Deux experts en sécurité font face à une attaque de phishing , mais l’histoire se termine par un jour sombre pour l’un d’entre eux … Découvrez comment mieux gérer les risques de phishing tout au long de notre histoire !
Notre article de sensibilisation à la cybersécurité – écrit par Emmanuel Nicaise, notre expert en sécurité centré sur l’humain avec plus de 20 ans d’expérience – sera publié chaque semaine pendant l’été. Restez à l’écoute, l’équipe d’Approach en est déjà fan 😉
Rencontrez dans le premier chapitre ci-dessous nos experts en sécurité : Ben, responsable de l’ingénierie de sécurité chez B.com et Alice, responsable de la sécurité chez A.com. Tous deux sont bien conscients des risques de phishing et ont mis en place des protections multicouches au sein de leur entreprise, mais seul l’un d’entre eux a mis en œuvre un programme de sensibilisation à la sécurité centré sur l’humain.
Pour en savoir plus sur les 3 actions les plus importantes pour réduire les menaces d’hameçonnage, lisez les chapitres suivants de notre histoire :
- Réduire l’exposition et l’impact des attaques de phishing
- Former les utilisateurs et mettre en place un cadre de sécurité centré sur l’homme
- Faciliter la détection des courriels d’hameçonnage
1. La journée a commencé sous de bons auspices
Vendredi après-midi, par une sombre journée d’hiver, Alice, responsable de la sécurité chez A.com, s’entretient au téléphone avec son ami Ben. Ben est le responsable de l’ingénierie de la sécurité chez B.com et Alice lui fait part de ses commentaires sur les nouveaux services de sécurité des courriels récemment mis en place. Ben l’avait recommandé pour réduire le risque de phishing. Avec quatre couches de sécurité différentes utilisant chacune des technologies de fournisseurs différents, ils ont réussi à bloquer la plupart des spams, des phishings et des escroqueries.
Alice regarde par la fenêtre de son bureau. Il pleut dehors. Soudain, Ben s’arrête de parler au milieu d’une phrase.
- Merde, s’écrie Ben. J’ai un ransomware sur mon réseau.
- Comment est-ce possible ?
- Je ne sais pas, mais mon ordinateur est verrouillé.
À ce moment-là, Alice reçoit un message de son équipe de réponse aux incidents. Une attaque mondiale massive de ransomware utilisant le phishing est en cours, mais ils parviennent à la bloquer.
2. Que s’est-il passé ?
Le phishing constitue une menace importante pour les entreprises. 13 % des violations de données impliquent des attaques d’ingénierie sociale (Verizon Data Breach Incident Report 2018), principalement sous la forme de spear phishing.
Le phishing et le spear phishing sont des attaques utilisant des courriels pour inciter les destinataires à cliquer sur un lien vers un site web malveillant ou à ouvrir un fichier attaché malveillant. Les sites web de phishing imitent des sites légitimes (comme Microsoft Office365 ou Google mail), incitant souvent les victimes à saisir leur nom d’utilisateur et leur mot de passe ou les informations relatives à leur carte de crédit. Ils peuvent également inciter les utilisateurs à installer des logiciels malveillants, volontairement ou non. Les criminels utilisent alors les informations d’identification ou le logiciel malveillant pour prendre le contrôle de l’ordinateur de la victime.
Alice et Ben sont parfaitement conscients de ce risque. A.com est un fournisseur de services en nuage. Alice sait à quel point la sécurité est importante pour A.com afin de conserver ses clients et sa position sur le marché. B.com est un leader industriel. Ben rend compte au responsable de la sécurité de B.com. Entre les problèmes de propriété intellectuelle du département R&D et le système de contrôle industriel entièrement informatisé, Ben est parfaitement conscient de l’importance de la cybersécurité pour B.com. Pourtant, il a parfois l’impression que sa direction ne la comprend pas encore tout à fait. En tant qu’experts chevronnés en cybersécurité, ils ont tous deux mis en place plusieurs niveaux d’atténuation. Mais ont-ils tous été aussi efficaces les uns que les autres ? Revenons un an en arrière et découvrons ce qu’ils ont fait (ou n’ont pas fait) pour en arriver là.
3. Pourquoi se préoccuper de l’hameçonnage ?
Le « pourquoi » est une question fondamentale que nous devrions nous poser avant de nous lancer dans une activité. Alors, pourquoi devrions-nous nous préoccuper de l’hameçonnage ?
