Dernières nouvelles

Restez au courant de tout ce qui se passe à Approach

Publication

Réduire l’exposition et l’impact des attaques de phishing.

Date de publication

22.07.2020

image
Deuxième chapitre de notre histoire sur la cybersécurité ! Comment nos experts vont-ils réduire l’impact de l’attaque par hameçonnage ?

Dans le premier chapitre, nous avons vu qu’une attaque par hameçonnage pouvait entraîner la faillite des entreprises d’Alice et de Ben.

Ils abordent le problème en utilisant trois approches différentes : Réduire l’exposition, former les utilisateurs et faciliter la détection. Voyons aujourd’hui comment nos deux experts en sécurité vont s’y prendre pour réduire l’exposition.

Voulez-vous lire l’article complet et obtenir des conseils pour réduire les menaces d’hameçonnage ? Téléchargez notre article sur la cybersécurité ici

Une histoire écrite par Emmanuel Nicaise, notre expert en cybersécurité centrée sur l’humain et conteur d’histoires.

Réduire l’exposition et l’impact des attaques de phishing

Alice et Ben sont d’accord sur de nombreux points. Pour atténuer le risque d’une attaque de phishing réussie, ils peuvent en réduire la probabilité ou l’impact.
Ils ont tous deux utilisé le même service. Que fait-il ?

1. Prévenir les attaques en réduisant leur probabilité

La probabilité d’une attaque de phishing réussie peut être réduite à différents stades. Il existe de multiples points de contrôle pour réduire la probabilité d’une attaque de phishing réussie, car nous connaissons le processus sous-jacent :

Contrôle de l’expéditeur du courrier électronique

Avec l’augmentation du nombre de spams qui inondent nos boîtes aux lettres, nous disposons d’un large choix de solutions techniques pour mieux prévenir les courriels non sollicités. Les courriels d’hameçonnage sont non sollicités. Les criminels envoient les courriels en se faisant passer pour quelqu’un d’autre (même si parfois les hameçonneurs peuvent utiliser un domaine qu’ils possèdent ou un compte de messagerie piraté). Alice et Ben peuvent donc bloquer une grande partie des attaques de phishing fréquentes avec de « simples » contrôles anti-spam. A.com et B.com ont mis en œuvre les mêmes contrôles sur leurs serveurs de courrier entrant :

  • Vérification du DNS inversé :

    Le serveur de réception du courrier électronique (également appelé serveur SMTP) vérifie si le domaine de l’expéditeur d’un courrier électronique existe dans le serveur DNS (Domain Name Service) avant d’accepter le courrier électronique.

  • Empêchez l’usurpation d’adresses électroniques :

    En théorie, tous les courriels provenant d’un domaine (comme @A.com ou @B.com) devraient provenir de machines appartenant au réseau de l’organisation ou connectées à l’aide d’un réseau privé virtuel (VPN). A.com et B.com utilisent tous deux quelques solutions basées sur le cloud. Chacune de ces solutions utilise un sous-domaine de A.com et B.com (quelque chose comme @service.A.com) pour envoyer des courriels au nom de leur entreprise. Cela devrait empêcher la réception d’un courrier électronique censé provenir du domaine de leur organisation mais qui provient en fait d’une machine située en dehors de leur réseau. L’usurpation d’adresse électronique consiste à envoyer un courrier électronique depuis l’extérieur d’une entreprise (n’importe où sur l’internet) tout en prétendant qu’il provient de l’intérieur, c’est-à-dire en faisant croire qu’il émane d’un collègue en qui nous devrions avoir confiance. Le spoofing est un moyen très efficace d’inciter les gens à cliquer sur des liens. Nous avons tendance à faire davantage confiance aux personnes de notre entourage immédiat, de notre organisation, de notre famille, qu’aux personnes extérieures à ces groupes. Nous pouvons facilement configurer les serveurs de messagerie pour qu’ils bloquent les courriels usurpés. Cependant, nous pouvons avoir besoin d’exceptions pour une source de confiance comme notre réseau interne, un fournisseur SaaS ou un utilisateur authentifié.

