Votre entreprise devrait tout autant s’inquiéter du phishing que des malwares

  Posted On   By Bitdefender   Cybersécurité pour les entreprises

Les gros titres parlent régulièrement d’organisations cybercriminelles très organisées qui exploitent des vulnérabilités Zero-day afin de s’infiltrer au sein de réseaux et dérober des données sensibles d’entreprises.

 

Il semble ne pas se passer un jour sans qu’un éditeur de cybersécurité ne mette en garde contre une nouvelle variante de ransomwares, ou contre la façon dont les cybercriminels mènent des attaques de cryptojacking envers des datacenters et des appareils de l’IoT mal protégés.

 

Et bien qu’il s’agisse bien entendu de réelles problématiques et qu’il ne faille surtout pas les ignorer, il existe une autre cybermenace, certes plus terre à terre, à laquelle les entreprises doivent pourtant faire plus souvent face.

 

En effet, si vous deviez dresser une liste des causes les plus courantes d’atteintes à la sécurité des données de votre entreprise, ce sont sans doute les attaques par phishing qui domineraient.

 

Une étude récente menée auprès de 100 RSSI basés au Royaume-Uni confirme que l’hameçonnage est une préoccupation majeure, près de la moitié des personnes interrogées accusant ce phénomène d’être à l’origine des incidents de sécurité les plus graves qu’elles aient connus au cours des 12 derniers mois.

 

Les chiffres parlent d’eux-mêmes :

– Plus de deux fois plus de failles de sécurité (48%) ont été attribuées au phishing plutôt qu’aux malwares (22 %)

– En fait, même lorsque les logiciels malveillants étaient combinés à des systèmes d’exploitation vulnérables (ce qui représente un total de 41% des rapports), le problème n’était pas aussi grave qu’une attaque de phishing.

Une attaque de phishing est beaucoup plus facile à orchestrer pour un pirate informatique que la création d’un tout nouveau malware, et peut être réutilisée à de nombreuses reprises, avec souvent peu ou pas de changement dans son fonctionnement.

 

Par exemple, si vous étiez un cybercriminel et que vous aviez l’intention de pirater le service en ligne utilisé par une entreprise pour dérober des informations sensibles, vous pourriez copier facilement les emails de ce service en ligne, et ce à maintes reprises.

 

De même, si votre intention était – disons – de pirater le système de messagerie d’une entreprise et que vous saviez qu’elle utilisait Office 365, vous pourriez simplement rédiger un email qui incite la victime à cliquer sur un lien qui, selon elle, lui permettrait de se connecter à son véritable compte Office 365, mais qui a pour but de voler son mot de passe.

 

 

La plupart des utilisateurs auront beaucoup de mal à faire la différence entre une fausse page de connexion et une vraie.

 

Et si votre entreprise est spécifiquement ciblée par des pirates informatiques, il se peut qu’ils aient fait des efforts supplémentaires pour rendre la page Web qui vise à voler vos identifiants de connexion encore plus crédible et sophistiquée.

 

La barre d’URL du navigateur Web est sans doute l’endroit où l’on peut détecter les indices les plus évidents de supercherie, mais combien d’utilisateurs vérifierons la véracité de l’URL, parfois longue et complexe ?

 

C’est absolument humain de cliquer sans réfléchir, de ne pas savoir où l’URL pointe vraiment, de saisir un mot de passe sans se rendre compte de ce que l’on vient de faire réellement.

 

Sensibiliser les utilisateurs aux astuces utilisées par les pages de phishing et chercher des indices dans la barre d’URL n’est pas une perte de temps. Cependant, reconnaissons que si la fonction d’une personne n’est pas centrée sur la sécurité, il est injuste et irréaliste de penser qu’elle sera toujours sur ses gardes et sur les menaces potentielles.

 

Une défense plus efficace consiste donc à empêcher le plus grand nombre possible d’e-mails suspects de s’infiltrer au sein de votre entreprise, à avertir les utilisateurs directement sur leur écran, de prendre des précautions supplémentaires lorsqu’un e-mail provient de l’extérieur de l’entreprise ou s’il contient des mots clés associés aux e-mails de phishing, à activer l’authentification multi-facteurs chaque fois que cela est possible, et à déployer une solution de gestion des mots de passe pour entreprise.

 

Ces deux derniers points sont particulièrement importants, car ils mettent la technologie au service de la réduction des risques au niveau de ce qui est essentiellement un problème humain.

 

De plus en plus de services offrent désormais aux utilisateurs professionnels la possibilité d’activer l’authentification multi-facteurs ou la vérification en deux étapes.  L’énorme avantage, sur le plan de la sécurité, de l’activation de ces fonctions est que même si les cybercriminels parviennent à dérober le nom d’utilisateur et le mot de passe d’un compte, ils ne pourront y accéder que s’ils ont également le mot de passe à usage unique (OTP – one-time password) utilisé pour ajouter une couche supplémentaire à l’authentification.

 

De tels systèmes ne sont pas nécessairement totalement infaillibles, notamment dans le cas d’une attaque sophistiquée et ciblée, mais il ne fait aucun doute qu’il est beaucoup plus difficile de commettre des données si de tels niveaux supplémentaires d’authentification sont en place.

 

Il y a quelques mois, il a été révélé qu’aucun des 85 000 employés de Google n’avait vu leur compte compromis par hameçonnage en 2017. La raison ? Tous les employés ont utilisé des clés de sécurité physique pour s’authentifier, plutôt que de se fier à des simples mots de passe.

 

Plus tôt cette année, en dépit de l’augmentation alarmante de la compromission des e-mails professionnels et des attaques de phishing contre les entreprises, Google a indiqué que moins de 10% de ses clients ont activé l’authentification en deux étapes pour renforcer leurs comptes.

 

Les gestionnaires de mots de passe apportent également un grand avantage dans la lutte contre le phishing.  En effet, outre leur capacité à stocker de manière sécurisée des mots de passe forts, ils peuvent également proposer de saisir un nom d’utilisateur et un mot de passe lorsqu’ils reconnaissent une page de connexion.

 

En d’autres termes, si les gestionnaires de mots de passe ne « reconnaissent » pas une page de connexion, c’est peut-être parce que le navigateur Web de la victime potentielle se trouve sur une fausse page Web. Le gestionnaire de mots de passe ne leur proposera alors pas de saisir leurs identifiants.

 

Le phishing n’est peut-être pas la menace la plus « sexy », mais ne sous-estimez pas ses potentielles conséquences et l’impact qu’il peut avoir sur votre entreprise s’il n’est pas pris avec sérieux.