HE-Arc
Chroniques ILCE
L’humain au cœur de la sensibilisation face aux risques de social engineering

L’humain au cœur de la sensibilisation face aux risques de social engineering

Gestion
Auteur
Etudiante du MAS LCE
Thématique
Cybercriminalité et nouvelle technologie

J’ai été victime d’une arnaque au président et vous… Et vous à quand votre tour ?!!

Dans le monde numérique d’aujourd’hui, les attaques ne se limitent plus aux vulnérabilités techniques. En effet, une des menaces les plus redoutables pour les entreprises est le social engineering, soit une forme subtile de manipulation Les attaquants ne ciblent pas les failles techniques, mais exploitent la confiance, la curiosité et la méconnaissance des employés. Les attaques de social engineering ciblent les « maillons faibles » humains plutôt que technologiques.

Cet article a pour but d’explorer les multiples facettes du social engineering, ses techniques ainsi que les risques liés qui pèsent sur la sécurité et la confidentialité des entreprises. Il est impératif que les organisations puissent mieux appréhender ces risques et renforcer leur protection face à cette menace insidieuse. Nous verrons l’importance de mettre l’humain au cœur de la sensibilisation afin de constituer une première ligne de défense contre ces attaques.

Les petites et moyennes entreprises sont particulièrement exposées à ces risques, car d’une part leur taille ne leur permet souvent pas de disposer d’un service IT performant et d’autres part elles pensent parfois être trop petites pour être ciblées par les cyber criminels. Toutefois la réalité est différente1NIST, « New NIST Guide Helps Small Businesses Improve Cybersecurity », New NIST Guide Helps Small Businesses Improve Cybersecurity | NIST, (dernière consultation le 30.08.2023)..

Le social engineering – Comprendre ses mécanismes

Comme l’explique le NCSC2Centre national pour la cybercriminalité., l’ingénierie sociale est une manipulation psychologique par laquelle l’auteur cherche à pousser la personne ciblée à prendre de mauvaises décisions, comme divulguer des informations confidentielles, acheter un produit ou débloquer des fonds. Les ingénieurs sociaux observent l’environnement personnel de leur victime, se font passer pour quelqu’un d’autre ou invoquent par exemple la hiérarchie afin d’obtenir des informations sensibles ou des prestations gratuites3NCSC, Ingénierie sociale: ne vous laissez pas questionner (admin.ch), (dernière consultation le 30.08.2023)..
Les techniques utilisées par les cybercriminels sont très variées. En voici une liste non-exhaustive :

  • Escroquerie via le support technique : les escrocs se font passer pour des techniciens qui doivent prendre le contrôle sur l’ordinateur de la victime afin de réparer rapidement une faille technique. En réalité, cela leur permet d’accéder à l’entier des données de la victime.
  • Rançongiciels : ce sont des chevaux de Troie qui verrouillent les données sur l’ordinateur de la personne ciblée ainsi que sur les lecteurs réseau auxquels cet ordinateur est relié, ce qui les rend inutilisables pour la victime4NCSC, Rançongiciels (admin.ch), (dernière consultation le 30.08.2023).. Ceci peut se passer pour un particulier mais également pour une entreprise et ainsi bloquer l’entier des données d’une société. Ceci arrive soit via une faille de sécurité ou alors lorsqu’une personne, notamment un collaborateur clique sur un lien ou un fichier infecté. Le cas dont l’entreprise Winbiz a été victime en est le parfait exemple5SWI, Winbiz remonte la pente après une cyberattaque – SWI swissinfo.ch, (dernière consultation le 30.08.2023).. La commune de Bex a également fait les frais d’une telle attaque6Revue mensuelle rétroactive des cybermenaces – SOC, Juin 2023, Revue mensuelle rétroactive des cybermenaces – SOC (adcv.ch), (dernière consultation le 15.07.2023).. Ces attaques sont les plus courantes et peut-être même les plus lourdes de conséquences à laquelle les organisations actives en Suisse sont confrontées7Rapport semestriel 2022/II, Sécurité de l’information, Centre national pour la cybersécurité, 11 mai 2023..
  • Arnaque au président : les escrocs se procurent au préalable des informations sur l’entreprise, l’autorité ou l’association en consultant différentes sources publiques. Munis de ces informations, ils peuvent alors échafauder un scénario et mener une attaque taillée sur mesure. L’escroquerie en tant que telle repose souvent sur un courriel qui semble écrit par le dirigeant de l’entreprise au département financier, ou par le président de l’association au trésorier. Le courriel est rédigé de manière plausible, incitant ainsi le destinataire à effectuer des versements prétendument urgents8NCSC, Arnaque au président (admin.ch), (dernière consultation le 30.08.2023)..
  • Hoax (Canular) : il s’agit d’une fausse nouvelle qui est propagée par le biais de différents canaux (réseaux sociaux, e-mails, etc.). Les cybercriminels utilisent cette technique pour envoyer par exemple de faux e-mails en annonçant une maladie ou une situation délicate dans laquelle un proche de la victime se trouve et demande de l’argent en urgence.
  • Sextorsion : il s’agit là de chantage, l’escroc menace la victime de divulguer des images ou vidéos si elle ne paie pas un montant déterminé.
  • Scam : Les escrocs créent de faux profils sur les réseaux sociaux et les sites de rencontres en ligne, puis feignent le grand amour avec leurs victimes pour obtenir ensuite une aide financière de leur «partenaire»9NCSC, Romance Scam (admin.ch), (dernière consultation le 30.08.2023)..

