Une cyberattaque d’envergure est une preuve de plus que les entreprises de tous genres, notamment celles qui gèrent des biens numériques sensibles, doivent avoir comme priorité d’offrir une formation de sensibilisation à la sécurité de l’information à tous leurs employés.
Une agence de sécurité a récemment mis au jour un des plus gros vols de banque de son histoire. Pendant plusieurs mois, les criminels se sont emparé d‘une somme s’élevant à plus d’un milliard de dollars auprès de banques et d’institutions financières partout dans le monde. Pour perpétrer ce vol d’envergure, les malfaiteurs n’ont pas eu besoin d’armes à feu, de mécanismes de crochetage ni de tous les autres outils dont se servent habituellement les voleurs de banque. Pour commettre leur crime, ils ont plutôt misé sur les logiciels malveillants et l’hameçonnage.
Cette cyberattaque incroyablement efficace est une preuve de plus que les entreprises de tous genres, notamment celles qui gèrent des biens numériques sensibles, doivent avoir comme priorité d’offrir une formation de sensibilisation à la sécurité de l’information à tous leurs employés.
« La diversité des cibles est un des aspects les plus frappants de la démarche de piratage. »
Un vol d’envergure
Le vol a d’abord été mis au jour par l’agence de cybersécurité Kaspersky Lab. Au total, Kaspersky Lab estime qu’une somme s’élevant à plus d’un milliard de dollars a été volée dans le cadre de plusieurs raids, dont chacun rapportait 10 millions de dollars ou moins. Ces attaques ne visaient pas qu’une seule entreprise, mais bien une centaine de sociétés financières évoluant dans 30 pays, y compris les États-Unis, la Chine et la Russie, principalement. La diversité des cibles est un des aspects les plus frappants de la démarche de piratage.
« Ces vols de banque étaient surprenants parce que les logiciels utilisés par les banques ne changeaient absolument rien pour les criminels », a souligné Sergey Golovanov, chercheur principal en sécurité au sein du groupe de recherche et d’analyse international de Kaspersky Lab, a indiqué Bloomberg. « Ce cybervol été perpétré d’une main de maître. »
La cyberattaque a commencé en 2013 et n’a été découverte que tout récemment. Avant de se faire attraper, les cybercriminels ont profité de l’accès qu’ils avaient obtenu illégalement pour commettre leur vol de différentes façons. Dans certains cas, les coupables ont pris le contrôle de guichets automatiques bancaires, trouvant le moyen d’en retirer de l’argent. Dans d’autres, les voleurs sont parvenus à se faire verser des fonds dans leurs comptes en ligne.
Une leçon servant d’avertissement
L’éventail des cibles et des méthodes employées par les cybercriminels illustre plusieurs concepts importants. D’abord et avant tout, cet éventail montre que les manquements observés au niveau de la cybersécurité ne se limitaient pas à une seule institution, mais étaient largement répandus. Et comme M. Golovanov l’a souligné, peu importait le type de logiciel utilisé par les banques ciblées, les cybercriminels étaient capables d’infiltrer leurs systèmes.
Cela s’explique par le fait que les cybercriminels ont misé largement sur l’hameçonnage et les logiciels malveillants pour arnaquer leurs victimes. Les pirates se sont servis de réseaux de zombies pour transmettre des courriels pullulant de logiciels malveillants aux employés des banques. Selon le New York Times, ces courriels ont souvent pris la forme de coupures de presse ou semblant provenir de collègues. Les employés qui s’aventuraient à ouvrir ces courriels et qui cliquaient sur les fichiers ou les liens fournis permettaient aux pirates d’avoir accès au réseau de la banque. Avec ce niveau d’accès, les pirates étaient loisibles d’examiner à leur guise les systèmes informatiques de l’institution financière, et de profiter de l’information recherchée.
Aussi solides que soient les cyberdéfenses d’une entreprise, il n’y a tout simplement pas de façon d’écarter complètement l’élément humain. Et comme le montrent ces vols de grande envergure, une telle vulnérabilité peut avoir de lourdes conséquences pour les entreprises touchées.
Il est donc indispensable pour les dirigeants du secteur financier et d’autres secteurs d’adopter des stratégies qui permettent de réduire la menace posée par l’hameçonnage et les cyberattaques connexes. C’est ce qui fait de la formation de sensibilisation à la sécurité de l’information une ressource aussi cruciale pour les décideurs désireux d’améliorer leur cybersécurité. En misant sur la formation et l’information, les employés peuvent devenir plus avertis, apprenant comment discerner les courriels inoffensifs et ceux dont il faut se méfier. Les employés peuvent aussi commencer à comprendre l’impact important que leurs actions peuvent avoir dans ce domaine, ce qui devrait en inciter beaucoup à faire preuve d’une plus grande vigilance.
Ce n’est qu’en offrant une formation en cybersécurité que les entreprises peuvent préparer efficacement leurs employés à se prémunir contre la menace de plus en plus perfectionnée que les pirates représentent dans chaque industrie.