Dans le cadre du mois de la Cybersécurité ou Cybermois d’octobre, nous allons explorer les différentes attaques et menaces de sécurité auxquelles vous pourriez être confronté en tant qu’entreprise ou à titre personnel. Elles peuvent conduire à du vol de données, à la compromission de ces données ou à l’accès à des données sensibles.
On parle souvent des outils mais le facteur humain peut également être la source d’une faille de sécurité informatique.
« La faille se trouve probablement entre la chaise et l’ordinateur et cela peut être vous »
Qu’est-ce que l’ingénierie sociale (le social engineering) ?
L’ingénierie sociale est une Manipulation psychologique d’individus en vue de réaliser des actions sensibles ou de divulguer des informations confidentielles. Il s’agit d’abuser de la confiance des individus, nous allons voir un exemple concret plus bas.
Qu’est-ce qu’une attaque phishing (hameçonnage) ou spear phishing via du spam (courrier indésirable) ?
Le phishing est la contraction du mot fishing (aller à la pêche) et threaking (filouter).
Il s’agit d’une attaque par hameçonnage ciblé : repose sur une usurpation de l’identité de l’expéditeur en procédant par ingénierie sociale forte afin de lier l’objet du courriel et le corps du message à l’activité de la personne ou de l’organisation ciblée.
Le but étant d’inciter le destinataire à ouvrir une pièce jointe malveillante ou à suivre un lien vers un site web malveillant pour compromettre l’ordinateur en installant des programmes malveillants.
Divulgation d’information involontaire
La divulgation d’informations peut être spontanée, involontaire ou provoquée et consiste à diffuser des informations pouvant être réutilisées, recoupées afin de cartographier une personne, une entreprise ou une institution (nom, résidence, géolocalisation, réseau, information sensible voire protégée, …).
Exemple : la personne reçoit ou trouve une clé usb ou un objet connecté, et la connecte sur son ordinateur de bureau. Installation de malware en téléchargeant un fichier, etc…
L’usurpation d’identité et les comportements frauduleux
Quelqu’un se fait passer pour un chef d’entreprise en se montrant oppressant et dans l’urgence pour demander à un employé de faire quelque chose qu’il ne ferait pas en temps normal, et qui ne respectera pas le protocole de sécurité habituel de l’entreprise. Il va abuser de la confiance de la personne qui reçoit l’appel en l’induisant en erreur sur qui il est.
Exemples de faille humaine (low tech) en cybersécurité
Contexte : appel en numéro caché ou via un centre d’appel
Bonjour Monsieur, Madame, je suis Camille de la société Untel. Je vous appelle car vous avez gagné un Iphone pro 11 à notre concours par tirage au sort. Cette conversation sera enregistrée pour que mes supérieurs puissent avoir une trace que j’ai bien fait mon travail. Nous n’avons malheureusement plus l’appareil en stock qui vous était destiné, nous souhaitons vous faire un virement correspondant au montant de la valeur du produit pour que vous puissiez l’acheter directement.
Pouvez vous nous donner votre numéro de carte bleu et le petit code qu’il y a derrière pour vous faire un virement immédiatement ?
Exemple de fishing par mail
L’exemple précédent peut être exploité en spam phishing via email. Vous recevez un courrier électronique imitant exactement le design de votre banque avec un lien pour vous identifier où l’on vous demande de changer de mot de passe en saisissant l’ancien, et d’en mettre un nouveau. Double peine, le hacker est en possession de votre ancien mot de passe et le mot de passe potentiel utilisable sur vos autres comptes.
Comment se protéger de ces menaces de sécurité ?
Il s’agit surtout de prévention des collaborateurs, de les sensibiliser à la cybersécurité et des techniques de plus en plus avancées utilisées par des hackers, même non techniques.
Pour tout le reste, sécurisation des systèmes d’information, protection des données, protection contre les risques d’intrusion, etc… il y a les solutions faciles à mettre en place par Free Pro via notre centre de securité managées SOC que vous pouvez découvrir dans notre Livre blanc : « Livret de Sécurité Opérationnel ».
Comment suivre une formation en cybersécurité avec des Mooc ?
Ce n’est pas réellement un MOOC, mais un site d’information sur les réflexes à avoir et les mesures préventives.
Par rapport à notre exemple de fishing vu plus haut, voici les actions conseillées lorsque vous recevez un mail :
- Ne communiquez jamais d’informations sensibles par messagerie ou téléphone,
- Avant de cliquer sur un lien douteux, positionnez le curseur de votre souris dessus sans cliquer et regardez en bas de votre fenêtre vers quel url pointe vraiment le lien.
Le MOOC de l’ANSSI SecNum Académie du gouvernement
Il est possible de se sensibiliser à la sécurité grâce à des MOOC, d’ailleurs l’ANSSI a mis en place un MOOC destiné à s’initier à la cybersécurité, approfondir ses connaissances et agir sur la protection de vos outils numériques. Le dispositif est gratuit jusqu’à avril 2021.
Formation protection des données RGPD
La cybersécurité, c’est également prendre la mesure du traitement qui est fait des données. La CNIL a également édité un MOOC pour s’initier au RGPD et donc sensibiliser les collaborateurs à « comment mieux protéger ses données ».
A ce sujet, Free Pro a obtenu la certification ISO 27001 et la certification d’Hébergeur de Données de Santé (HDS) délivrées par l’AFNOR.
