L'une des méthodes utilisées intensivement ces derniers temps par les pirates, c'est la création de mails d'hameçonnage ('phishing') qui se distinguent à peine d'un message courant. Ils les utilisent ensuite pour lancer des cyber-attaques ciblées. Même s'il ne s'agit pas là d'une nouvelle tactique, les trucs d'ingénierie sociale utilisés dans des attaques d'hameçonnage sont toujours plus sophistiqués. Et le fait que les télétravailleurs soient séparés du reste de l'organisation, accroît encore le risque de réussite de ces attaques.

Les menaces d'initiés

Selon une récente enquête, 68 pour cent de l'ensemble des organisations estiment être modérément à extrêmement vulnérables aux menaces d'initiés. Par initiés, on entend des employés mal intentionnés ou des collaborateurs mettant en danger leur entreprise de manière non intentionnelle. D'après l'enquête, les équipes de sécurité considèrent les attaques d'hameçonnage (38%) comme le principal danger non intentionnel de la part d'initiés.

La négligence et la nonchalance peuvent avoir des effets drastiques pour les organisations, surtout si elles résultent en une fuite de données. Toujours plus d'employés travaillent à présent chez eux. Cela signifie qu'ils ne peuvent se rendre dans le bureau d'un collègue pour lui demander son avis sur un mail à l'air suspect, ce qui les rend donc plus vulnérables aux attaques d'ingénierie sociale. Il est par conséquent important que les Chief Information Security Officers (CISO) accordent une haute priorité à la formation de 'security awareness' (prise de conscience sécuritaire) pour le personnel. C'est nécessaire pour faire prendre conscience aux employés du rôle qu'ils jouent dans la sécurisation du réseau de leur entreprise et dans la réduction des menaces internes.

La prise de conscience sécuritaire est une pièce incontournable du puzzle que représente la protection de l'entreprise dans son ensemble

Les employés peuvent eux-mêmes former une ligne de défense idéale. Quelle que soit leur fonction ou leur rôle au sein de l'organisation, les collaborateurs devraient pouvoir se rendre compte des conséquences d'un incident sécuritaire et ce, tant pour leur employeur que pour eux-mêmes. Dans ce but, les CISO doivent expliquer clairement à leurs employés pourquoi ils doivent prendre la cyber-sécurité au sérieux. Ils peuvent recourir aux manières suivantes pour y parvenir.

Donner la priorité à la formation de 'security awareness'

Les organisations sont régulièrement agressées par des attaques d'ingénierie sociale, simplement parce qu'elles sont très efficaces. Pour contrer ce risque, les CISO doivent informer leur personnel sur les types d'attaque les plus fréquents, comme l'hameçonnage ('phishing'), le harponnage ('spear phishing'), le hameçonnage par SMS ('smishing') ou les fraudes au support technologique ('tech support-scams'). La formation et l'information doivent être une top-priorité, qu'elles soient proposées via des espaces de réunion en ligne, des vidéo-clavardages ou des courriels. Offrir aux employés une vision des cyber-menaces et des signes de comportement suspect est nécessaire pour empêcher qu'ils soient victimes de courriels frauduleux et de sites web mal intentionnés.

Ces formations doivent aussi prévoir des simulations d'attaques d'hameçonnage. C'est ainsi que la connaissance des employés est testée et que les collaborateurs sont informés sur la façon de recevoir davantage d'aide. Ce genre de mesure peut faire en sorte que le personnel soit mieux à même de vérifier s'il est la cible d'une attaque d'ingénierie sociale, afin de réagir d'une manière appropriée.

Favoriser la collaboration

La cyber-sécurité ne doit pas se cantonner à assumer la responsabilité du département IT et de l'équipe de sécurité. Surtout pas à présent que les cyber-menaces deviennent de plus en plus intelligentes et plus difficiles à détecter. Les CISO doivent non seulement s'assurer que leurs employés sachent identifier les attaques d'hameçonnage, mais il convient aussi de favoriser la collaboration entre l'équipe de sécurité et les autres départements.

