SPONSORISÉ Dossier en collaboration avec Proofpoint

L’humain au cœur de la cybersécurité

par Irene Marx, Country Manager Alps chez Proofpoint

Hameçonnage, fraude au CEO, ransomware, logiciels malveillants, chevaux de Troie, fausses ­pages de connexion... L’arsenal des cyberattaques est varié et exige une approche globale de la sécurité plaçant l’humain au cœur de la cyberdéfense.

Irene Marx, Country Manager Alps chez Proofpoint. (Source: zVg)
Irene Marx, Country Manager Alps chez Proofpoint. (Source: zVg)

En janvier, le Forum économique mondial a publié son rapport sur les risques mondiaux pour 2022. On ne saurait s’étonner qu’un chapitre spécifique y soit consacré à la «cybersécurité». Mais certains chiffres sont particulièrement frappants. Ainsi, selon le rapport, 95% des problèmes de cybersécurité sont dus à des erreurs humaines. Et le volume d’e-mails malveillants auquel nous sommes confrontés en tant qu’utilisateurs ne cesse d’augmenter: en un an seulement, le volume des logiciels malware a augmenté de 358% et celui des ransomwares de 435%.

Qu’est-ce que cela signifie?

Manifestement, les cybercriminels ont changé de stratégie et cela leur réussit. Il est de plus en plus difficile pour les pirates de s’introduire directement dans le réseau de l’entreprise pour y voler des données ou y installer un ransomware. Les investissements importants réalisés ces dernières années pour sécuriser le réseau portent leurs fruits. Mais il est un moyen beaucoup plus facile de s’introduire dans l’entreprise, c’est de transformer un collaborateur en complice.

Les cybercriminels misent sur les collaborateurs

Nos chercheurs spécialisés dans la cybermenace constatent que les attaques sont de plus en plus ciblées, c’est-à-dire individualisées. Le principe de l’arrosoir a fait son temps. Une fois qu’une entreprise est dans le collimateur d’un groupe de ­hackers, l’attaque est souvent minutieusement planifiée. Les médias sociaux sont passés au crible, les collaborateurs et leurs responsabilités ainsi que les possibles autorisations qui en résultent sont évalués. Des organigrammes sont créés et souvent, les échanges de mails sont lus, sans intervention active, juste pour comprendre la culture et le langage de l’entreprise. Lorsque toutes ces pièces du puzzle sont réunies, le collaborateur – souvent peu méfiant – n’est plus qu’à un clic d’une cyberattaque réussie.

Mais l’attaque externe n’est pas le seul scénario dans lequel le comportement humain fait la différence. Dans le cas des insider threats, le danger ne vient pas de l’extérieur, mais se trouve au cœur de l’entreprise. Il convient de distinguer deux types d’insiders: le collaborateur naïf qui agit en toute bonne foi et révèle des données de l’entreprise sans le savoir – un risque particulièrement élevé en télétravail. Et les collaborateurs qui agissent sciemment et intentionnellement contre leur propre entreprise. Dans les deux cas, les données de l’entre-prise tombent entre les mains de tiers. Et à chaque fois,
c’est le comportement humain qui explique le nombre élevé d’incidents.

Nul besoin de démontrer davantage l’utilité d’un concept de sécurité orienté sur collaborateurs. Nous recommandons aux entreprises de tenir compte des aspects suivants:

  1. Créer de la transparence. Quel collaborateur est confronté à quels scénarios d’attaque? Quel est la probabilité de répondre à des e-mails de phishing? Ces collaborateurs ont-ils accès à des données sensibles de l’entreprise?

  2. Formation. Les formations en matière de sécurité ne doivent pas être des exercices ponctuels. Pour que les collaborateurs soient préparés efficacement aux nouveaux modèles d’attaque, il faut une formation en continu.

  3. Chaîne d’approvisionnement. Quel est le niveau de sécurité de la communication dans la supply chain?

  4. Menace interne. Existe-t-il des mesures de sécurité appropriées qui s’activent lorsqu’un collaborateur – bien ou malintentionné – veut transmettre des données sensibles de l’entreprise à l’extérieur?

