Humain et technologie, unis pour la cyberdéfense
Le dernier rapport sur les risques mondiaux du World Economic Forum désigne une fois encore les lacunes de cybersécurité comme l’un des risques les plus probables durant la prochaine décennie. Quelles mesures prendre pour réduire ce risque?
La grande majorité des cyberattaques démarrent par un e-mail. Et près de 100% des logiciels malveillants en circulation nécessitent l’action d’un utilisateur pour causer des dommages à la victime.
Les cybercriminels ont changé leur fusil d’épaule et ciblent de plus en plus les faiblesses humaines. Dans leurs attaques, ils ne s’appuient plus sur des exploits techniques sophistiqués, mais sur des campagnes d’ingénierie sociale tout aussi élaborées qui visent directement les utilisateurs des entreprises. L’objectif est toujours le même: pousser les victimes à entreprendre une action inconsidérée, par exemple l’exécution d’une macro.
Le facteur humain
Aujourd’hui, les trois types d’attaques les plus dangereuses employées par les cybercriminels à des fins lucratives tournent autour du facteur humain. Il s’agit du BEC (Business Email Compromise) ou arnaque au président, de la compromission des comptes de messagerie (lorsque de vrais comptes sont usurpés par des cybercriminels) et des attaques de rançongiciels.
Les attaques BEC sont particulièrement perfides. Les attaquants envoient en général un message en texte clair qui n’est pas identifié comme une menace par la plupart des systèmes de sécurité pour e-mail. Une fois que le message a été livré dans la boîte de réception de l’employé, c’est à lui d’évaluer l’authenticité du courriel. Souvent, l’adresse de l’expéditeur a été falsifiée avec soin pour imiter celle d’un supérieur ou d’un partenaire de la chaîne d’approvisionnement, tandis que le contenu a été adapté individuellement au destinataire. Si ce dernier n’est pas sensibilisé à ce type d’attaque, il n’est pas impossible qu’il effectue un transfert sur un compte des pirates ou qu’il envoie au supérieur supposé des informations sensibles comme des secrets d’entreprise. Avec des dommages s’élevant à plusieurs milliards de dollars par an, les attaques BEC sont aujourd’hui à l’origine de la plupart des réclamations de cyberassurance.
Lacunes dans la mise en œuvre
Les CISO (Chief Information Security Officers) de Suisse, d’Allemagne et d’Autriche sont largement conscients de cette tendance aux attaques axées sur les personnes. Selon une étude récente de Proofpoint, 70% des responsables du domaine jugent que les employés représentent le plus grand risque pour la sécurité informatique.
Si la prise de conscience est bien là, la mise en œuvre des mesures conséquentes présente encore des lacunes. Selon un autre résultat de l’étude, 77% des entreprises ne forment et n’éduquent leurs employés que deux fois par an ou moins sur des sujets liés à la sécurité numérique. Il est évident que cela ne suffit pas, vu la nature dynamique des attaques.
Une protection efficace exige une défense axée sur les personnes
Seul un concept de sécurité à plusieurs niveaux permet de protéger efficacement l’organisation: les entreprises sont tenues d’investir dans la sécurité du courrier électronique. Elles doivent veiller à ce que les tentatives de fraude et autres attaques par e-mail soient détectées et n’atteignent pas la boîte de réception des destinataires. Mais il ne faut pas négliger la formation des utilisateurs, afin que les employés soient capables d’identifier et de traiter de manière responsable les e-mails frauduleux se retrouvant dans leur boîte de réception. Car ce n’est que lorsque la technologie et les utilisateurs formés travaillent ensemble que la sécurité dans l’entreprise peut être accrue à long terme.
____________________
Les attaques les plus efficaces ne sont souvent pas très élaborées
Le périmètre de sécurité des entreprises est de plus en plus défini par leurs employés. Les entreprises suisses en sont conscientes, mais elles ne prennent pas toujours les mesures appropriées. Les explications de Michele Rapisarda, responsable grands comptes chez Proofpoint en Suisse et en Autriche. Interview: Colin Wallace
Sur quels processus et technologies Proofpoint se concentre-t-elle lorsqu’il s’agit de cybersécurité – et pourquoi?
Nous pensons qu’une défense forte ne peut être obtenue que par l’interaction efficace de la technologie, des processus et des personnes. Quelle que soit leur ampleur, la grande majorité des cyberattaques ont en commun de commencer par un courriel et d’essayer de tromper un humain – il faut donc une stratégie de défense centrée sur les personnes. La formation est un élément fondamental de cette démarche, tout comme les solutions de sécurité e-mail qui peuvent détecter les messages suspects à un stade précoce.
Quelles sont les méthodes les plus courantes utilisées par les cybercriminels pour tromper les utilisateurs et comment les détecter?
D’un point de vue technologique, il est parfois surprenant de constater à quel point les attaques les plus efficaces ne sont souvent pas très élaborées. Il s’agit souvent de macros intégrées dans des documents Word ou Excel qui tentent de charger des maliciels avec l’aide involontaire de l’utilisateur. Les e-mails contenant des pièces jointes infectées ou des liens URL malveillants peuvent déjà être identifiés par une bonne technologie de sécurité avec un taux de réussite élevé et être retirés de la circulation avant d’aboutir dans la boîte de réception. Mais les équipes de sécurité IT doivent aussi identifier les menaces prenant la forme d’e-mails en texte clair et qui tentent de tromper le destinataire en feignant une identité ou en s’emparant d’un véritable compte de courrier électronique. Il s’agit d’aider les équipes de sécurité à sensibiliser efficacement les utilisateurs contre ces attaques et de renforcer la formation ou l’apprentissage par des attaques simulées. Il faut également faciliter l’identification et le signalement des courriels potentiellement malveillants – par exemple, au moyen d’un bouton dans le client de messagerie – et de supprimer rapidement et si possible automatiquement les messages identifiés comme malveillants des boîtes de réception de tous les utilisateurs.
Qu’est-ce qui change dans la manière dont les entreprises abordent leur sécurité IT?
Par le passé, de nombreuses entreprises ont considéré la formation en sécurité comme une corvée réalisée dans le seul but de répondre aux exigences de conformité. La sécurité IT traditionnelle s’est par ailleurs concentrée sur la protection du périmètre de l’entreprise, en supposant que les attaques viennent de l’extérieur. Pour répondre aux tactiques actuelles de fraude axées sur les personnes, il faut faire appel à d’autres armes. Le périmètre technique historique n’existe plus: il est maintenant défini par chaque employé. Nous constatons que de nombreuses entreprises l’ont compris et travaillent maintenant activement à réduire la surface d’attaque.
Les PME sont-elles particulièrement vulnérables aux cyberattaques?
Les employés des PME partent du principe que leur entreprise est moins attrayante pour les cybercriminels, ce qui leur donne un faux sentiment de sécurité. Nos données montrent que les cybercriminels font peu de distinction et que les entreprises de toutes tailles sont attaquées à peu près au même rythme.