Les motivations des cybercriminels peuvent être variées, le plus souvent financières, mais également sociales, politiques ou techniques. C’est pourquoi les entreprises doivent être très prudentes et proactives face à ces cyberattaques car les risques auxquels elles sont confrontées sont considérables. Dans un premier temps, l’impact financier de la perte économique peut être tel qu’il risque d’entrainer la faillite de l’entreprise. Cependant d’autres risques d’une importance significative existent tels que le déni de service qui empêche une entreprise de pouvoir travailler, la perte d’image et de réputation, la fuite d’informations ou encore la perte de données.

En Suisse, la cybercriminalité économique a globalement augmenté de 11% entre 2021 et 2022. Cette augmentation est encore plus marquée dans le domaine du Phishing (+84.8% entre 2021 et 2022), de la fraude à l’investissement en ligne (+29.2% entre 2021 et 2022), l’arnaque au faux support technique (+12% entre 2021 et 2022) ou encore la sextorsion (+54% entre 2021 et 2022)10Rapport annuel 2022 des infractions enregistrées par la Police, Statistique policière de la criminalité, page 62..

Quelles sont les causes à l’origine de l’imprudence chez l’humain ?

Dans un contexte professionnel, différents facteurs vont pousser les employés d’une société à tomber, parfois, dans les pièges des cybercriminels. Pour les sociétés, il est important de comprendre quels sont ces différents éléments afin de pouvoir mettre en place des outils pour palier ceci.

Le stress et l’urgence sont souvent utilisés afin de mettre la victime sous pression pour qu’elle agisse trop vite, respectivement sans faire preuve de la prudence avec laquelle elle aurait normalement agit dans une situation du quotidien. Pour illustrer ceci, les attaques de l’arnaque au Président ainsi que l’escroquerie via le support technique utilisent ce facteur de stress comme facteur clé de succès.

Parfois ce sont les méconnaissances qui sont à l’origine de l’imprudence. D’une part les méconnaissances techniques, c’est-à-dire un manque de familiarité avec les signaux d’alerte, parfois pourtant visibles, qui permettraient d’identifier une tentative de manipulation. Et d’autre part, la méconnaissance des politiques de sécurité des entreprises qui contiennent souvent des éléments clés contre les risques de social engineering.

La confiance excessive a également une place importante dans l’origine de l’imprudence chez l’humain, car fréquemment, les attaques semblent provenir de manière fictive d’individus en qui la victime a confiance, tel qu’un supérieur hiérarchique, un responsable informatique ou encore le directeur de l’entreprise.

Finalement comme le dit la célèbre citation d’Anatole France, « la plus grande vertu de l’homme est peut-être la curiosité » ; la curiosité est effectivement une grande qualité humaine. Cependant, dans ce cadre-ci, cela peut porter préjudice à l’entreprise, par exemple quand la curiosité pousse par exemple à cliquer sur un lien ou à ouvrir une pièce jointe.

Pour ma part, voici quelle a été l’origine de mon imprudence : j’ai reçu un email du Directeur me demandant le solde d’un compte bancaire de la société. Dans un contexte de stress, j’ai rapidement répondu, sans faire attention à l’adresse email dans laquelle une lettre avait été changée. Le cyber-attaquant m’a alors demandé de verser une somme d’argent sur un compte. Par chance l’efficacité du service informatique a permis de bloquer directement l’attaque, toutefois le dénouement aurait pu être bien plus sombre.

Concrètement, que faut-il mettre en place pour réduire le risque du social engineering au sein d’une société ?

Afin d’être au mieux préparé à une cyberattaque, de nombreux dispositifs doivent être mis en place au sein de toute organisation. En effet, dans un premier temps, un grand nombre d’éléments techniques se doivent d’être fonctionnels, vérifiés et à jour. En voici des exemples : pare-feu, anti-virus de dernière génération, chiffrement, autoriser uniquement de mots de passe forts, double authentification, sécurisation des smartphones, tablettes et IoT, suppression des comptes génériques, prêter une attention particulière aux comptes avec privilèges, séparation des comptes privés et professionnels des collaborateurs, sauvegardes et tests réguliers de ces dernières, examen régulier de la configuration du système afin de réduire les attaques de rançongiciels11Rapport semestriel 2022/II, Sécurité de l’information, Centre national pour la cybersécurité, 11 mai 2023, page 18. ou encore des audits de sécurité annuels des infrastructures et du site web (par exemple via une société qui teste les failles de sécurité12Bug Bounty, Why Bug Bounty? YesWeHack Global Bug Bounty Platform, (dernière consultation le 30.08.2023).).

