fabioberti.it - stock.adobe.com
La cybersécurité à l’épreuve des utilisateurs
Les dernières Assises de la Sécurité des Systèmes d’Information ont nettement montré la professionnalisation des méthodes de hacking. Dotées de plus de moyens, les menaces prolifèrent sous leurs nombreuses variantes. Parmi elles, l’ingénierie sociale dont les méthodes de phishing continuent de faire des ravages.
En 2017 déjà, l’étude « The Global State of Information Security » menée par PwC indiquait que près d’une entreprise sur trois estimait que ses collaborateurs étaient involontairement à l’origine de certaines attaques.
Consultation de pages web douteuses, utilisation de logiciels corrompus, ouverture de fichiers ou de lien malveillants, les possibilités d’accès au système sont quasi illimitées par le biais du phishing.
Parce que la manipulation psychologique vise à faire croire aux utilisateurs qu’ils évoluent sur un site sécurisé ou qu’ils échangent avec une personne accréditée, les méthodes variées d’ingénierie sociale ne sont rien d’autre que de l’abus de confiance. Elles exploitent tant la crédulité que le manque de formation ou de sensibilisation à l’égard de ces pratiques.
Des fraudes massives s’appuyant sur l’envoi de spams, à l’escroquerie visant une personne en particulier, il s’agit pour le hacker de parvenir à soutirer des informations organisationnelles, des renseignements personnels, à conduire son interlocuteur à réaliser une action comme le versement de fonds, mais aussi à provoquer la suspicion. C’est notamment le cas des méthodes utilisant des machines fantômes, lesquelles compliquent les investigations et la remontée à la source de l’attaque.
L’Agence Nationale de la Sécurité des Systèmes d’Information, par la voix de son Directeur Général Guillaume Poupard, a raison d’appeler au calme et à ne pas chercher à effrayer plus que de raison. Au demeurant, ce n’est qu’en informant fortement et complètement les utilisateurs, que la lutte en matière de cybersécurité a des chances de prospérer.
Le fort taux de réussite d’une bonne formation
Tous connectés, tous impliqués, tous responsables, selon les termes mêmes de l’ANSSI, ces quelques mots expriment parfaitement l’état d’esprit dans lequel l’entreprise et ses collaborateurs doivent évoluer.
Auditer la sécurité d’une entreprise peut (et devrait) passer par une analyse de la perception des collaborateurs pour leur rôle et leur implication en matière de cybersécurité. Les salariés se sentent généralement peu concernés. Ils perçoivent le sujet comme le domaine réservé de l’équipe sécurité informatique et non comme un engagement collectif.
Pour inverser la tendance, de nombreuses formations et supports existent pour former son personnel à la sécurité et aux risques auxquels s’expose une société informatisée : charte informatique, sessions d’e-learning, formations de groupe afin de favoriser le partage d’expérience, dispositifs ludiques et participatifs de type quiz, tests d’intrusion en social engineering et autres serious games, jusqu’à la mise en conditions réelles avec des sessions de live-hacking.
Et les statistiques parlent d’elles-mêmes. En général un tiers des collaborateurs se fait piéger lors d’un premier test de mise en situation. L’année suivante seuls 3 à 5 % du personnel sont encore concernés. Un chiffre qui reste stable au fil des ans compte tenu d’un éventuel turn-over. Avec un coût relativement faible, la sensibilisation et la formation réduisent massivement les comportements inadaptés et peuvent enrayer une cyberattaque même élaborée.