Comme la plupart des organisations, A.com et B.com ont pour objectif de livrer des biens ou de fournir des services et de réaliser des bénéfices. À tout le moins, elles s’efforcent d’être durables. Elles gèrent donc leurs risques et les maintiennent à un niveau acceptable afin de poursuivre leur activité tout en réalisant des bénéfices.
Comme le phishing représente une grande partie des attaques réussies contre les organisations, il constitue une menace directe et indirecte pour leurs activités. Les courriels d’hameçonnage sont un moyen peu coûteux et efficace de contourner la plupart des systèmes de sécurité périphériques (c’est-à-dire ceux qui vous protègent contre les attaques externes, comme les pare-feu, les proxies ou les passerelles). En tant que menace ayant une probabilité importante et un impact potentiel élevé, l’hameçonnage figurait en bonne place sur la liste d’Alice et de Ben.
4. Quels sont les risques liés au phishing ?
Alice, comme Ben, a identifié trois risques principaux liés aux attaques de phishing :
- Logiciels malveillants : dans de nombreuses attaques, les criminels utilisent des courriels d’hameçonnage pour déposer une charge utile, c’est-à-dire un contenu malveillant. Ils le font soit directement, en utilisant une pièce jointe, soit indirectement, en utilisant un lien vers un fichier malveillant ou une page web avec un script malveillant. La charge utile peut être un cheval de Troie, un simple virus ou un rançongiciel.
- Fuite de données: Parfois, le lien contenu dans le courriel de phishing pointe vers un site web imitant un site web de confiance. La victime sera incitée à saisir ses informations d’identification ou parfois d’autres informations nécessaires à une phase ultérieure de l’attaque.
- Fraude: Les fraudeurs utilisent des e-mails de phishing pour une tentative d’escroquerie classique. Souvent, il ne s’agit pas de quelque chose de compliqué, juste d’une usurpation d’identité et d’un prétexte pour inciter les gens à virer de l’argent à la mauvaise personne.
Des événements récents ont montré l’impact potentiel des ransomwares tels que Petya1 / NotPetya sur les organisations. Petya/NotPetya a causé des pertes de 10 milliards de dollars et a empêché des entreprises de services ou de fabrication de travailler pendant des semaines.
Le règlement général européen sur la protection des données a en outre accru la perception des risques. De nos jours, la perte de données à caractère personnel peut avoir de graves répercussions financières et sur la réputation des organisations européennes. Ni A ni B ne veulent faire face au cauchemar des relations publiques et à l’impact potentiel sur leurs relations avec les clients. Les conseils d’administration respectifs de A.com et de B.com ont compris les risques présentés par le phishing. Ils ont tous deux décidé d’allouer un budget pour traiter le problème, mais pas de la même manière.
Dans le cas d’A.com, malgré tous les contrôles de sécurité informatique en place, les criminels peuvent réussir avec un minimum de moyens. L’utilisation d’e-mails et d’appels téléphoniques pour inciter les employés à virer de l’argent sur un compte est techniquement facile et fonctionne toujours. Alice leur a rappelé les 72 millions d’euros perdus par une banque belge victime d’une attaque d’ingénierie sociale il y a quelques années. Ils ont compris à quel point les personnes sont essentielles pour leur sécurité.
Ben a un point de vue différent. Il sait également que les personnes sont au cœur de toute entreprise, mais pour lui, ils sont le maillon faible et il n’y a aucun moyen de savoir quel sera le retour sur investissement. Il préfère miser sur les technologies.
5. Atténuations
Alice et Ben ont discuté de ce risque avec leurs analystes de sécurité et leurs responsables des risques respectifs. Ils sont tous d’accord pour dire qu’il est difficile d’éviter les risques. Il faudrait renoncer aux courriels pour communiquer. Alice a entendu parler d’entreprises qui ont mis en œuvre un changement radical dans leur système informatique et qui ont banni presque tous les courriels. A.com n’était cependant pas prête à prendre une mesure aussi radicale.
Accepter le risque ne le ferait pas non plus. En l’absence de mesures d’atténuation, l’hameçonnage conduira probablement leur entreprise à la faillite. L’atténuation des risques semble donc être la meilleure option.
Bien que légèrement différents, les plans d’Alice et de Ben reposent sur des approches très similaires. Ils abordent la question selon trois approches complémentaires :
- Réduire l’exposition et l’impact
- Former les utilisateurs
- Faciliter la détection
