Ne sabotez pas votre propre sécurité, formez vos utilisateurs

Je pense que la première fois que j'ai vu un courrier électronique d'hameçonnage remonte à 2000, alors que je travaillais sur un projet de test avec Oliver Rist, qui est maintenant le Business Editor de PCMag. Un matin, nous avons tous les deux reçu des courriers électroniques avec la ligne d'objet "I Love You", qui était également le corps du courrier électronique et une pièce jointe. Nous savions tous les deux instantanément que le courrier électronique devait être faux car, en tant que rédacteurs en chef de magazines, nous savions que personne ne nous aimait. Nous n'avons pas cliqué sur la pièce jointe. Nous agissions en fait comme des pare-feu humains. Nous avons reconnu un faux courrier à vue et nous l'avons supprimé plutôt que de laisser son contenu se répandre dans nos ordinateurs et le reste du réseau.

Même à l'époque, de telles attaques étaient appelées "ingénierie sociale" par l'ensemble des hackers. Aujourd'hui, les emails de phishing sont probablement la version la plus connue de ce type d'exploit. Ils visent principalement à sécuriser les informations d'identification de sécurité, mais ils sont également capables de diffuser d'autres types de logiciels malveillants, notamment les ransomwares. Mais il convient de noter qu’il existe d’autres types d’attaques d’ingénierie sociale en plus du phishing, notamment d’attaques physiques plutôt que strictement numériques.

Les humains: toujours un vecteur d'attaque majeur

La raison pour laquelle les courriels de phishing sont si connus est qu’ils sont très courants. À l'heure actuelle, il est juste de dire que quiconque possède un compte de messagerie aura reçu un courrier électronique de phishing à un moment donné. Le courrier électronique prétend souvent provenir de votre banque, de votre compagnie de carte de crédit ou de toute autre entreprise que vous fréquentez. Mais les courriels de phishing peuvent également constituer une menace pour votre organisation, car les attaquants essaient d’utiliser vos employés contre vous. Une autre première version de cette attaque a été lancée à l’âge de la télécopie, alors que les assaillants ne faisaient que télécopier une facture pour des services qui n’étaient jamais rendus à de grandes entreprises, dans l’espoir que des dirigeants très occupés les soumettraient simplement au paiement.

Le phishing est étonnamment efficace. Selon une étude du cabinet d'avocats BakerHostetler, qui a examiné 560 violations de données l'année dernière, le phishing est aujourd'hui la principale cause d'incidents de sécurité des données.

Malheureusement, la technologie n'a pas rattrapé les attaques de phishing. Bien qu'il existe un certain nombre de dispositifs de sécurité et de logiciels conçus pour filtrer les courriels malveillants, les malfaiteurs qui créent des courriels de phishing travaillent fort pour s'assurer que leurs attaques ne passent pas inaperçues. Une étude de Cyren montre que l'analyse du courrier électronique a un taux d'échec de 10, 5% dans la recherche de courrier électronique malveillant. Même dans les petites et moyennes entreprises (PME), cela peut représenter un nombre considérable de courriels, et tous ceux qui contiennent une attaque d'ingénierie sociale peuvent constituer une menace pour votre organisation. Et pas une menace générale comme ce serait le cas avec la plupart des logiciels malveillants qui ont réussi à se faufiler par vos mesures de protection des points finaux, mais le type le plus sinistre qui cible spécifiquement vos données les plus précieuses et vos ressources numériques.

J'ai eu vent du rapport Cyren lors d'une conversation avec Stu Sjouwerman, fondateur et PDG de KnowBe4, une entreprise qui peut aider les professionnels des ressources humaines (RH) à enseigner la sensibilisation à la sécurité. C'est Sjouwerman qui a parlé de "pare-feu humain" et qui a également parlé de "piratage humain". Selon lui, les organisations peuvent prévenir ou réduire l'efficacité des attaques d'ingénierie sociale grâce à une formation cohérente, conçue de manière à engager également votre personnel dans la résolution du problème.

Bien entendu, de nombreuses organisations organisent des sessions de formation à la sécurité. Vous avez probablement assisté à plusieurs de ces réunions au cours desquelles un vieux café est associé à des beignets rassis, tandis qu'un entrepreneur engagé par les ressources humaines passe 15 minutes à ne pas vous laisser séduire par les courriels d'hameçonnage - sans vous dire réellement ce qu'ils sont ni expliquer ce qu'il faut faire si vous pensez en avoir trouvé un. Oui, ces réunions.