  • Utilisez Sender Policy Framework (SPF) et Sender ID (la version de SPF de Microsoft).

    Pour bloquer les courriels d’un domaine provenant d’un serveur qui n’est pas considéré comme fiable par le propriétaire du domaine. En termes simples, une entreprise comme C.com répertorie les adresses des serveurs à partir desquels elle envoie des courriers électroniques. Si un autre serveur envoie un courriel, les serveurs de A et B le bloqueront. Ce blocage des serveurs non fiables réduira le volume de spam et d’hameçonnage qui arrivent dans nos boîtes aux lettres.

  • Vérification de la signature Domain Keys Identified Mail (DKIM)

    De plus en plus d’organisations utilisent DKIM pour signer électroniquement leurs courriels sortants. Tous les courriels quittant ces organisations sont ainsi signés. Cela nous permet d’authentifier ces courriels comme provenant de leur organisation. Les organisations annoncent leur utilisation de DKIM et de leurs clés électroniques à l’aide d’enregistrements DNS spécifiques. Si un courriel provenant d’une organisation utilisant le DKIM ne comporte pas de signature ou si la signature n’est pas correcte, il provient d’une source suspecte et doit être bloqué. « L’usurpation d’identité d’un domaine appartenant à une organisation qui utilise le DKIM devient donc une tâche difficile.

  • Domain-based Message Authentication, Reporting and Conformance (DMARC)
    DMARC est utilisé pour détecter les tentatives d’usurpation de l’identité d’une organisation.

Passerelles de sécurité

En plus des contrôles de l’expéditeur du courrier électronique, Alice et Ben utilisent plusieurs options supplémentaires.
itionnels pour bloquer les courriels non sollicités et malveillants :

  • Anti-malware:
    Ce système analyse le contenu de leurs courriels et compare le contenu malveillant potentiel à une liste de fichiers ou de liens malveillants connus. En cas de risque, l’e-mail est bloqué ou mis en quarantaine.
  • Filtre de réputation :
    Ce système compare l’adresse d’un serveur envoyant un courrier électronique avec une liste de serveurs classés en fonction de leur réputation. Chaque fois qu’un utilisateur identifie un courriel malveillant ou non sollicité, il signale le serveur qui l’a délivré au gestionnaire de la liste (appelée liste noire). La réputation du serveur est ajustée (la liste noire reçoit des informations de milliers ou de millions de clients) pour décider si le serveur doit être bloqué ou non.
  • Sandboxes :
    Les sandboxes sont des serveurs qui exécutent automatiquement les pièces jointes dans un environnement virtuel sécurisé et surveillent leur comportement. Si une pièce jointe effectue des actions suspectes, le serveur peut retarder la livraison du fichier. Il envoie le fichier à une équipe de professionnels de la cybersécurité qui l’analysera de manière plus approfondie avant de donner un avis d’expert sur la question de savoir s’il faut libérer ou bloquer le fichier.

Tous ces contrôles contribuent à réduire la probabilité d’une attaque réussie. Cependant, ils présentent tous des faiblesses qui permettent aux pirates de les contourner ou de ne pas être détectés. Ils sont donc loin d’être efficaces à 100 %.

2. L’échec n’est pas une option – préparez-vous au pire

Alice et Ben sont des professionnels chevronnés de la sécurité. Ils savent que, quoi qu’ils fassent pour protéger leur organisation, les criminels s’efforceront de briser leurs défenses. Ils voulaient tous deux se préparer au pire et utiliser différentes solutions pour réduire l’impact d’une attaque réussie.

