Nous savons que les tentatives d’hameçonnage (phishing) sont en hausse, mais saviez-vous que de plus en plus de cadres supérieurs tombent dans le piège chaque jour? Les nouvelles campagnes d’hameçonnage ciblant les hauts dirigeants sont ingénieuses et difficiles à identifier. Les protections traditionnelles des systèmes et logiciels informatiques n’arrivent pas à suivre l’évolution rapide des méthodes d’hameçonnage. Celles-ci contournent facilement les filtres SPAM et les protections pour courriels d’affaires compromis (Business Email Compromise, ou BEC) et réussissent à pousser les hauts dirigeants visés à répondre, à cliquer sur des liens et à ouvrir des documents.
Un exemple flagrant, selon, Agari’s Cyber Intelligence Division, est , London Blue Report qui décrit comment une organisation criminelle, structurée comme toute organisation moderne, a dressé…
« une liste de plus de 50 000 chefs financiers dans une période de cinq mois au début de 2018. Cette liste a vraisemblablement été utilisée par London Blue comme répertoire pour leurs attaques massives de BEC. Parmi leurs cibles, 71 % étaient des chefs de directions financières, 12 % des directeurs ou gestionnaires en finances, 9 % des contrôleurs, 6 % occupaient des postes en comptabilité, et 2 % avaient un rôle d’adjoint à la direction.»
Selon Intermedia, 34 % des chefs d’entreprises ou propriétaires, et 25 % des personnes travaillant dans les TI ont été eux-mêmes victimes de courriels d’hameçonnage, plus souvent que tout autre groupe d’employés de bureau. – Intermedia, 2017
Lors de mes plus récentes recherches, j’ai parlé à des clients dont les cadres supérieurs avaient été ciblés avec succès. Les premiers courriels à arriver ne contenaient PAS de liens ou de fichiers. Les pirates font leur recherche sur les chefs d’entreprises et leurs réseaux de contacts pour être en mesure d’adresser des courriels simples semblant provenir d’organisations ou de personnes avec qui les dirigeants ciblés interagissent, ou ont déjà interagi. Ces quelques courriels sont envoyés tout d’abord pour susciter la confiance afin que par la suite, la personne visée clique sur un lien, ouvre un document ou, pire encore, demande à son adjoint de réponde en son nom.
« En août 2018, au moins 400 compagnies industrielles ont été ciblées par des attaques de harponnage (Spear-Phishing) dissimulées derrière des aspects de lettres légitimes d’achats et de comptabilité. » Selon Kaspersky Lab, 2018
Ce sont des gens habiles, très habiles. Ils savent que les montants modestes exigent moins d’approbations et, règle générale, ils cherchent à faire approuver des versements de fonds de moins de 50 000 $US par transaction. Si on ajoute le fait que certaines organisations ne vont réaliser qu’elles ont été victimes d’hameçonnage que cinq mois après la fraude, il s’agit d’une pratique assez terrifiante.
Pour faire évoluer les attaques par hameçonnage, les fraudeurs sont continuellement à l’affût de nouvelles façons de masquer totalement leurs URL malveillants, surtout sur les appareils mobiles. Ils peuvent les dissimuler derrière une page comme Google Traduction que les utilisateurs connaissent bien, ou leurrer carrément les utilisateurs avec des polices de caractère personnalisées et des caractères modifiés. Une des plus récentes approches est de créer une invitation de réunion avec Office 365 contenant des boutons cliquables ou des sondages demandant au destinataire de choisir le sujet ou la date de la prochaine réunion. Les employés qui cliquent voient s’afficher une fausse page de connexion à Office 365 où ils doivent entrer leurs coordonnées de connexion à Office 365, perdant ainsi le contrôle de leur compte courriel. Une autre astuce consiste en un courriel provenant d’une source connue, vous demandant d’examiner quelque chose. Lorsque le lien ou le fichier joint est cliqué, des logiciels malveillants s’installent dans votre système, prennent d’assaut votre compte courriel et envoient ensuite en votre nom des courriels contenant le même message à tous vos contacts.