Les collaborateurs qui savent ce qu'on attend d'eux et qui ont le sentiment de faire partie d'une équipe, seront plus nettement motivés pour appliquer les meilleures pratiques en cyber-sécurité. Ils pourront aider à supprimer les formes de comportement qui contribuent involontairement à des incidents de sécurité, comme la négligence de modifier les mots de passe par défaut. Plus il y aura d'employés qui suivront le bon exemple, plus solide sera le pare-feu humain qui formera la première ligne de défense de l'organisation.

Une attitude passive eu égard à la cyber-sécurité n'est plus acceptable

Garantir des meilleures pratiques clairement définies

Si les employés savent comment identifier les trucs d'ingénierie sociale, il est possible néanmoins qu'ils aient encore et toujours besoin d'un conseil relatif à l'étape suivante dans le processus. Il est facile d'ignorer ou de supprimer un mail suspect, mais que faire d'un message à l'air tout à fait correct, mais qui éveille pourtant des soupçons?

Les CISO devraient encourager les employés à se poser des questions dans ce genre de situation, afin de prendre la bonne décision. Est-ce que je connais l'expéditeur? Est-ce que j'attendais ce mail? Ce message suscite-t-il une forte émotion, du genre stress ou angoisse? Suis-je mis sous pression en vue de faire quelque chose en urgence? La réponse à ces questions devrait mettre fin à la confusion.

La passivité est inacceptable

La prise de conscience sécuritaire est une pièce incontournable du puzzle que représente la protection de l'entreprise dans son ensemble. Que les employés s'en rendent compte ou pas, leurs manipulations risquent d'ouvrir la porte à des cybercriminels, ce qui fait que l'information sensible de leur entreprise est alors menacée. Une attitude passive eu égard à la cyber-sécurité n'est par conséquent plus acceptable.

En accordant la priorité à l'information et à la formation du personnel, ainsi qu'à la collaboration entre les départements et l'équipe de sécurité, les CISO peuvent mettre en place la base d'une solide culture de sécurisation. L'identification d'un comportement suspect, l'actualisation d'un équipement au moyen des toutes dernières mises à jour, et l'application d'une cyber-hygiène devraient faire partie de l'ensemble des tâches de chaque collaborateur. Ce faisant, le pare-feu humain ne contiendra plus de maillon faible.

