Phishing : allier proactivité et réactivité pour protéger la sécurité des organisations
Publié le 14 octobre 2024
- Cybersécurité
Le phishing est reconnu comme l’une des menaces les plus répandues et les plus dommageables dans le paysage de la cybersécurité. Il peut entraîner, et c’est souvent le cas, de graves atteintes à la réputation, des pertes de données et/ou des pertes financières, tant pour les organisations que pour les particuliers. Selon les rapports de Kaspersky, le phishing a augmenté de 100 % entre 2021 et 2022, avec une hausse supplémentaire de 40 % en 2023.1 De nombreuses raisons expliquent l’augmentation des attaques de phishing réussies, mais la raison la plus simple est que les individus restent une cible facile.
De nombreuses organisations considèrent cette menace comme une priorité importante, mais elles ne disposent pas d’une culture qui favorise et développe la formation et la sensibilisation à la sécurité au sein de l’ensemble de l’organisation. Au-delà des outils, des contrôles internes/externes et des processus de sauvegarde, les organisations doivent faire preuve de proactivité et d’attention, en particulier en ce qui concerne les individus. Il est primordial que les personnes soient formées aux comportements sécuritaires et aux meilleures pratiques afin d’atténuer ou d’empêcher la survenue d’une attaque.
Le phishing et d’autres formes d’escroquerie sont aujourd’hui plus répandus qu’ils ne l’ont jamais été, que ce soit au travail ou dans la vie personnelle. On estime que plus de 90 % des cyberattaques commencent par un courriel d’hameçonnage. Les organisations ont une responsabilité vis-à-vis des données de leurs clients, mais aussi pour la sécurité de leurs employés, tant au travail qu’à la maison. Les menaces se trouvent à chaque coin de rue, et la seule manière d’aider les gens est de les informer des risques et des comportements à adopter pour se protéger.
Attaque de phishing : L’arnaque de l’hôtel Eurovision
Une récente escroquerie par hameçonnage, rapportée par la BBC en mars 2023, a montré comment des escrocs ont ciblé des fans de l’Eurovision ayant réservé des chambres d’hôtel à Liverpool. Des courriels d’hameçonnage ont été utilisés pour accéder aux données des clients, verrouillant ainsi plusieurs comptes sur Booking.com.2
Dans un cas, une victime a été contactée sur WhatsApp par une personne prétendant être un réceptionniste d’hôtel, affirmant qu’il y avait un problème avec le paiement. Cette interaction a failli conduire au transfert de 800 livres sterling à un escroc en Ouganda. Heureusement, peu de temps après la conversation, la transaction a été annulée.2
Bien que la méthode exacte de vol de données ne soit pas claire, de nombreux fans ont signalé avoir évité de justesse des tentatives d’hameçonnage. Cette affaire met en évidence la sophistication croissante des escroqueries par hameçonnage et la rapidité avec laquelle elles peuvent piéger des personnes peu méfiantes.
Principaux défis
Malgré la gravité de la menace, de nombreuses organisations peinent à créer des programmes de sensibilisation efficaces. Voici quelques-uns des défis les plus courants :
Souvent, les programmes de sensibilisation reposent sur le divertissement, c’est-à-dire que le matériel proposé est amusant et attrayant. Chez Wavestone, nous avons constaté que cette approche se transforme en un exercice de conformité que les employés ignorent ou ne prennent tout simplement pas au sérieux.
Les campagnes fondées sur la peur peuvent dissuader les employés de signaler des cas d’hameçonnage. Par exemple, certains individus peuvent hésiter à signaler un hameçonnage réel ou potentiel par crainte de répercussions négatives ou de mesures disciplinaires.
Des slogans tels que « ne cliquez pas » ou « faites attention » peuvent instiller des connotations négatives dans l’esprit des gens. Par exemple, si l’on vous dit de ne pas penser à un éléphant rose, vous pensez immédiatement à un éléphant rose. La clé est de déplacer l’attention vers le résultat souhaité, par exemple « signaler un cas d’hameçonnage ».
Aujourd’hui, une grande partie de l’activité personnelle et professionnelle repose sur le partage de liens, qu’il s’agisse d’un site web ou de diapositives PowerPoint. Le défi consiste à trouver un équilibre entre la productivité et la nécessité de faire preuve de vigilance dans le traitement de ces liens.
Une double approche : Proactivité et réactivité
Pour lutter efficacement contre le phishing, les organisations doivent adopter des stratégies à la fois proactives et réactives. Elles doivent être proactives en veillant à ce que des mesures soient mises en place pour empêcher les courriels de phishing d’atteindre les employés ou de causer des dommages. Mais elles doivent surtout être réactives, car les attaques sont inévitables. Les organisations doivent se préparer à l’échec des mesures proactives, en s’assurant que les utilisateurs sont prêts et équipés pour faire face au phishing.
