De Julien Piperault, Ingénieur Avant-vente Cybersécurité chez Exclusive Networks
Tribune. Aujourd’hui, l’humain est plus que jamais le maillon faible des cyber-attaques. C’est encore plus vrai pour les entreprises : selon une étude menée par Proofpoint, près d’une entreprise sur deux est attaquée via ses clients, et 43 % d’entre elles le sont au travers de leurs employés1.
Depuis des années, les entreprises ont pris l’habitude de mettre en œuvre des politiques de cybersécurité d’abord périmétriques, puis destinées à combattre les attaques de plus en plus sophistiquées via des solutions adaptées à leurs problématiques. Aujourd’hui, après avoir sécurisé toutes les zones d’ombre, les utilisateurs restent la dernière porte d’entrée des hackeurs. Qu’ils soient clients, sous-traitants, salariés ou consultants externes, ils représentent une menace potentielle.
Cybersécurité : en quoi l’utilisateur peut-il être une vulnérabilité ?
Pour toucher les entreprises, les hackeurs passent par exemple par ce qu’on appelle le « social engineering » : il s’agit de pirater l’humain, de le compromettre pour lui faire exécuter des ordres et divulguer des informations. Dans le social engineering, il y a deux type de hacking : électronique, comme le phising, qui consiste à faire cliquer sur un lien pour compromettre la machine ou l’utilisateur, et non-électronique, qui consiste à se rapprocher d’un salarié de l’entreprise pour, à terme, accéder à des locaux ou à des informations grâce à lui.
Ce recours a toujours existé, mais il connaît un certain regain aujourd’hui, notamment parce que c’est une stratégie moins coûteuse, mais aussi parce qu’il est de plus en plus difficile de trouver une vulnérabilité dans le SI si on l’a bien équipé. Les conséquences sont rapides et importantes : on parle à minima de plusieurs milliers de dollars.
Les mauvaises habitudes des salariées peuvent mettre à risque la sécurité informatique de leur entreprise
Effectivement, le social engineering n’est pas la seule porte d’entrée pour un hackeur : les mauvais réflexes des utilisateurs au sens large, c’est-à-dire de toute personne interagissant avec le SI, peuvent représenter un risque pour la cybersécurité de l’entreprise. C’est particulièrement vrai dans la mesure où les salariés n’ont pas de méfiance naturelle dans le cadre professionnel ou personnel, et peuvent être négligents malgré eux.
La plus mauvaise pratique, encore trop répandue, reste la faiblesse des mots de passe. Évidemment, on peut difficilement leur demander de connaître par coeur un nombre infini de codes très complexes. Il existe néanmoins des alternatives comme des coffres-forts de mots de passe qui sécurisent les informations de connexion des utilisateurs et génèrent des mots de passe robustes, ou encore des authentifications tierces sécurisées comme la biométrie, l’empreinte digitale, etc.
Le second grand levier des cyber-attaques est une forme de social engineering électronique : les mails frauduleux contenant un lien ou une pièce jointe malveillante. Les hackeurs ne se contentent plus d’un e-mail mal imité se faisant passer pour une banque chez qui vous n’êtes pas client. Sur le darkweb, ils sont capables d’acheter des fichiers clients d’une entreprise et de contacter ses adhérents avec la charte graphique correspondante.
Lors de fortes actualités, comme une nouvelle mesure réglementaire concernant les banques et assurances, ou la crise sanitaire que nous vivons en ce moment, les attaquants adaptent leur communication pour favoriser le clic de l’utilisateur. C’est notamment ce qu’il se passe actuellement, et ça fonctionne très bien puisque le taux de pénétration de ces mails qui semblent provenir de votre assurance ou d’une Agence régionale de santé, ont explosé. Pour se protéger, en plus des solutions anti-spams, certains outils permettent d’analyser le lien ou la pièce jointe avant de laisser l’utilisateur y accéder – et bloquent l’accès en cas de menace détectée.
Enfin, la dernière mauvaise pratique des utilisateurs la plus répandue est foncièrement humaine : si vous trouvez une clé USB qui traîne sur un bureau, il y a de grandes chances pour que vous la preniez, et que vous la branchiez sur votre ordinateur pour voir à qui elle appartient ou quelles informations sont stockées dessus. Or, ce type de pratiques peut être extrêmement dangereux et compromettre non seulement un poste, mais tout le réseau de la société !
Évidemment, de nombreuses alternatives pourront réduire l’impact de ce type de comportements à risque, mais aucune n’est auto-suffisante : la meilleure protection contre les mauvais réflexes humains est la formation. On parle aujourd’hui de « security awareness training ».
Comment les entreprises peuvent-elles réduire les risques liés au facteur humain ?
La première étape pour les entreprises est de réaliser un audit : en cybersécurité, on ne peut pas se protéger si l’on ne sait pas ce contre quoi on lutte. Il faut évaluer le niveau de risque de l’entreprise, puis le niveau de connaissances des salariés pour cibler au mieux leurs faiblesses, et donc la formation à leur dispenser.
Vient ensuite le temps de « l’éducation ». Il faut éviter d’assommer les utilisateurs par des dossiers complexes et ennuyants, et au contraire utiliser les bonnes pratiques de l’e-learning, comme des contenus ludiques ou des ateliers qui faciliteront leur compréhension du sujet, pour transformer la sensibilisation en prise de conscience.
Enfin, comme à l’école, il est primordial de mesurer les résultats. Bien sûr, les pratiques ne changeront pas du jour au lendemain, mais une sensibilisation concrète doit se terminer par des tests comme l’envoi de faux mails frauduleux par exemple.
1 Les résultats de l’étude peuvent être retrouvés ici : https://www.maddyness.com/2019/10/29/cyberattaques-cybersecurite/
