Des infrmations intelligentes facilement disponibles

Les pirates informatiques travaillent aujourd’hui de manière rapide, efficace, automatisée, parfaitement connectée et hautement professionnelle. La numérisation croissante des informations sur les personnes et les entreprises leur permet d'avoir une parfaite connaissance des victimes visées. Les médias sociaux, blogs et sites web, leur donnent accès en Suisse à pratiquement tout ce qui peut leur simplifier la planification et l’exécution d’une attaque. Savoir qui travaille où, qui l’entreprise vient d’embaucher à la direction, quelles sont actuellement les questions intéressantes : autant d’informations facilement accessibles.

Alors qu’il y a quelques années encore, les hackers volaient, vendaient ou utilisaient abusivement les données de l’entreprise. Aujourd’hui, leurs attaques servent principalement de moyen de pression pour demander une rançon. Les attaques par ransomware (chantage) constituent la menace numéro 1 du cyberespace (voir encadré). Les hackers connaissent parfaitement les entreprises et savent quels montants peuvent être exigés pour qu’une entreprise non préparée paie, au lieu de résister à l’attaque et de réagir de manière appropriée. . 

Nous sommes humains et les personnes mal intentionnées en profitent. Quelle que soit la manière dont une cyberattaque est conçue, elle instrumentalise généralement des erreurs ou des faiblesses humaines. Les informations que les différentes personnes, et l’entreprise dans son ensemble divulguent sur les canaux et médias numériques constituent parfois des sources de renseignements pour les hackers. De plus, des systèmes incomplètement mis à jour, des applications cachées inconnues et non entretenues et une culture négative de l’erreur au sein de l’entreprise facilitent les intrusions malveillantes. Nous allons maintenant nous pencher sur les aspects humains qui facilitent l’accès et la croisade des pirates informatiques dans les systèmes informatiques d’une entreprise (voir illustration).

Les erreurs humaines et les failles du système ouvrent la porte aux pirates informatiques.

Médias sociaux

Le nom même de médias sociaux reflète leur nature : ils sont sociaux et médiatiques. Ils fonctionnent donc parce que les gens interagissent entre eux, partagent et diffusent des informations. Ils constituent donc un véritable eldorado pour les pirates informatiques. Ces derniers exploitent ici deux sources d’informations utiles :

• Informations privées : Dans les médias sociaux, les effectifs des entreprise, toutes fonctions confondues, partagent leurs expériences de loisirs et donnent des informations sur les périodes de congé ou de vacances, leurs hobbies, leurs activités familiales et sportives, leurs préférences culturelles et linguistiques et leurs lieux de séjour. Cela facilite une prise de contact personnalisée et suscite l’intérêt des victimes.
• Informations professionnelles : Sur les réseaux professionnels et sur de nombreux sites web d’entreprises, il est facile de trouver des informations précises sur la structure organisationnelle, les rôles, les fonctions, les domaines d’activité et les compétences au sein de l’entreprise. Ces informations comprennent des photos, des noms, des adresses électroniques et des numéros de téléphone directs. Dans la perspective de promouvoir une bonne image d'employeur, les entreprises y parlent en outre de leur objectif entrepreneurial, de leurs valeurs et de leur culture d’entreprise.

L’essor rapide des médias sociaux a plongé les entreprises dans un véritable dilemme. D’une part, elles doivent affirmer leur présence pour être perçues comme une entité de confiance moderne et ouverte au dialogue par les employeurs, les investisseurs, la clientèle, les fournisseurs et le grand public. D’autre part, elles révèlent ainsi des informations qui facilitent des attaques personnalisées et sur mesure. Pour une entreprise, il est important de comprendre que de telles données sont accessibles et que cela fait longtemps que les données internes ne sont plus un secret.

Hameçonnage (phishing)

La première méthode d’accès reste l’attaque par e-mail d’hameçonnage. Avec les attaques de phishing, les pirates informatiques se font passer pour une personne de confiance via des sites web, des e-mails ou de brefs messages mobiles falsifiés, afin d’inciter l’autre personne à effectuer une action préjudiciable et de compromettre la cybersécurité. Par la suite, le personnel initie par exemple une transaction, communique des données d’utilisateur et des mots de passe ou activent directement un logiciel malveillant (malware). Le phishing exploite deux caractéristiques humaines : la crédulité et le désir de régler les choses rapidement. Il est très rare qu’une personne clique délibérément sur un lien hypertexte malveillant.