L'une des méthodes utilisées intensivement ces derniers temps par les pirates, c'est la création de mails d'hameçonnage ('phishing') qui se distinguent à peine d'un message courant. Ils les utilisent ensuite pour lancer des cyber-attaques ciblées. Même s'il ne s'agit pas là d'une nouvelle tactique, les trucs d'ingénierie sociale utilisés dans des attaques d'hameçonnage sont toujours plus sophistiqués. Et le fait que les télétravailleurs soient séparés du reste de l'organisation, accroît encore le risque de réussite de ces attaques.Selon une récente enquête, 68 pour cent de l'ensemble des organisations estiment être modérément à extrêmement vulnérables aux menaces d'initiés. Par initiés, on entend des employés mal intentionnés ou des collaborateurs mettant en danger leur entreprise de manière non intentionnelle. D'après l'enquête, les équipes de sécurité considèrent les attaques d'hameçonnage (38%) comme le principal danger non intentionnel de la part d'initiés.La négligence et la nonchalance peuvent avoir des effets drastiques pour les organisations, surtout si elles résultent en une fuite de données. Toujours plus d'employés travaillent à présent chez eux. Cela signifie qu'ils ne peuvent se rendre dans le bureau d'un collègue pour lui demander son avis sur un mail à l'air suspect, ce qui les rend donc plus vulnérables aux attaques d'ingénierie sociale. Il est par conséquent important que les Chief Information Security Officers (CISO) accordent une haute priorité à la formation de 'security awareness' (prise de conscience sécuritaire) pour le personnel. C'est nécessaire pour faire prendre conscience aux employés du rôle qu'ils jouent dans la sécurisation du réseau de leur entreprise et dans la réduction des menaces internes.Les employés peuvent eux-mêmes former une ligne de défense idéale. Quelle que soit leur fonction ou leur rôle au sein de l'organisation, les collaborateurs devraient pouvoir se rendre compte des conséquences d'un incident sécuritaire et ce, tant pour leur employeur que pour eux-mêmes. Dans ce but, les CISO doivent expliquer clairement à leurs employés pourquoi ils doivent prendre la cyber-sécurité au sérieux. Ils peuvent recourir aux manières suivantes pour y parvenir.Les organisations sont régulièrement agressées par des attaques d'ingénierie sociale, simplement parce qu'elles sont très efficaces. Pour contrer ce risque, les CISO doivent informer leur personnel sur les types d'attaque les plus fréquents, comme l'hameçonnage ('phishing'), le harponnage ('spear phishing'), le hameçonnage par SMS ('smishing') ou les fraudes au support technologique ('tech support-scams'). La formation et l'information doivent être une top-priorité, qu'elles soient proposées via des espaces de réunion en ligne, des vidéo-clavardages ou des courriels. Offrir aux employés une vision des cyber-menaces et des signes de comportement suspect est nécessaire pour empêcher qu'ils soient victimes de courriels frauduleux et de sites web mal intentionnés.Ces formations doivent aussi prévoir des simulations d'attaques d'hameçonnage. C'est ainsi que la connaissance des employés est testée et que les collaborateurs sont informés sur la façon de recevoir davantage d'aide. Ce genre de mesure peut faire en sorte que le personnel soit mieux à même de vérifier s'il est la cible d'une attaque d'ingénierie sociale, afin de réagir d'une manière appropriée.La cyber-sécurité ne doit pas se cantonner à assumer la responsabilité du département IT et de l'équipe de sécurité. Surtout pas à présent que les cyber-menaces deviennent de plus en plus intelligentes et plus difficiles à détecter. Les CISO doivent non seulement s'assurer que leurs employés sachent identifier les attaques d'hameçonnage, mais il convient aussi de favoriser la collaboration entre l'équipe de sécurité et les autres départements.Les collaborateurs qui savent ce qu'on attend d'eux et qui ont le sentiment de faire partie d'une équipe, seront plus nettement motivés pour appliquer les meilleures pratiques en cyber-sécurité. Ils pourront aider à supprimer les formes de comportement qui contribuent involontairement à des incidents de sécurité, comme la négligence de modifier les mots de passe par défaut. Plus il y aura d'employés qui suivront le bon exemple, plus solide sera le pare-feu humain qui formera la première ligne de défense de l'organisation.Si les employés savent comment identifier les trucs d'ingénierie sociale, il est possible néanmoins qu'ils aient encore et toujours besoin d'un conseil relatif à l'étape suivante dans le processus. Il est facile d'ignorer ou de supprimer un mail suspect, mais que faire d'un message à l'air tout à fait correct, mais qui éveille pourtant des soupçons?Les CISO devraient encourager les employés à se poser des questions dans ce genre de situation, afin de prendre la bonne décision. Est-ce que je connais l'expéditeur? Est-ce que j'attendais ce mail? Ce message suscite-t-il une forte émotion, du genre stress ou angoisse? Suis-je mis sous pression en vue de faire quelque chose en urgence? La réponse à ces questions devrait mettre fin à la confusion.La prise de conscience sécuritaire est une pièce incontournable du puzzle que représente la protection de l'entreprise dans son ensemble. Que les employés s'en rendent compte ou pas, leurs manipulations risquent d'ouvrir la porte à des cybercriminels, ce qui fait que l'information sensible de leur entreprise est alors menacée. Une attitude passive eu égard à la cyber-sécurité n'est par conséquent plus acceptable.En accordant la priorité à l'information et à la formation du personnel, ainsi qu'à la collaboration entre les départements et l'équipe de sécurité, les CISO peuvent mettre en place la base d'une solide culture de sécurisation. L'identification d'un comportement suspect, l'actualisation d'un équipement au moyen des toutes dernières mises à jour, et l'application d'une cyber-hygiène devraient faire partie de l'ensemble des tâches de chaque collaborateur. Ce faisant, le pare-feu humain ne contiendra plus de maillon faible.