Ingénierie sociale : les employés sont-ils le maillon faible de la cybersécurité ?

Quel employé peut reconnaître une tentative d’exfiltration de données derrière un email portant sur un plan social ou identifier le faux profil LinkedIn d’un présumé consultant en recrutement de grand groupe IT ? Déjà bien rodées, les techniques d’ingénierie sociale qui permettent de tromper la vigilance de cibles pour obtenir un accès à des données sensibles sont de plus en plus sophistiquées.

En plus d’envoyer des courriels ayant l’apparence de messages légitimes, les fraudeurs utilisent les réseaux sociaux et d’autres plateformes communautaires pour mieux connaître leur cible, d’une part, et lancer leurs opérations d’hameçonnage ou phishing, d’autre part. Avec le harponnage ou spear phishing, les cybercriminels vont même plus loin en ciblant spécifiquement des personnes dans l’entreprise pour accéder à des informations clés, les inciter à cliquer sur des liens frauduleux ou encore ouvrir une pièce jointe qui exécutera un malware.

Établir un lien durable avec la cible

Selon le rapport DBIR 2015 de l’opérateur américain Verizon, le phishing est à l’origine de plus des deux tiers des opérations de cyberespionnage, et cela depuis deux ans. Pour le cybercriminel, dérober ponctuellement une information n’est pas la priorité. Il cherche surtout à établir un lien dans la durée avec ses potentielles victimes via leurs terminaux, s’y installer et s’immiscer de manière furtive dans les systèmes et réseaux d’entreprise. Or, en 2014, 23 % des destinataires de messages de phishing ont ouvert ces courriels frauduleux et 11 % ont cliqué sur les pièces jointes. Au 4ème trimestre de la même année, plus de 197 000 rapports de phishing ont été soumis au consortium international Anti-Phishing Working Group (APWG). Un chiffre en hausse de 18 % par rapport au trimestre précédent.

Sensibiliser et former les équipes

Pour lutter contre ce fléau, l’investissement dans la sécurité des infrastructures (firewalls, filtrage de contenu, accès restreint…) ne suffit pas. « Un des moyens les plus efficaces pour limiter le risque passe par la sensibilisation et la formation. Vous pouvez non seulement réduire le nombre de personnes victimes de phishing d’environ 5 %, mais aussi créer un réseau humain qui sera plus efficace pour détecter les attaques de phishing que pratiquement n’importe quelle technologie », explique Lance Spitzner, directeur de recherche du SANS Institute. Il est donc urgent pour les entreprises de prendre conscience du risque que l’ingénierie sociale peut représenter pour l’activité et la réputation du groupe, ses clients et leurs données. Et de former leurs équipes, y compris par le biais de courriels de test avec de faux liens.

En mai dernier, le PMU a mené, avec le concours d’un prestataire, un test de ce type auprès de ses salariés. Résultat : 22 % d’entre eux ont ouvert la pièce jointe associée au mail piégé, qui leur promettait de participer à un jeu leur permettant de gagner un iPad. Et 6 % des employés – soit quelque 120 personnes – ont cliqué sur le lien présent dans cette pièce jointe et ont renseigné leurs coordonnées. En juillet, la région flamande en Belgique a réalisé un exercice de même nature auprès de ses 20 000 fonctionnaires.

Lire aussi :

Cybersécurité : l’essor du spear phishing en entreprise se confirme
Les cyberattaques focalisées sur les PC, pas sur les mobiles pour Verizon

crédit photo © GlebStock / Shutterstock.com