Malgré les efforts des défenseurs, les cybercriminels continuent de frauder, d’extorquer et de rançonner les entreprises. Fruit d’une ingénierie sociale, la plupart des attaques réussies coûtent des milliards de dollars chaque année. Voici cinq conseils pour augmenter la vigilance de vos collaborateurs.
Les plus grandes alliées des cybercriminels sont nos faiblesses psychologiques qui servent de vecteur de compromission dans les attaques de social engineering, et qu’on devrait incidemment renommer psychological engineering, puisqu’elles reposent sur des mécanismes psychologiques plus que sociaux. Dans toutes les entreprises, la principale vulnérabilité est d’abord humaine, car elle repose sur ces mécanismes qui peuvent être manipulés par des escrocs habiles, afin d’amener une personne à divulguer des informations ou exécuter un acte compromettant. Il en a toujours été ainsi, même avant l’informatique.
Considérées comme des biais cognitifs, ces faiblesses humaines sont tout ce qu’il y a de plus humain et ne sont justement pas des biais, mais un fonctionnement parfaitement naturel. Personne n’hésiterait à améliorer sa situation ou celle de sa famille si on lui proposait un moyen de le faire. Le biais cognitif ou plutôt la malveillance intervient lorsque la frontière de la nuisance à autrui est sciemment franchie à cause de ce désir. Autrement la personne manipulée est parfaitement rationnelle et de bonne foi.
Une bonne stratégie cybersécuritaire commence par l’humain
Et c’est justement sur ces désirs que reposent les manipulations de social engineering et d’hameçonnage. C’est la raison qui a poussé certaines entreprises à mettre la formation et la sensibilisation au centre de leur stratégie de cybersécurité. Elles sont aux prises avec des acteurs versatiles et qui s’adaptent rapidement. Au fur et à mesure que de nouvelles capacités défensives sont mises en œuvre, ces acteurs rusés et techniquement doués cherchent de nouveaux moyens de les vaincre. C’est ce que démontre une étude publiée par ProofPoint, 2022, Social Engineering Report.
Alors que les entreprises ont déployé de gros efforts pour sensibiliser leurs collaborateurs, les attaquants recourent à des méthodes de plus en plus sophistiquées pour arriver à leur fin. L’ingénierie sociale fait désormais partie de la boîte à outils de presque tous les acteurs de la menace qui utilisent la messagerie électronique comme vecteur d’accès initial. Qu’il s’agisse de cybercriminalité à motivation financière, de fraude par compromission des courriels professionnels (BEC) ou d’acteurs de menaces persistantes avancées (APT), Proofpoint a « observé d’innombrables tactiques, techniques et procédures reposant sur la propension fondamentale des humains à ouvrir et à répondre aux messages ».
Exploiter toutes les occasions et types de comportements
Cependant, les employés et la technologie étant de plus en plus aptes à identifier les menaces dans leur boîte de réception, les acteurs de la menace ont dû faire évoluer leurs méthodes. Et cela signifie qu’ils doivent exploiter toutes les occasions et types de comportements, y compris ceux qu’on n’attend pas d’un hacker. Le but est d’endormir la méfiance et, au mieux, d’obtenir la confiance de la future victime. L’analyse par les experts de ProofPoint des attaques de 2021 met en évidence certaines idées fausses que les gens peuvent avoir sur la façon dont les acteurs criminels ou étatiques s’engagent avec eux.
La première erreur consiste à croire que les cybercriminels sont pressés d’arriver à leur fin. Ce n’est pas vrai dans toutes les situations, car les attaquants peuvent, pour des proies qui en valent la peine, prendre le temps d’établir des relations de confiance en se permettant des échanges prolongés. Ils peuvent recourir à tous les moyens, services ou entreprises qui permettent de renforcer la confiance. Ils s’appuient ainsi sur les services d’entreprises de confiance ou qui sont trop connues pour être suspectées.
Combattre les idées reçues et les opinions toutes faites
Le courriel étant plus surveillé qu’auparavant, ils varient les moyens de contact en utilisant de préférence la téléphonie et la VoIP avec des outils comme Discord. Les attaquants les plus tenaces auront pris la peine de rassembler des informations et piraté des courriels pour inscrire leurs échanges dans les fils de discussion existants, avec d’autres collègues ou des fournisseurs/clients. Un message qui s’inscrit dans la logique d’un échange préalable est beaucoup plus difficile à détecter. Enfin, les attaquants exploitent tous les thèmes d’actualité tels que la pandémie, la guerre en Ukraine ou les événements sportifs.
De fait, les experts de ProofPoint pointent certaines idées reçues et certitudes qu’ils conseillent aux entreprises d’inclure dans leur formation. Il s’agit de se débarrasser de ces certitudes pour ne pas se faire surprendre et adopter un état d’esprit de vigilance. Voici les idées fausses à éradiquer :
- les acteurs de la menace ne prennent pas le temps d’établir des relations avant d’exécuter des attaques, par exemple en tenant des conversations régulières ;
- les services légitimes, tels que ceux fournis par des entreprises technologiques faisant autorité comme Google et Microsoft, peuvent être utilisés en toute sécurité ;
- les menaces n’impliquent que les ordinateurs et non des technologies annexes comme le téléphone ;
- les acteurs de la menace ne sont pas au courant des conversations par courrier électronique entre collègues et les fils de conversation existants sont sûrs ;
- les acteurs de la menace n’utiliseront pas un contenu opportun, d’actualité et socialement pertinent pour susciter l’intérêt ou exploiter les émotions.