Roger Grimes de KnowBe4 travaille dans le domaine de la cybersécurité depuis des décennies. Ses livres, dont A Data-Driven Computer Defense, sont des ressources précieuses pour les professionnels de la sécurité du monde entier.
Mais personne, pas même Grimes, n’est à l’abri des attaques de phishing.
« J’ai été victime d’hameçonnage deux fois cette année ! » a déclaré Grimes à l’équipe éditoriale de Virtru, faisant référence aux simulations de phishing internes de KnowBe4. « Je pensais qu’on ne pouvait pas me hameçonner et après la première fois, je me suis dit que ce ne serait plus possible. La seconde fois, j’ai réalisé : on pouvait bel et bien me hameçonner. »
Heureusement, les simulations internes comme celles-ci constituent une opportunité d’apprentissage précieuse, car les attaques d’ingénierie sociale évoluent rapidement, devenant si sophistiquées et ciblées qu’elles peuvent être extrêmement difficiles à détecter.
« Il existe de nombreuses façons d’être piraté », a déclaré Grimes, « mais l’ingénierie sociale et le phishing sont le moyen numéro un, et ce depuis un certain temps. Il semble que cela sera encore le cas dans un futur proche ». Les logiciels non corrigés sont le deuxième moyen le plus courant de piratage des organisations, ce que nous avons vu avec la révélation de la vulnérabilité de Microsoft Exchange Server au début de 2021.
Grimes est fermement convaincu que, pour être résilientes contre les cyberattaques, les organisations doivent favoriser une culture de sensibilisation et d’éducation à la sécurité, ce qui en fait un élément essentiel de leur fonctionnement.
Alors que les équipes de sécurité doivent s’assurer qu’elles disposent d’un écosystème complet de technologies pour protéger les données d’entreprise, il est également essentiel que les employés comprennent l’impact de leurs comportements en matière de sécurité, comme aborder les e-mails avec prudence et chiffrer les données partagées dans les e-mails et via les plateformes de partage de fichiers. Lors d’une conversation avec l’équipe éditoriale de Virtru, Grimes a partagé des informations précieuses sur les tactiques qui rendent l’ingénierie sociale si efficace ainsi que des conseils sur la façon de détecter une tentative d’hameçonnage avant qu’il ne soit trop tard.
Les pirates veulent que vous réagissiez rapidement.
Auparavant, le conseil prédominant pour éviter le phishing était : « N’ouvrez pas un e-mail de quelqu’un que vous ne connaissez pas. » Mais Grimes dit que cela ne suffit plus.
« Souvent, les e-mails proviennent de personnes avec qui vous faites affaire depuis 10 ans. Alors maintenant, la nouvelle formation est la suivante : S’il s’agit d’un e-mail inattendu, même de la part d’une relation professionnelle, et qu’on vous demande de faire quelque chose qu’on ne vous a jamais demandé de faire auparavant, et que cette chose qu’on vous demande de faire pourrait s’avérer dangereuse pour vous ou votre entreprise, alors ralentissez. »
Ralentir est plus facile à dire qu’à faire, d’autant plus que les gens avancent rapidement dans leur journée, cliquant sur les e-mails et les liens sur leurs téléphones et tablettes, peut-être tout en écoutant distraitement un appel et en ne consacrant pas toute leur attention à l’e-mail devant eux.
Mais aborder les e-mails avec scepticisme sain et une attention aux détails est un changement de comportement puissant, et cela peut faire la différence entre un incident évité de justesse et une violation de données.
Les pirates veulent que vous supposiez que les e-mails de vos collègues sont sans danger.
« Il y a des années, lorsque vous receviez un e-mail de phishing, il contenait toutes sortes de fautes de frappe, et il provenait d’une adresse e-mail d’apparence étrange », a déclaré Grimes. « Vous vous disiez : ’Ce n’est pas possible que ce soit mon patron’ ou ‘C’est impossible que ce soit Microsoft.’ Mais, de nos jours, ils sont beaucoup plus sophistiqués. Ils ciblent de plus en plus souvent des secteurs particuliers. » Les attaques de phishing commencent à utiliser des termes, un jargon et des scénarios clients spécifiques à un secteur donné, afin de favoriser un faux sentiment de confiance. Au fur et à mesure qu’ils apprennent, les groupes de pirates peuvent rendre ces e-mails de plus en plus réalistes.
Ces attaques sont efficaces et les pirates informatiques peuvent utiliser une seule faille comme point de départ pour compromettre l’organisation, les contacts, les collègues et les partenaires de la victime.
« Maintenant, nous voyons ces choses très ciblées qui semblent provenir des managers – et le manager en question fait référence à un projet sur lequel le collaborateur travaille. Alors ils diront : ‘Dis,, tu connais ce projet RH sur lequel tu travailles avec Cindy ?’ Des personnes m’ont envoyé un e-mail pour me demander : ‘Comment ont-ils connu le nom de la personne qui approuve les chèques ? Le nom de cette personne n’est pas connu en dehors de l’entreprise, il ne figure sur aucun document public. Comment ont-ils appris que Cindy est celle qui approuve les virements électroniques ?’ Et parfois, ils découvrent que le nom de cette personne a été mentionné dans un document public ou que le pirate informatique a compromis un partenaire qui traitait avec Cindy. »
« Nous regrettons le temps où les e-mails étaient mal orthographiés. »
Les pirates veulent que vous soyez dans l’émotion.