Ce que Sjouwerman a suggéré de mieux, c’est de créer un environnement de formation interactif dans lequel vous avez accès aux courriels de phishing réels, où vous pourrez les examiner. Peut-être avez-vous un effort de groupe dans lequel tout le monde essaie de voir les facteurs qui pointent vers les courriels de phishing, tels que des fautes d'orthographe, des adresses qui paraissent presque vraies, ou des demandes qui, à l'examen, n'ont pas de sens (par exemple, demander un transfert immédiat de fonds de la société à un destinataire inconnu).

Défendre contre l'ingénierie sociale

Mais Sjouwerman a également souligné qu'il existe plus d'un type d'ingénierie sociale. Il propose sur le site Web KnowBe4 un ensemble d'outils gratuits que les entreprises peuvent utiliser pour aider leurs employés à apprendre. Il a également suggéré les neuf mesures suivantes que les entreprises peuvent prendre pour lutter contre les attaques d'ingénierie sociale.

• Créez un pare-feu humain en formant votre personnel à la reconnaissance des attaques d'ingénierie sociale lorsqu'il les voit.
• Réalisez des tests d'ingénierie sociale fréquents et simulés pour que vos employés restent vigilants.
• Effectuer un test de sécurité anti-phishing; Knowbe4 en a un gratuitement.
• Soyez à l'affût de la fraude du PDG. Il s’agit d’attaques dans lesquelles les assaillants créent un courrier électronique usurpé qui semble provenir du PDG ou d’un autre haut responsable, dirigeant des actions telles que les transferts d’argent de manière urgente. Vous pouvez vérifier si votre domaine peut être usurpé à l'aide d'un outil gratuit de KnowBe4.
• Envoyez des e-mails de phishing simulés à vos employés et incluez un lien qui vous alertera en cas de clic sur ce lien. Gardez une trace des employés qui tombent pour cela et concentrez la formation sur ceux qui tombent pour plus d'une fois.
• Préparez-vous au "vishing", qui est un type d'ingénierie sociale de messagerie vocale dans lequel sont laissés des messages qui tentent d'obtenir l'action de vos employés. Celles-ci peuvent sembler être des appels des forces de l’ordre, de l’Internal Revenue Service (IRS) ou même du support technique Microsoft. Assurez-vous que vos employés ne sachent pas retourner ces appels.
• Alertez vos employés contre le "phishing par texte" ou "SMiShing (phishing par SMS)", qui ressemble au phishing par courrier électronique mais avec des messages texte. Dans ce cas, le lien peut être conçu pour obtenir des informations sensibles, telles que des listes de contacts, à partir de leur téléphone portable. Ils doivent être formés à ne pas toucher les liens dans les messages texte, même s'ils semblent provenir d'amis.
• Les attaques USB (Universal Serial Bus) sont étonnamment efficaces et constituent un moyen fiable de pénétrer dans les réseaux ventilés. La façon dont cela fonctionne est que quelqu'un laisse des clés USB traîner dans les toilettes, les parkings ou tout autre lieu fréquenté par vos employés. peut-être que le bâton porte des logos ou des étiquettes attrayantes. Lorsque les employés les trouvent et les insèrent dans un ordinateur pratique - et ils le feront s’ils n’apprennent rien d’autre - les logiciels malveillants s’installant dans votre réseau. C’est ainsi que le malware Stuxnet a pénétré dans le programme nucléaire iranien. Knowbe4 dispose d'un outil gratuit pour tester cela aussi.
• L'attaque du paquet est aussi étonnamment efficace. C'est là que quelqu'un arrive avec un chargement de boîtes (ou parfois de pizzas) et demande à être laissé entrer pour pouvoir être livré. Pendant que vous ne regardez pas, ils glissent un périphérique USB dans un ordinateur à proximité. Vos employés doivent être formés à la réalisation d'attaques simulées. Vous pouvez les encourager en vous entraînant à cela, puis en partageant les pizzas s'ils réussissent.

Comme vous pouvez le constater, l’ingénierie sociale peut constituer un véritable défi, et beaucoup plus efficace que vous le souhaiteriez. La seule façon de le combattre est d'impliquer activement vos employés dans la détection de telles attaques et de les appeler. Si vous le faites bien, vos employés apprécieront le processus - et ils en obtiendront peut-être aussi quelques pizzas gratuites.