Pour gérer vos consentements :

Ingénierie sociale : les employés sont-ils le maillon faible de la cybersécurité ?

Quel employé peut reconnaître une tentative d’exfiltration de données derrière un email portant sur un plan social ou identifier le faux profil LinkedIn d’un présumé consultant en recrutement de grand groupe IT ? Déjà bien rodées, les techniques d’ingénierie sociale qui permettent de tromper la vigilance de cibles pour obtenir un accès à des données sensibles sont de plus en plus sophistiquées.

En plus d’envoyer des courriels ayant l’apparence de messages légitimes, les fraudeurs utilisent les réseaux sociaux et d’autres plateformes communautaires pour mieux connaître leur cible, d’une part, et lancer leurs opérations d’hameçonnage ou phishing, d’autre part. Avec le harponnage ou spear phishing, les cybercriminels vont même plus loin en ciblant spécifiquement des personnes dans l’entreprise pour accéder à des informations clés, les inciter à cliquer sur des liens frauduleux ou encore ouvrir une pièce jointe qui exécutera un malware.

Établir un lien durable avec la cible

Selon le rapport DBIR 2015 de l’opérateur américain Verizon, le phishing est à l’origine de plus des deux tiers des opérations de cyberespionnage, et cela depuis deux ans. Pour le cybercriminel, dérober ponctuellement une information n’est pas la priorité. Il cherche surtout à établir un lien dans la durée avec ses potentielles victimes via leurs terminaux, s’y installer et s’immiscer de manière furtive dans les systèmes et réseaux d’entreprise. Or, en 2014, 23 % des destinataires de messages de phishing ont ouvert ces courriels frauduleux et 11 % ont cliqué sur les pièces jointes. Au 4ème trimestre de la même année, plus de 197 000 rapports de phishing ont été soumis au consortium international Anti-Phishing Working Group (APWG). Un chiffre en hausse de 18 % par rapport au trimestre précédent.

Sensibiliser et former les équipes

Pour lutter contre ce fléau, l’investissement dans la sécurité des infrastructures (firewalls, filtrage de contenu, accès restreint…) ne suffit pas. « Un des moyens les plus efficaces pour limiter le risque passe par la sensibilisation et la formation. Vous pouvez non seulement réduire le nombre de personnes victimes de phishing d’environ 5 %, mais aussi créer un réseau humain qui sera plus efficace pour détecter les attaques de phishing que pratiquement n’importe quelle technologie », explique Lance Spitzner, directeur de recherche du SANS Institute. Il est donc urgent pour les entreprises de prendre conscience du risque que l’ingénierie sociale peut représenter pour l’activité et la réputation du groupe, ses clients et leurs données. Et de former leurs équipes, y compris par le biais de courriels de test avec de faux liens.

En mai dernier, le PMU a mené, avec le concours d’un prestataire, un test de ce type auprès de ses salariés. Résultat : 22 % d’entre eux ont ouvert la pièce jointe associée au mail piégé, qui leur promettait de participer à un jeu leur permettant de gagner un iPad. Et 6 % des employés – soit quelque 120 personnes – ont cliqué sur le lien présent dans cette pièce jointe et ont renseigné leurs coordonnées. En juillet, la région flamande en Belgique a réalisé un exercice de même nature auprès de ses 20 000 fonctionnaires.

Lire aussi :

Cybersécurité : l’essor du spear phishing en entreprise se confirme
Les cyberattaques focalisées sur les PC, pas sur les mobiles pour Verizon

crédit photo © GlebStock / Shutterstock.com

Recent Posts

Data et analytique : pour quel retour sur investissement ?

La croissance des revenus d'organisations dont les projets data "dépassent les attentes" est supérieure de…

16 heures ago

Mobile et systèmes industriels : les chantiers du framework ATT@CK

Passé en v11, le framework MITRE ATT@CK renforce sa matrice Mobile. Il en sera de…

17 heures ago

Cybersécurité : Thales s’offre S21sec et Excellium pour 120 M€

L'acquisition vient renforcer l’offre de Thales dans le conseil, l'intégration et les services managés de…

21 heures ago

Transition numérique : une solide croissance à deux chiffres

Les investissements mondiaux dans les technologies et services de transformation numérique progresseraient de plus de…

2 jours ago

Classement Forbes : 20 milliardaires de la Tech

De Jeff Bezos (Amazon) à David Duffield (Workday), voici la liste Forbes des 20 personnalités…

2 jours ago

Dix pistes d’action pour sécuriser l’open source

Comment améliorer la sécurité de l'open source ? Éléments de réponse avec le plan d'action…

2 jours ago