Cyber : il faut sensibiliser ses équipes aux risques liés à l’ingénierie sociale

Comment sensibiliser ses équipes aux risques cyber ?

Pour éviter les attaques des hackers, la meilleure méthode est de bien former ses salariés et de s’équiper de logiciels performants. Explications.

Par Frédéric Therin

Publié le 9/21/2021

Les chiffres donnent froid dans le dos. Le nombre de cyberattaques en France a quadruplé en l'espace d'un an, selon la ministre des Armées, Florence Parly. 159 collectivités et 837 sociétés ont été la cible des hackers en 2020. 20% des grandes entreprises nationales ont été victimes d’une cyberattaque l’année dernière, selon une étude du Club des experts de la sécurité de l’information et du numérique (Cesin). Les rançongiciels, ces programmes malveillants qui s’infiltrent dans les systèmes d’information des sociétés et qui bloquent l’accès des données tant qu’un paiement n’a pas été versé au pirate, ont bondi, à eux seuls, de 255% l’an dernier. Ils représentent aujourd’hui 60% des cyberattaques dans l’Hexagone. "L’explosion totale" des attaques sur la Toile, aux dires mêmes de Guillaume Poupard, le directeur de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), inquiète les entreprises. Et pour cause…

Attaques cyber et défaillances d'entreprises

Le risque de défaillance des ETI françaises augmente de 80% à la suite d'une attaque cyber, selon une enquête publiée en début d'année par le cabinet de conseil en assurances Bessé. 70% des TPE/PME qui ont subi une attaque sur le web ne s’en remettent jamais, d’après l’assureur QBE. Dans 80% des cas, ces assauts commencent par des e-mails d’apparence légitime afin d’obtenir de la part d’employés des identifiants de connexion.

Quelles sont les techniques des hackers ?

L'ingénierie sociale (social engineering) est le système de fraude qui permet aux criminels de voler des informations confidentielles sans pirater des systèmes de sécurité complexes tout en manipulant les victimes pour les mettre en confiance et mieux les tromper. Il existe différentes techniques.

La technique du prétexte ou "pretexting" peut créer un sentiment d'urgence chez les victimes et les pousser à répondre rapidement aux demandes formulées par le "pirate masqué". D’autres hackers prennent leur temps afin d'instaurer un climat de confiance auprès des salariés. 

La technique de l’appâtage ou "baiting" fait miroiter une offre irrésistible afin de d'attirer les victimes dans un piège. Des publicités alléchantes, un jeu concours qui semble gagné d’avance, un lien pour profiter de rabais sensationnels… Les pirates ne manquent pas d’idées pour appâter le salarié.

La technique du hameçonnage ou "phishing" manipule la victime pour l’amener à transmettre certaines de ses données personnelles. L’internaute doit cliquer sur un lien au sein d'un e-mail ou d'un SMS par exemple, puis il est invité à saisir certaines informations confidentielles. En 2020, cette technique a par exemple été utilisée pour envoyer des courriels semblant provenir de l'Organisation Mondiale de la Santé (OMS). Le message contenait de fausses informations sur les actions à mener pour empêcher la propagation du coronavirus. Après avoir essayé de télécharger le document en pièce jointe, les victimes ont été redirigées vers un site internet frauduleux.

La technique du donnant-donnant ou "quid pro quo" piège les victimes en leur demandant des informations confidentielles en échange de services ou de biens. En 2016, une étude de l'université du Luxembourg a révélé que les internautes avaient davantage tendance à transmettre leur mot de passe lorsqu'on leur offrait un petit cadeau comme un… morceau de chocolat. La gourmandise est un vilain défaut…

Quelles sont les pratiques que doivent suivre vos salariés contre l’ingénierie sociale ?

La meilleure des protections reste la sensibilisation. Ainsi, il est utile de rappeler aux salariés de toujours vérifier la provenance des courriels qu’ils reçoivent, surtout s’ils doivent transmettre des données personnelles ou cliquer sur un lien. En cas de doute, il est préférable de se rendre sur le site internet de son interlocuteur en tapant directement l'adresse sur son navigateur. En cas de message de la part d'un expéditeur inconnu, ne pas télécharger de fichiers, ne communiquer aucune information personnelle et ne cliquer sous aucune prétexte sur des liens.

Il existe quelques signes qui invitent à la méfiance.
Si le message exige de répondre rapidement, une plus grande vigilance s’impose. Les "offres exceptionnelles" sont souvent trop belles pour être vraies.

Pour prolonger ces discussions, il existe des modules de formation pour que les employés apprennent à déceler les attaques et adopter des pratiques de prudence. Il est aussi possible de simuler des attaques dans votre société pour faire comprendre à vos collaborateurs les risques liés à l’hameçonnage.

Côté « tech », certaines mesures s'imposent. Protégez les ordinateurs avec un antivirus efficace et mis à jour ou une protection pare-feu. Mettez en place un système de double authentification pour tous vos collaborateurs (mot de passe, empreinte digitale, clé USB qui prend en charge le standard Universal Second Factor (U2F), application utilisant le protocole Time-based One-Time Password algorithm…).

Enfin, pour ne pas être pris au dépourvu, préparez un plan de continuité d’activité (PCA) afin de définir la stratégie et l’ensemble des dispositions à prendre en cas de cyberattaque.