Après avoir mis en place des pratiques techniques pour réduire l’exposition à l’attaque de phishing, une seule de nos deux experts en sécurité s’est concentrée sur une approche de la sécurité centrée sur l’humain. Son entreprise a compris à quel point les personnes sont essentielles pour leur sécurité et que leur investissement humain fera la différence lors de cette attaque… Heureusement, elle avait déjà appelé Manu 😉
Découvrez ci-dessous dans notre troisième chapitre « comment l’humain peut être le maillon le plus fort pour faire face aux menaces de phishing » !
Une histoire écrite par Emmanuel Nicaise, notre expert en cybersécurité centrée sur l’humain, notre conteur et notre célèbre Manu dans l’histoire.
1. Sécurité centrée sur l’homme
Alice sait que les choix techniques de Ben sont excellents. Mais elle a été capitaine dans l’armée et sait très bien que les guerres sont gagnées par les hommes et pas seulement par la technologie. Alice cite souvent Helmuth von Moltke : « Aucun plan ne survit au premier contact avec l’ennemi ». Les cybermenaces évoluent trop rapidement de nos jours. Il ne faut pas s’attendre à ce qu’une technologie ait une longueur d’avance sur les pirates informatiques. En revanche, les humains peuvent s’adapter à toute nouvelle situation s’ils sont correctement formés. Cela signifie que nous avons besoin que notre personnel modifie son comportement en conséquence afin d’assurer leur sécurité et la nôtre.
Alice a lu de nombreux ouvrages sur la gestion des ressources humaines et la transformation des entreprises. Il existe tellement de théories sur les changements de comportement qu’elle ne savait pas à laquelle se fier. Par chance, l’une de ses sociétés de conseil a mis au point un cadre pour gérer la sécurité tout en gardant l’humain au centre des préoccupations. Leur expert, Manu, est issu d’une formation universitaire et possède des années d’expérience dans les domaines de l’informatique, du risque et de la psychologie. Alice et lui se réunissent et élaborent un plan. Bien qu’un peu trop simplifié, Manu a utilisé le modèle COM-B pour expliquer l’une des bases de son cadre.
2. Éducation à la sécurité
L’une des raisons les plus fréquentes pour lesquelles les gens ne respectent pas les règles de sécurité est le manque de connaissances nécessaires. Trop souvent, les professionnels de la sécurité ont tendance à considérer que les connaissances de base des utilisateurs en matière d’internet vont de soi. C’est une erreur. Une grande partie de notre population utilise quotidiennement l’internet. Néanmoins, les connaissances techniques, telles que le format d’une URL et la notion exacte de ce qu’est un nom de domaine, ne sont pas toujours disponibles. Lorsque nous demandons à nos utilisateurs de vérifier le nom de domaine ou l’URL avant de cliquer sur le lien, il se peut qu’ils ne comprennent pas à quoi nous faisons référence.
Alice a donc commencé par dispenser une formation pour s’assurer que ses utilisateurs ont une connaissance de base de l’environnement dans lequel ils travaillent. Un vocabulaire commun et simple a été utilisé pour s’assurer que tous les utilisateurs puissent comprendre le matériel. Dans de telles situations, nous avons souvent tendance à dire quelque chose comme « envoyer un flux continu d’air comprimé dans la cavité nasale pour éliminer toute matière organique bloquante » au lieu de dire « se moucher ». Elle voulait éviter ce genre de charabia.
3. Mesurer le succès
Alice a décidé de demander à son équipe Red de réaliser une simulation de phishing. Ils ont préparé un courriel ressemblant à un communiqué de presse, avec un titre accrocheur « Communiqué de presse – Embargo jusqu’à lundi ». Ils ont joint un PDF contenant un petit script, similaire à celui utilisé par les pirates pour télécharger des logiciels malveillants, afin d’évaluer le nombre de personnes qui ouvriront le fichier. Ils l’ont envoyé à l’ensemble de l’entreprise un vendredi après-midi. Le lundi midi, environ 60 % de l’entreprise avait ouvert le fichier. Alice a été surprise par les résultats. La formation a-t-elle été inutile ?
4. Exercices d’hameçonnage
-
Vous est-il déjà arrivé de rentrer chez vous en voiture et d’avoir du mal à vous souvenir du chemin parcouru ? Vous écoutiez de la musique, des nouvelles ou parliez avec votre passager tout en conduisant. Avoir une discussion, comprendre le contenu d’une interview et conduire sont des actions complexes. Cependant, au fur et à mesure que nous devenons des conducteurs aguerris, notre cerveau développe des automatismes. Ils permettent de réaliser cette tâche complexe avec un minimum d’effort, presque involontairement. C’est ce qu’on appelle une heuristique. Nous pouvons développer des heuristiques pour de nombreuses activités : parler, lire, jouer de la guitare, courir, dessiner ou taper dans un ballon. Une action, un comportement que nous effectuons régulièrement peut devenir une heuristique.
-
D’accord, mais à quoi bon ?
Après avoir utilisé la technologie et la formation pour réagir à une attaque de phishing, il est temps de découvrir comment nos experts en cybersécurité agiront pour faciliter la détection dans notre quatrième chapitre, à paraître la semaine prochaine.