Tout n’est pas perdu pour autant. Il y a une façon d’aider à prévenir et déjouer ces attaques. Vous avez besoin d’un programme de sensibilisation à la cybersécurité qui permettra d’instaurer une culture de sécurité à travers toute votre organisation, en commençant par les hauts dirigeants qui prêcheront par l’exemple.
Selon le Cybersecurity Ventures 2019 Cybercrime Report, « Former les employés à reconnaître les cyberattaques et à s’en protéger est le secteur de l’industrie de la cybersécurité où l’on investit le moins. »
Si plus de 92 % de toutes les brèches et fraudes se font par hameçonnage, les employés ayant une adresse courriel, un compte de média social, un téléphone ou une tablette représentent la cible de cyberattaque la plus importante de votre organisation. Des millions de dollars sont engloutis dans les mesures de sécurité pour les systèmes et les logiciels informatiques; pourtant, encore aujourd’hui, un simple clic d’un seul utilisateur peut court-circuiter toutes les protections onéreuses mises en place. Il est peut-être temps de revoir votre approche envers la cybersécurité et commencer à appliquer la démarche que décrit la publication sur la cybersécurité The Human Fix to Human Risk.
Pour changer efficacement les habitudes à risque associées à l’hameçonnage et instaurer une culture de sécurité chez vos dirigeants et vos employés, vous aurez besoin d’un programme complet de sensibilisation soigneusement planifié, adapté aux besoins et aux objectifs spécifiques à votre organisation. Ce but est difficile à atteindre, à moins d’appliquer une démarche de sensibilisation à la sécurité.
Une approche méthodique en continu, doit inclure ces cinq étapes :
Étape 1 | Analyse
Analysez les besoins et objectifs de votre organisation et élaborez un programme de sensibilisation à la cybersécurité qui génère des résultats.
Étape 2 | Planification
Planifiez vos campagnes afin de rester sur la bonne voie et motivez vos effectifs ainsi que les parties prenantes.
Étape 3 | Deploiement
Déployez une initiative de formation efficace et constatez le changement de comportement se dérouler sous vos yeux.
Étape 4 | Mesure
Mesurez la performance de vos campagnes en fonction de vos objectifs et présentez vos progrès aux parties prenantes.
Étape 5 | Optimisation
Optimisez la campagne en conséquence et actualisez votre programme pour intégrer les nouvelles données.
Sans une démarche structurée, vous raterez votre cible et vous ne réussirez jamais à persuader vos utilisateurs, qu’il s’agisse de dirigeants ou d’employés, de changer leurs habitudes à risque. La démarche est conçue pour tenir compte de tous les facteurs, en particulier la façon dont les gens acquièrent, adoptent et conservent de nouvelles habitudes. Ultimement, elle mène vers le développement d’une culture de sensibilisation à la sécurité et aide à réduire considérablement les brèches de sécurité liées à l’humain.
Les courriels malveillants et frauduleux continueront à contourner vos filtres et vos mesures de détection de menaces dans un avenir prévisible, et continueront d’enrichir les cybercriminels. Mais il y a de l’espoir si vous tirez profit de simulations d’hameçonnage ciblant votre haute direction. Combinez ces simulations à une formation en sensibilisation pour les hauts dirigeants basée sur une approche pédagogique, accompagné d’un renforcement en continu au moyen d’outils de communications afin de changer les comportements actuels et aider à réduire votre surface d’attaque la plus importante.
Bien que l’erreur humaine continue à représenter la principale cause de toutes les brèches et incidents en sécurité, les professionnels en sécurité s’accordent pour dire que la façon la plus efficace de réduire le risque lié à l’erreur humaine est la formation en sensibilisation à la cybersécurité et les simulations d’hameçonnage.
Le livre blanc intitulé PHISHING DEFENSE AND GOVERNANCE – How to Improve User Awareness, Enhance Controls and Build Process Maturity, pour rehausser le niveau de sensibilisation des utilisateurs, améliorer les contrôles et assurer la maturité des processus. (En anglais seulement)
