Comment protéger vos données des attaques d’ingénierie sociale

Dans la plupart des cas, la manipulation par la peur implique une menace avec des conséquences graves si la victime ne réagit pas rapidement. Il peut s’agir d’un message vocal affirmant que vous êtes sous enquête pour fraude fiscale et vous ordonnant de rappeler immédiatement pour prévenir une enquête criminel. Cette forme de leurre est très puissante, en particulier pendant la saison des impôts où le stress concernant les finances est élevé.

Imaginez que vous puissiez transférer 10 $ à un investisseur et voir ce montant augmenter à 10 000 $, le tout sans effort de votre part. Les cybercriminels jouent avec la confiance et la cupidité pour convaincre leurs victimes qu’elles peuvent obtenir quelque chose gratuitement. Un courriel composé avec soin peut amener les victimes à partager leurs informations bancaires en échange de la promesse que des fonds leurs seront transférés sous peu.

Des évènements bénéficiant d’une large couverture médiatique peuvent servir à profiter de la curiosité humaine et à inciter les victimes à agir. Par exemple, après le deuxième écrasement d’un Boeing MAX8, des cybercriminels ont envoyé des courriels avec des pièces jointes contenant prétendument des fuites d’information concernant l’incident. En cliquant sur la pièce jointe, un logiciel malveillant était installé sur l’ordinateur de la victime.

En faisant une recherche sur une organisation, les cybercriminels peuvent cibler une poignée d’employés avec un courriel semblant provenir de leur(s) gestionnaire(s). Le courriel demande aux victimes d’envoyer leurs identifiants et mots de passe à leur « gestionnaire » pour des raisons administratives ou comptables, en précisant que ces informations sont nécessaires pour que tous reçoivent leur paie à temps. Le ton urgent déclenche notre instinct naturel à vouloir aider.

Ironiquement, beaucoup d’attaques d’ingénierie sociale s’articulent autour d’une demande visant à protéger les données sensibles des utilisateurs. Elles peuvent prendre la forme d’un courriel envoyé par le soutien à la clientèle d’un détaillant en ligne de confiance et demandant des informations sur votre carte de crédit pour sécuriser votre compte. En tirant profit de l’image de marque d’une entreprise, et même de certaines parties de son site Web, les cybercriminels réussissent à faire paraître ces messages encore plus réels.

Pour réduire efficacement le risque humain, mettez l’emphase sur une formation en sensibilisation à la sécurité qui encourage le changement de comportement. Tirez profit d’outils comme les simulations d’hameçonnage et de rançongiciels, ainsi que des évaluations de cybersécurité qui permettront de renforcer votre organisation.

Un contenu éducatif de qualité est sans doute le facteur le plus important de toute initiative de sensibilisation à la sécurité. Utilisez des ressources comme les cours en ligne, les modules de micro et de nanoapprentissage et les nanovidéos pour former votre équipe sur les arnaques d’ingénierie sociale. La présentation d’exemples concrets permet également de montrer à quel point il est facile pour quiconque d’être pris au dépourvu par des tactiques liées.

Le contenu éducatif est important, mais il est grandement amélioré lorsque combiné à des simulations pratiques qui permettent de tester les connaissances de l’utilisateur dans un environnement sécuritaire. Utilisez les simulations d’hameçonnage et d’autres mises en scène pour approfondir les expériences d’apprentissage et contribuer à la promotion d’un changement de comportement positif.

Le contenu et les simulations doivent être continuellement mis à jour et redéployés pour s’assurer que chacun est connaît les cybermenaces en circulation. En partageant cette information avec les employés, vous augmentez les chances qu’ils soient en mesure d’identifier et d’éviter les tentatives d’ingénierie sociale.

L’un des aspects sous-estimés du processus de protection des données concerne la culture de sécurité d’une organisation. En commençant par le sommet, la création et la promotion d’un environnement propice au changement de comportement doit représenter une priorité majeure. Cela permettra de stimuler l’apprentissage et de soutenir une sensibilisation à la sécurité unilatérale. Encouragez les utilisateurs à rapporter les activités suspectes, même après qu’ils aient été victimes d’une attaque.

Durant le processus de formation en sensibilisation à la sécurité, il est important d’identifier et de récompenser des ambassadeurs de programme internes pour maintenir un niveau d’intérêt élevé. Créez un groupe interne de héros de la cybersécurité engagés à maintenir la sécurité de votre organisation afin d’encourager l’adhésion de tous les employés.

Utilisez des outils de communication engageant et planifiez des communications et des campagnes en continu sur l’ingénierie sociale, la cybersécurité et l’hameçonnage. Cela contribuera à alimenter les conversations et la sensibilisation aux risques qui peuvent émaner de courriels, d’URL, de pièces jointes et d’appels téléphoniques suspects, et de toute autre forme d’attaques d’ingénierie sociale.