Par ailleurs il est important que l’entreprise mette en place les éléments organisationnels clés pour renforcer sa résilience face aux cyberattaques. Il est par exemple impératif que les contrats informatiques revêtent la forme écrite et que le directeur de l’entreprise dispose des contacts juridiques au préalable afin de pouvoir être réactif en cas de cyberattaque. En outre il est possible de souscrire à une assurance Cyber qui selon le modèle d’affaires de l’entreprise pourra être très utile.

L’entreprise doit définir différents éléments au sein même de son organisation, tels qu’une stratégie de cybersécurité et donc les rôles et responsabilités qui en découlent, une charte d’utilisation des moyens informatiques dans l’entreprise, une stratégie de gestion de crise en cas de cyberattaque ou encore définir les données sensibles au sein de l’organisation et leur protection.
Il est également possible de se rapprocher d’entreprises spécialisées dans le domaine informatique pour réaliser des audits informatiques, des tests de pénétration ou encore des tests de vulnérabilité. Evidemment ceci a un coût financier qu’il faut mettre en balance avec la politique de gestion des risques de chaque société.

Comme vu précédemment, malgré tout ce que les entreprises peuvent mettre en place, parfois l’imprudence provient de l’humain. En effet, dans des situations de stress, sans une formation et des connaissances appropriées il devient alors aisé de succomber aux subterfuges perfides d’individus malveillants. Le facteur humain est donc au cœur de la problématique du social engineering.

Afin de protéger aux mieux les sociétés, les dirigeants ont donc une responsabilité capitale dans la formation continue et la sensibilisation de leurs employés face à ces risques toujours plus présents. Les collaborateurs auront alors tous les outils nécessaires afin d’avoir les meilleures pratiques possibles face aux attaques de social engineering.

  • Formation des collaborateurs : il est possible de s’adresser à des sociétés spécialisées du domaine qui proposent différentes techniques de formation. Cela peut prendre la forme de formations complètes en présentiel, de vidéos courtes et didactiques, ou encore par exemple de quizz personnels afin de tester les connaissances de chaque utilisateur.
  • Campagne de sensibilisation : le service informatique ou une société externe spécialisée peut via l’envoi d’un faux mail de Phishing par exemple tester la réaction réelle des employés face à une situation du quotidien. En effet, une expérience réellement vécue laisse une empreinte plus profonde qu’un mail informatif.

Il est important de renouveler ces formations et campagnes de sensibilisation au moins une fois par année, car les dangers sont en constante évolution et l’être humain ne peut pas tout mémoriser.

Les employés doivent absolument être sensibilisés et avoir la connaissance des bonnes pratiques de base, telles que : se méfier de toute situation urgente, ne jamais laisser quelqu’un prendre la main sur son ordinateur en dehors du service informatique ou avec accord de ce dernier, n’effectuer des téléchargements de logiciel que sur les sites officiels, vérifier l’orthographe des noms de domaine/ des URL ou des adresses emails ou encore par exemple n’utiliser que des mots de passe forts.

L’Etat de Vaud a développé une application simple et gratuite dénommée « Cybersécurité » à propos des bonnes pratiques en matière de sécurité IT afin de soutenir les PME et les rendre davantage cyberrésilientes13Etat de Vaud, Cybersécurité, Cybersécurité | État de Vaud (vd.ch), (dernière consultation le 30.08.2023)..

Renforcer la cybersécurité en plaçant l’humain au centre : un impératif pour une gestion éclairée

A la lumière des répercussions potentielles des cyberattaques, qu’elles affectent la continuité des opérations, engendrent des pertes financières, conduisent par exemple à la divulgation d’informations confidentielles ou encore une perte réputationnelle, l’investissement dans la cybersécurité et dans la formation des collaborateurs est primordial pour toute entreprise recourant aux technologies informatiques.

Les directions d’entreprises doivent comprendre et réaliser les enjeux et le rôle qu’elles ont à jouer face à ce phénomène. En effet selon PWC, la cybersécurité doit impérativement figurer à l’ordre du jour du conseil d’administration et de la direction14PWC, « Les cyber-risques sont un enjeu au plus haut niveau d’entreprise », Les cyber-risques sont un enjeu au plus haut niveau de l’entreprise ! | Disclose (pwc.ch), (dernière consultation le 30.08.2023)..

Il convient donc de ne pas stigmatiser l’erreur humaine mais plutôt de renforcer les compétences de ses collaborateurs afin d’en faire un atout et une force pour l’entreprise. Cette démarche vise à rendre les attaques de social engineering plus ardues pour les cybercriminels. Le risque zéro demeure inatteignable, toutefois il s’avère impératif de viser une meilleure protection et par conséquent une réduction des vulnérabilités par rapport à d’autres entités.

Partager