Sécurité informatique et l’être humain
Dans le dernier rapport du World Economic Forum portant sur les risques mondiaux, les insuffisances en matière de sécurité informatique occupent une place importante dans les classifications.
L’interrogation à ce niveau est de savoir quelles sont les mesures qu’il faudrait prendre pour anticiper le problème et le colmater si possible.
Cet article va aussi vous intéresser : Sécurité informatique : les pompiers d’une localité Française victimes de cyberattaque
Dans une approche assez simpliste des menaces informatiques, il faut noter que la grande partie des attaques informatiques commence par un courriel. Pour ce qui concerne en la totalité des programmes malveillants qui sont en circulation, leur impact négatif dépend de l’action d’un l’utilisateur pour que c’est la soit. Du côté des pirates informatiques, les tactiques ont bel et bien changé. En effet, ces derniers misent beaucoup plus sur les faiblesses humaines. Leurs actions s’appuient beaucoup plus sur des compagnes de phishing ou d’ingénierie sociale, beaucoup moins sur des techniques sophistiquées. Le plan est très simple : c’est de pousser les personnes ciblées à commettre eux-mêmes la faute souvent en leur fournissant les accès nécessaires.
« Aujourd’hui, les trois types d’attaques les plus dangereuses employées par les cybercriminels à des fins lucratives tournent autour du facteur humain. Il s’agit du BEC (Business Email Compromise) ou arnaque au président, de la compromission des comptes de messagerie (lorsque de vrais comptes sont usurpés par des cybercriminels) et des attaques de rançongiciels. ». Note Irene Marx, Responsable pays, Suisse et Autriche chez Proofpoint.
Les attaques informatiques de type BEC sont généralement des attaques assez bien ficelées voir perfides. « Les attaquants envoient en général un message en texte clair qui n’est pas identifié comme une menace par la plupart des systèmes de sécurité pour e-mail. Une fois que le message a été livré dans la boîte de réception de l’employé, c’est à lui d’évaluer l’authenticité du courriel. Souvent, l’adresse de l’expéditeur a été falsifiée avec soin pour imiter celle d’un supérieur ou d’un partenaire de la chaîne d’approvisionnement, tandis que le contenu a été adapté individuellement au destinataire. Si ce dernier n’est pas sensibilisé à ce type d’attaque, il n’est pas impossible qu’il effectue un transfert sur un compte des pirates ou qu’il envoie au supérieur supposé des informations sensibles comme des secrets d’entreprise. Avec des dommages s’élevant à plusieurs milliards de dollars par an, les attaques BEC sont aujourd’hui à l’origine de la plupart des réclamations de cyberassurance. », souligne Irene Marx.
70 % des responsables du domaine estiment que les employés constituent une très grande menace pour la sécurité informatique selon une étude en fourni par Proofpoint.
Si de plus en plus on constate que les entreprises prennent conscience de cette réalité, il y a quand même une limite à observer. Peu d’entreprises forment et sensibilisent leurs employés convenablement. En effet 77 pourcents des sociétés ne sensibilisent et ne forment leurs collaborateurs que deux fois par an. Et bien sûr cela n’est largement pas suffisant vu le contexte actuel où les attaques informatiques sont de plus en plus pressante et imminente.
« Seul un concept de sécurité à plusieurs niveaux permet de protéger efficacement l’organisation: les entreprises sont tenues d’investir dans la sécurité du courrier électronique. Elles doivent veiller à ce que les tentatives de fraude et autres attaques par e-mail soient détectées et n’atteignent pas la boîte de réception des destinataires. Mais il ne faut pas négliger la formation des utilisateurs, afin que les employés soient capables d’identifier et de traiter de manière responsable les e-mails frauduleux se retrouvant dans leur boîte de réception. Car ce n’est que lorsque la technologie et les utilisateurs formés travaillent ensemble que la sécurité dans l’entreprise peut être accrue à long terme. » décrit la responsable locale de Proofpoint.
Dans des situations similaires, on dira que la sécurité informatique des entreprises repose d’une certaine manière sur les employés. Au vu de cela, Michele Rapisarda, la responsable grands comptes chez Proofpoint en Suisse et en Autriche déclare : « Nous pensons qu’une défense forte ne peut être obtenue que par l’interaction efficace de la technologie, des processus et des personnes. Quelle que soit leur ampleur, la grande majorité des cyberattaques ont en commun de commencer par un courriel et d’essayer de tromper un humain – il faut donc une stratégie de défense centrée sur les personnes. La formation est un élément fondamental de cette démarche, tout comme les solutions de sécurité e-mail qui peuvent détecter les messages suspects à un stade précoce. ».
Accédez maintenant à un nombre illimité de mot de passe :