Proactivité – arrêter le phishing aux portes
Comme pour tout ce qui concerne la cybersécurité, il est important pour les organisations d’être proactives et d’atténuer les risques de phishing avant même qu’ils n’aient une chance de se produire.
Les techniques de défense en profondeur les plus efficaces sont :
- Des scanners de courrier électronique et des outils de proxy web peuvent être installés sur les boîtes aux lettres de l’entreprise pour vérifier automatiquement le contenu des courriels entrants et identifier spécifiquement les logiciels malveillants ou les virus cachés.
- Des méthodes d’authentification du courrier électronique, telles que SPF et DMARC, peuvent être mises en place pour empêcher les attaquants d’envoyer des courriels falsifiés.3
- Activer la sécurité des macros pour Microsoft Office 365 afin de protéger les systèmes contre les accès non autorisés et les macros malveillantes.3
- Utiliser une liste des autorisations pour restreindre la capacité des exécutables à être lancés et, pour ceux qui ne sont pas couverts, imposer l’ouverture de tout fichier de script PowerShell dans le bloc-notes.3
- Désactiver le montage des fichiers .iso sur les postes des utilisateurs.3
- Restreindre l’utilisation des macros. Pour ceux qui doivent les utiliser, veiller à ce qu’une formation spécifique soit mise en place.3
- Activer le filtrage DNS pour filtrer et bloquer les domaines et les sites web suspects.
- Utiliser l’EDR pour surveiller en permanence un point de terminaison afin d’identifier tout comportement suspect sur les hôtes.
Réactivité – L’importance de la sensibilisation
Compte tenu de l’augmentation du nombre d’attaques de phishing réussies, il est essentiel de sensibiliser les organisations et de leur inculquer un état d’esprit en matière de sécurité. Il est impératif de veiller à ce que chaque employé soit formé et dispose des connaissances fondamentales sur ce qu’est une attaque par hameçonnage, ce qu’elle implique, qui elle touche, l’ampleur des dommages qu’elle peut causer à une organisation et à ses services, ainsi que sur la manière de se protéger et de protéger l’organisation en appliquant systématiquement les meilleures pratiques.
La création d’un programme de sensibilisation à la cybersécurité réellement efficace va au-delà des sessions de formation ponctuelles ou des affiches génériques sur la sécurité. Le défi consiste à favoriser un changement de comportement durable au sein de votre personnel.
S’appuyant sur sa vaste expérience dans l’exécution de programmes de cybersécurité, notre équipe a mis au point le cadre innovant TAMAM.
Que vous mettiez en œuvre une stratégie à l’échelle de l’entreprise ou que vous ayez besoin d’interventions plus ciblées, cette approche complète en cinq étapes est conçue pour vous aider à atteindre vos objectifs et à cultiver une culture de la sécurité.
Elle peut être appliquée à toute organisation, quelle que soit sa taille, sa maturité, son budget ou son niveau actuel de préparation.
- Cible : Définissez clairement vos objectifs. Quels sont les comportements spécifiques que vous souhaitez voir adopter par vos employés ?
- Audience : Segmentez votre personnel en fonction de ses rôles et de ses besoins. En adaptant votre message, vous vous assurez qu’il trouve un écho auprès de chaque groupe.
- Message : Il doit être concis, positif et orienté vers l’action. Choisissez quelques messages clés qui traitent des risques critiques et des actions souhaitées.
- Actions : Allez au-delà des cours magistraux en proposant des activités pratiques et des expériences d’apprentissage attrayantes.
- Mesures : Suivez les progrès et mesurez l’impact de votre programme sur le changement de comportement.
Réflexions finales
Le phishing restera une menace persistante, mais les organisations disposent des outils nécessaires pour s’en défendre. Les stratégies proactives et réactives sont toutes deux essentielles. En suivant notre méthodologie TAMAM, vous pouvez aller au-delà de la sensibilisation de base et donner à vos employés les moyens de participer activement à la protection de la cybersécurité de votre organisation.
Références :
2 https://www.bbc.co.uk/news/entertainment-arts-64822893
3 https://www.ncsc.gov.uk/blog-post/telling-users-to-avoid-clicking-bad-links-still-isnt-working
Merci à Samar Akhtar pour sa contribution à cet article.
Auteurs
-
Jack Martin
Manager – Royaume-Uni, Londres
Wavestone
LinkedIn