Les entreprises cyber-résilientes sensibilisent régulièrement toute leur équipe aux différentes formes de phishing. Actuellement, il existe diverses solutions logicielles permettant d’intégrer un bouton d’alerte au phishing dans l’application de messagerie utilisée. De cette manière, un e-mail suspect est contrôlé automatiquement ou, en cas de doute, par des équipes expertes qui déterminent s’il s’agit d’un e-mail légitime, d’un e-mail indésirable ou d’un e-mail de hameçonnage. Il est en tout cas plus rentable de tester rapidement le message en cliquant sur un bouton que de se précipiter pour cliquer sur un e-mail de phishing.

Mots de passe

Honnêtement, combien de mots de passe différents avez-vous pour toutes vos ouvertures de session privées et professionnelles ? Il arrive un moment où nous manquons tout simplement d’imagination et perdons la vue d’ensemble. La plupart des gens disposent d’un ensemble restreint de mots de passe simples et faciles à retenir. Ceux-ci sont volontiers placés à un endroit facilement accessible afin de pouvoir y accéder rapidement et simplement. Pirater des mots de passe devient ainsi un jeu d’enfant. La réutilisation des mots de passe est encore plus grave : une attaque sur un système peut rapidement donner accès à de nombreux autres systèmes et services.

Une bonne gestion des mots de passe est aussi importante pour la cybersécurité que l'administration des clés pour la gestion des installations. C’est pourquoi il est recommandé de définir un mot de passe suffisamment long et sûr pour chaque compte d’utilisateur client et de le renouveler après un certain temps. En outre, il vaut la peine de confier l’attribution et la gestion des mots de passe à des professionnels et d’utiliser l’authentification à deux ou plusieurs facteurs comme niveau de protection supplémentaire. Pour les entreprises et les particuliers, il est recommandé d’utiliser une solution de gestion des mots de passe plus sûre, permettant de synchroniser les mots de passe sur plusieurs appareils. 

Shadow IT

Avec l’augmentation de la mobilité professionnelle et la généralisation du télétravail et du travail à domicile, les terminaux privés tels que les téléphones mobiles, les tablettes, les ordinateurs portables, les routeurs, les scanners, les clés mémoire et les imprimantes sont souvent utilisés à des fins professionnelles et sur lesquels on installe des applications ou des services cloud ou on télécharge des données professionnelles. Le recours à des sites de stockage privés (NAS, cloud) pour stocker ou sauvegarder des informations professionnelles (backup) est également de plus en plus fréquent. On parle ici de Shadow IT, car la sécurité de ces systèmes et applications ne peut pas être entièrement contrôlée et garantie par l’entreprise. On part du principe que le personnel agit de bonne foi et ne procède donc pas sciemment à l'installation d'infrastructures et de logiciels peu sûrs ou critiques du point de vue de la protection des données. Néanmoins, le Shadow IT est très répandu et présente des failles de sécurité considérables et un cyber-risque accru.

Le Shadow IT se développe également souvent au sein des entreprises, notamment par le biais de logiciels et de services introduits par l’entreprise, par exemple aussi dans le cloud, sans tenir compte des systèmes informatiques et de la sécurité de l’entreprise.

Dans tous les cas, il convient de savoir clairement qui utilise le Shadow IT, comment et quels sont les risques qui y sont liés. Par la suite, il faut examiner les infrastructures et les programmes utilisés quant à leurs normes de sécurité et soit les autoriser officiellement, soit définir des alternatives. Enfin, il convient d’établir des directives et des contrôles et surtout de sensibiliser le personnel aux risques. 

Culture de l'erreur

« Celui qui, après avoir commis une faute, ne cherche pas à la corriger, en commet une autre. ». Ce principe est aussi ancien que son auteur, Confucius, mais il n’en reste pas moins tout à fait actuel. En effet, la culture de l’erreur qui prévaut dans une entreprise est déterminante pour sa capacité de réaction en cas de cyberincident. Si l’on craint d’être puni pour avoir cliqué involontairement sur un lien malveillant et que l’on ne le signale donc pas, il se peut que l’entreprise subisse plus de dommages que si le service compétent est immédiatement informé. Celui-ci peut rapidement établir un diagnostic, se faire une idée claire des dommages causés et à venir et prendre les mesures de correction qui s’imposent.

La sécurité à cent pour cent n’existe pas. Une entreprise doit accepter le fait qu’elle ne peut pas empêcher un clic fatal, même si elle entretient une bonne relation de confiance avec son personnel. Elle devrait plutôt établir une culture positive de l’erreur. Il est essentiel que les personnes concernées signalent immédiatement un tel clic afin que le plan d’urgence prévu à cet effet soit immédiatement mis en œuvre. À cet égard, chaque seconde compte – littéralement.