Pourquoi Chaque Membre De L’équipe A Un Rôle À Jouer Dans La Cybersécurité

La menace

Avec l’introduction de la réglementation générale sur la protection des données (2018), il n’a jamais été aussi important pour les entreprises et les sociétés de protéger leurs précieuses données. Selon l’étude Cyber Security Breaches Survey 2019 menée par le gouvernement britannique, 30 % des entreprises et 36 % des organisations caritatives ont apporté des modifications en raison de la GDPR. Une réaction compréhensible, puisque l’amende maximale pour violation du GDPR peut être de 20 millions d’euros ou de 4 % du chiffre d’affaires annuel mondial – le montant le plus élevé étant retenu.

Cela dit, des violations et des attaques se produisent encore. Au cours des 12 derniers mois, 32 % des entreprises et 22 % des organisations caritatives ont identifié une faille ou une attaque de cybersécurité – entraînant des milliers de livres sterling de coûts en raison de la perte de données et d’actifs. L’utilisation de termes tels que « faille de sécurité » et « attaque » peut être légèrement trompeuse quant à leurs causes. On pourrait penser qu’il s’agit de pirates informatiques d’élite qui ciblent les entreprises et qui surmontent les systèmes de sécurité uniquement grâce à leurs compétences. La vérité est beaucoup plus simple : 80% des violations de la sécurité sont dues au personnel.

Tout membre de l’équipe peut être ciblé

L’essor des médias sociaux a amené les gens à partager leur vie avec le monde entier. Cette ouverture sur le monde permet également aux gens de devenir des cibles, surtout s’ils travaillent pour une entreprise qui pourrait attirer l’attention des pirates informatiques. McAfee a déclaré que plus de la moitié des organisations ont signalé des violations potentielles de la sécurité dues à l’utilisation des médias sociaux. Cependant, l’utilisation des médias sociaux concerne davantage les erreurs non forcées du personnel – l’ingénierie sociale vise à utiliser des techniques ciblées pour exploiter l’information.

L’ingénierie sociale peut être définie comme l’utilisation de techniques psychologiques et sociales pour obtenir des informations et exploiter des relations, dans un objectif final. Les objectifs finaux peuvent être de compromettre la sécurité ou d’entrer dans une installation. Plus important encore, l’ingénierie sociale peut cibler n’importe quel niveau de personnel dans n’importe quelle organisation, et pas seulement les cadres supérieurs ou le personnel informatique. En ciblant le personnel de niveau inférieur, et potentiellement moins sensibilisé à la sécurité, il est possible d’accéder à un système. Un bref exemple de cela pourrait être un pirate informatique obtenant l’accès au courrier électronique d’un employé, et l’utilisant ensuite pour cibler les cadres supérieurs afin d’augmenter les chances de réussite.

Le cycle général d’ingénierie sociale est le suivant : collecte d’informations gt ; développement d’une relation gt ; exploitation de la relation gt ; exécution pour atteindre l’objectif. Parallèlement à ce cycle, diverses techniques d’ingénierie sociale sont employées, telles que : le phishing, le prétexte, l’appât, la contrepartie et le tailgating.

L’hameçonnage, l’appâtage et la contrepartie fonctionnent tous sur une base similaire, mais présentent des différences distinctes. L’hameçonnage a tendance à fonctionner sur la base d’un sentiment d’urgence – « Il est vital que cela soit fait immédiatement » ou « C’est en retard, faites-le maintenant » – pour amener les cibles à paniquer et à agir sans réfléchir. L’appât et le quid pro quo fonctionnent généralement sur la base de la confiance, mais surtout sur la récompense. L’appât offre à la cible un bien matériel en échange d’informations, telles que les données de connexion. La contrepartie est un service, par exemple une « société informatique » qui propose une mise à niveau gratuite de la sécurité d’un système obsolète. Ces trois exemples dirigent généralement une cible vers un site web malveillant qui semble légitime mais qui est géré par un pirate informatique potentiel.

Le prétexte et le tailgating sont des techniques d’ingénierie sociale qui peuvent être réalisées en personne. Le « tailgating » est simple – « veuillez tenir la porte, j’ai les mains pleines et je ne peux pas atteindre ma carte-clé ». Un geste qui exploite la gentillesse humaine pour pénétrer dans des zones restreintes et, une fois l’accès obtenu, les vulnérabilités internes peuvent être facilement atteintes. Le prétexte est légèrement différent. Imaginez le scénario d’un livreur qui dépose un colis au PDG d’une entreprise. Le colis pourrait être laissé à la réception du bâtiment, mais on insiste pour que le colis soit remis en main propre au PDG, sur ses ordres stricts. Cette création d’un scénario est exactement ce sur quoi fonctionne le prétexte pour entrer dans les zones restreintes d’une organisation.

Attaques en chaîne de Daisy

Ces cinq exemples d’ingénierie sociale ne sont pas mutuellement exclusifs dans la mesure où plusieurs d’entre eux pourraient être utilisés ensemble. De plus, les exemples donnés ne visent qu’un seul individu, alors qu’en fait, les employés des organisations peuvent être « enchaînés » ensemble pour plus de succès. Prenons l’exemple de l’appât. Un employé de niveau inférieur, moins conscient de la sécurité, d’une grande entreprise a une page de médias sociaux ouverte qui lui indique où il travaille, mais qu’il aime aussi tout ce qui a trait aux bébés lamas. Un courrier électronique pourrait être créé à partir de ces informations pour être envoyé à leur adresse électronique professionnelle, offrant une photo de lama gratuite et un pacte de faits s’ils créent un compte en utilisant leur adresse électronique professionnelle (et généralement un mot de passe). Ce dernier est conçu de manière à permettre l’accès à leur compte de messagerie professionnelle. Un risque de sécurité apparemment faible ? Faux. Un courriel officiel de travail peut être utilisé pour envoyer d’autres courriels de phishing ou des liens malveillants à des informaticiens de haut niveau, qui sont une cible de plus grande valeur. En effet, un courriel professionnel officiel inspire une grande confiance car une personne connue y est attachée.

Conclusion

L’ingénierie sociale démontre une valeur fondamentale : un mot de passe n’a de force que celle de la personne qui le détient. Cela signifie que la cybersécurité dépend des personnes qui l’utilisent ou la mettent en œuvre. En règle générale, si un pirate informatique est assez bon pour percer les différents systèmes de sécurité sans recourir à l’ingénierie sociale, alors il n’y a pas grand-chose pour l’arrêter. Cependant, la grande majorité des pirates ne sont pas aussi bons, et ils utilisent donc tous les moyens nécessaires pour se donner un avantage. En outre, les violations de la sécurité commises de cette manière ne sont pas toujours évidentes, dans la mesure où il peut s’écouler des mois après une violation ou une attaque avant que quelqu’un ne s’en rende compte.