  5. Etre préparé: Que se passe-t-il si une cyberattaque réussit tout de même?

----------

Les hackers misent plus sur les ­organigrammes que sur les ­diagrammes réseau

Irene Marx est en charge des activités suisses de Proofpoint. Pour cette spécialiste, une cybersécurité centrée sur l’humain commence par une compréhension de qui et comment les collaborateurs sont ciblés avant de décider des mesures individualisées à mettre en œuvre. Interview: Coen Kaat

Quels collaborateurs sont particulièrement ciblés par les cybercriminels?

Si la sécurité est souvent pensée en termes de diagrammes ­réseau, les hackers misent davantage sur des organigrammes pour s’introduire dans les entreprises. Ils réfléchissent aux collaborateurs qui leur permettront d’accéder le plus facilement aux données et aux systèmes souhaités. Nous utilisons pour cela le modèle VAP, en mettant en relation les trois dimensions que sont la vulnérabilité (V pour Vulnerability), les attaques (A pour Attacks) et les droits d’accès (P pour Privileges). Le risque le plus important provient de ceux qui ont accès à des données et à des systèmes sensibles, qui tendent à cliquer rapidement sur tous les liens et à ouvrir des macros dans les pièces jointes et qui, en outre, font l’objet d’attaques nombreuses ou dangereuses.

A quoi ressemble une cyberdéfense centrée sur l’humain?

En premier lieu, il est extrêmement important pour les entreprises de savoir qui est attaqué avec quoi, et comment les collaborateurs réagissent. Ce n’est que lorsque je sais à quelles attaques mes collaborateurs sont exposés que je peux les protéger de manière ciblée. Outre les mesures de sécurité générales, une entreprise peut exploiter cette information pour déployer des mesures individuelles supplémentaires. Je pense par exemple à une authentification à deux facteurs, à des formations supplémentaires sur les menaces spécifiques auxquelles les collaborateurs sont actuellement confrontés, à la technologie d’isolation web. Aujourd’hui, ces mesures peuvent être mises en œuvre de manière automatisée, de sorte que le travail est minime pour les équipes chargées de la sécurité IT.

Dans quelle mesure la sécurité repose-t-elle sur les épaules des collaborateurs plutôt que sur celles de l’entreprise?

Franchement, les attaques actuelles sont vraiment très sophistiquées et professionnelles. S’il était aussi facile de distinguer les e-mails légitimes des malveillants, il n’y aurait pas autant d’attaques réussies. Dans notre dernière enquête State-of-the-Phish, 83% des spécialistes IT ont indiqué avoir subi une attaque de phishing réussie en 2021, contre 57% seulement un an plus tôt. C’est précisément pour cette raison qu’il est si important d’imbriquer technologie, processus et formation. Ce n’est pas parce que le collaborateur est dans le collimateur des hackers, qu’il peut être tenu pour seul responsable.

Comment une entreprise peut-elle se protéger contre les collaborateurs qui veulent délibérément transmettre des données à l’extérieur pour des raisons ­douteuses?

Dans ce cas, les formations ne sont évidemment d’aucune aide, car le collaborateur de votre exemple sait bien qu’il ne doit pas transmettre les données à l’extérieur. Il existe à cet égard des technologies sophistiquées qui protègent les entreprises contre la perte de leurs données de valeur. Il importe de combiner différents modes d’intervention. Qu’il s’agisse de télécharger un répertoire client, de renommer un fichier ou de le transmettre à un destinataire externe, chaque action peut être tout à fait légitime en soi et s’inscrire dans le cadre de l’activité normale. Ce n’est que lorsque l’on combine ces différentes actions, qu’il devient évident que quelqu’un de malintentionné a transmis des données importantes à l’extérieur. Il est également possible que des acteurs malveillants aient usurpé le compte du collaborateur. Dans tous les cas, les systèmes de sécurité donnent l’alerte.

Webcode
DPF8_251886