Jouer sur l’émotion est exceptionnellement courant dans les attaques d’ingénierie sociale, car cela brouille le jugement des gens et les amène à agir avec un sentiment d’urgence. Un e-mail de votre patron ou de votre PDG vous demandant d’effectuer immédiatement un virement bancaire essentiel pour l’entreprise peut vous inciter à agir de manière urgente et sans réfléchir pleinement à la demande.
C’est exactement ce que veut le hacker.
Et avec l’apparition du coronavirus, les informations sur la santé (et la désinformation) peuvent amener les gens à cliquer sur un lien par frustration, inquiétude, peur ou colère. En fait, c’est ce qui s’est passé avec le premier hameçonnage de Grimes cette année.
« Une astuce que nous avons considérée comme très efficace est un e-mail disant : ‘Venez vous faire vacciner contre le COVID maintenant’, et c’était avant que les doses ne soient disponibles. Les gens se fâchaient parce qu’on leur disait de venir pour un vaccin qui n’existait pas, ou qu’on leur disait : ‘Vous ne pourrez pas avoir de vaccin avant six mois’ ou ‘Vous ne serez pas autorisé à revenir au bureau’, ou ‘Vous n’êtes pas vacciné, vous ne pouvez donc pas revenir au bureau.’ Et la personne se dit : ‘Qu’est-ce que tu veux dire ? Je suis vacciné !’ Et, boum, ils cliquent. Donc, mettre la personne en colère la rend beaucoup plus susceptible de ne pas regarder l’e-mail dans sa totalité, là où elle l’aurait fait pour un simple e-mail. »
« Les pirates informatiques deviennent vraiment de très grands consommateurs de psychologie humaine », a déclaré Grimes. « Ils l’utilisent contre nous, et ça fonctionne. »
Les pirates veulent que vous réutilisez les mots de passe.
Les violations de données se produisent tout le temps, et souvent elles révèlent les informations d’identification des utilisateurs, y compris les mots de passe. Cela peut être extrêmement dommageable pour les personnes qui réutilisent les mêmes mots de passe sur plusieurs comptes. Cela vaut vraiment la peine d’utiliser des mots de passe longs, complexes et uniques pour chacun de vos comptes. Grimes recommande d’utiliser un gestionnaire de mots de passe pour aider à générer et à garder une trace de ces mots de passe, afin que les utilisateurs n’aient pas à s’en souvenir. « Peu importe comment vous le faites, vous devez encourager les gens à ne pas réutiliser le même mot de passe », a souligné Grimes. « Parce que chaque site Web supplémentaire sur lequel vous l’utilisez, augmente de manière exponentielle votre risque. »
Cependant, les mots de passe réutilisés peuvent être difficiles à appliquer. « Comment une entreprise peut-elle savoir si un employé réutilise un mot de passe professionnel sur son site Web bancaire, sur Amazon ou sur Instagram ? Elle ne peut pas. », a déclaré Grimes. « Donc, vous devez les amener à s’y intéresser, changer la culture, car parfois c’est tout ce que vous avez. »
L’authentification multifacteur et les gestionnaires de mots de passe peuvent aider à réduire l’ampleur de certains de ces défis. Les mots de passe complexes, longs et uniques créés par un gestionnaire de mots de passe peuvent aider à insérer une étape supplémentaire entre l’individu et le pirate informatique, car les gens ne peuvent tout simplement pas se souvenir de dizaines ou de centaines de mots de passe et de phrases secrètes complexes. « Je sais que je ne vais pas être hameçonné à partir d’un mot de passe parce que je ne le connais pas », a déclaré Grimes. « Il y a un peu de réconfort là-dedans. »
Les pirates veulent que vous pensiez que vos actions n’ont pas d’impact.
Il est important que les gens réalisent que les ransomwares n’affectent pas seulement une organisation : ils affectent également les employés et leurs moyens de subsistance.
« Le ransomware moyen est dans une entreprise depuis 200 jours en moyenne avant qu’il ne se déclenche, et pendant ce temps, il collecte tous les mots de passe de tous les employés », a déclaré Grimes. « Donc, si vous allez sur Amazon et commandez quelque chose, si vous allez dans votre compte bancaire pour vérifier votre Plan Epargne Retraite, votre mutuelle, ils obtiennent tous ces mots de passe. »
Les fuites de données ont également des impacts en aval sur les employés. Les responsables de la sécurité peuvent partager des exemples d’incidents majeurs et souligner qu’en raison des impacts financiers (la violation de données moyenne coûte 3,86 millions de dollars), ces employés ne recevront probablement pas de primes de sitôt.
Les pirates veulent que vous traitiez la sécurité avec désinvolture, ou que vous l’oubliiez complètement.
« C’est vraiment difficile d’être parfait, n’est-ce pas ? » dit Grimes en riant. « Pour combattre ces gens-là, vous devez être meilleur – et ce que les pirates aiment, c’est l’incohérence. Mais si vous pouvez créer une culture consistant à faire constamment les mêmes choses encore et encore, il est plus difficile pour les faiblesses de s’infiltrer. »
Les comportements entraînant une sécurité forte se résument à une communication continue, à un renforcement et à une culture qui fait de la sécurité un élément central de la façon dont les équipes fonctionnent et collaborent au quotidien.
« Si vous pouvez changer la culture, vous êtes plus susceptible de faire en sorte que les gens s’en soucient et changent leurs propres habitudes pour eux-mêmes et pour la sécurité de l’entreprise. »
Roger Grimes est Data Driven Defense Evangelist pour KnowBe4, une entreprise de formation à la sensibilisation à la sécurité, et l’auteur de plusieurs livres, dont A Data-Driven Computer Defense.