Logiciels malveillants

Ben et Alice utilisent plusieurs mesures d’atténuation contre les logiciels malveillants. Plus précisément, ils :

  • empêcher les applications non identifiées (non signées) et non autorisées de fonctionner sur leurs appareils, ainsi que les mouvements latéraux (en particulier pour les ransomwares).
  • utiliser des logiciels anti-malveillants sur les clients ou les passerelles des utilisateurs finaux. Ils ont en outre déployé une analyse du comportement de l’utilisateur et une équipe de réponse aux incidents de sécurité se tient prête.
  • utilisez un système de sauvegarde en ligne avec versionnement, et testez régulièrement la procédure de « restauration à partir de zéro ».

Fuite de données

Ben et Alice avaient peu d’options pour réduire l’impact des fuites de données. Lorsque des utilisateurs font fuir leurs informations d’identification, ils doivent immédiatement changer de mot de passe. Mais pour ce faire, ils doivent d’abord être en mesure de détecter la fuite. Pour Alice, le meilleur « outil » à cette fin est constitué par ses utilisateurs. Même s’ils se sont fait piéger en donnant leurs identifiants, ils sont formés pour reconnaître la faille et la signaler à l’équipe d’intervention en cybersécurité. Ils savent que leur direction ne les blâmera pas et qu’ils peuvent encore assurer la sécurité de leur entreprise. Une telle alerte permettra en outre à l’équipe d’intervention en cybersécurité de réagir plus rapidement.

A.com met actuellement en œuvre un système d’authentification à deux facteurs. Jusqu’à présent, seules les fonctions critiques ont été couvertes, mais ce système réduit déjà considérablement la probabilité d’une attaque réussie.
Chez B.com, Ben a investi dans un système de prévention des fuites de données. Il s’agit d’une technologie prometteuse, mais l’entreprise est encore en train de définir tous les cas d’utilisation pour la détection d’une fuite de données. Ils parviennent déjà à prévenir un grand nombre de divulgations accidentelles.

Fraude

À la suite d’un cas de fraude au niveau du directeur général dans une banque belge, Alice a abordé la question de la mise en œuvre d’une gouvernance et de processus solides dans les domaines de la finance et de l’assistance à la clientèle. Ils ont décidé de limiter le montant d’argent qu’une seule personne peut transférer (en appliquant le principe des quatre yeux pour les montants importants). Ben a décidé de mettre en place un système d’analyse comportementale pour détecter et bloquer les transactions inhabituelles.

Alice et Ben ont fait d’excellents choix techniques, mais les guerres sont gagnées par les hommes ! Découvrez-le dans notre troisième chapitre qui paraîtra la semaine prochaine.

Vous avez besoin de notre soutien pour réduire l’exposition et l’impact des attaques de phishing ?
Découvrez notre solution de sensibilisation à la sécurité et contactez-nous !

AUTRES HISTOIRES

Journée mondiale de la sauvegarde : Parce que la perte de vos données n’est pas seulement un cauchemar – c’est une réalité

Découvrez pourquoi des sauvegardes régulières et testées sont essentielles pour protéger vos données contre les cyber-attaques, les pannes matérielles et les erreurs humaines, à l’occasion de la Journée mondiale de la sauvegarde.

5 conseils psychologiques pour développer une sensibilisation efficace à la cybersécurité

Comment utiliser la psychologie pour améliorer votre sécurité ? Regardez le replay et obtenez les réponses de notre expert.

Bâtir la confiance pour stopper le phishing – Article du Belnet

Réduire l’exposition, faciliter la détection et former nos utilisateurs : telles sont les mesures que nous prenons pour réduire le risque d’attaques de phishing réussies. Est-ce suffisant ? Lisez la suite.

Contactez-nous pour en savoir plus sur nos services et solutions

Notre équipe vous aidera à entamer votre voyage vers la cyber-sérénité

Préférez-vous nous envoyer un courriel ?

info@approach-cyber.com

Facebook-f Linkedin-in Youtube

Nos certifications et labels

Facebook-f Linkedin-in Youtube
Facebook-f Linkedin-in Youtube