’on a fait une erreur en ouvrant une pièce jointe (potentiellement suspecte) par exemple.
Mettre en place un cadre légal. Une charte informatique est indispensable pour définir les règles minimales de sécurité dans l’entreprise. L’encadrement des pratiques des collaborateurs passe également par le règlement intérieur et par le contrat de travail, avec la rédaction d’une clause de confidentialité ou la clause de télétravail par exemple.
Dans le contexte actuel la formation devient nécessaire. Dans le contexte règlementaire actuel (RGPD), les avocats considèrent que le respect de la législation ne peut être réalisé sans « la nécessité de sensibiliser les salariés par le biais de formation ».
Le MOOC SecNum Académie de l’ANSSI constitue une bonne entrée en matière. Initiez-vous gratuitement en ligne à la cybersécurité, à votre rythme et avec une certification. L’Agence Nationale de la Sécurité des Systèmes d’Information a mis en place des cours en ligne pour sensibiliser les utilisateurs en milieu professionnel et pour former le plus grand nombre de citoyens à la sécurité numérique.
La sécurité informatique est l’affaire de tous !