Secu
Attaques d’ingénierie sociale, quels dangers pour l’entreprise et comment s’en protéger ?
Par La rédaction, publié le 22 novembre 2022
Les attaques par ingénierie sociale font des ravages engendrant divulgation d’authentifiants, vols de données, brèches dans le système d’information. Quels sont précisément les risques et moyens de protection?
Par Matthieu Jouzel, Solutions Engineer de BeyondTrust
Jamais les attaques d’ingénierie sociale n’ont été aussi nombreuses et dévastatrices. Selon l’édition 2022 du rapport Data Breach Investigations Report (DBIR) de Verizon, les attaques d’ingénierie sociale figurent parmi les trois premiers types d’attaques rapportés par les entreprises interrogées depuis 2017. Ce rapport fait état de 2 249 incidents d’ingénierie sociale dont 1 063 ont conduit à la divulgation de données (par utilisation abusive d’identifiants dans 63 % des cas). Dans 100 % des cas, ces attaques ont été perpétrées depuis l’extérieur de l’entreprise par des criminels motivés par l’appât du gain (89 %) ou l’espionnage (11 %).
Faisons ici le point sur les risques auxquels s’expose une entreprise quand l’un de ses employés est victime d’une attaque d’ingénierie sociale. Quels sont les principaux indices qui permettent de détecter une attaque d’ingénierie sociale et comment procéder face à une attaque de ce type pour se protéger ?
Une voie ouverte à d’autres attaques et compromissions.
Quand on pense compromission, on pense instantanément à des problèmes de configuration de logiciels et à une sécurité insuffisante du réseau, mais les attaques d’ingénierie sociale sont elles aussi considérées à haut risque (avec effectivement un taux de réussite élevé) du fait même qu’elles visent des êtres humains. L’on retrouve le facteur humain dans 82 % des compromissions rapportées par le DBIR. C’est un maillon faible aux yeux des politiques de cybersécurité, si ce n’est le plus faible.
À LIRE AUSSI :
Comment faire pour prévenir une attaque d’ingénierie sociale ?
Voici les stratégies pour se protéger chaque fois qu’un cybercriminel s’approche. Certaines sont évidentes et rabâchées de longue date mais d’autres sont parfois perdues de vue par les DSI et les utilisateurs.
* Vérifier que la communication est légitime, qu’elle provient effectivement d’une source de confiance. Vérifier que l’adresse e-mail est la bonne, que le message est bien écrit, sans fautes d’orthographe ou de grammaire, sans caractères étrangers, et que son nom est bien épelé. En cas de doute, ne pas hésiter à appeler l’entreprise pour vérifier que telle personne est bien à l’origine de l’e-mail.
* Vérifier que les liens pointent bien vers des noms de domaine réels, repérer les URL douteuses, qui se terminent par « .ru. » ou des signes (+) au lieu de la lettre t, mais avec la même police. Il est aussi possible de copier le lien et de le coller dans un bloc-notes pour l’analyser sans risque.
* Procéder à des mises à jour régulières du système d’exploitation et des applications et installer les derniers correctifs de sécurité. Les vulnérabilités connues laissées sans correctif sont des cibles faciles.
* Vérifier que l’antivirus utilisé est bien sous licence, qu’il est mis à jour régulièrement et qu’il scanne le système fréquemment. Paramétrer les filtres anti SPAM et les pare-feu pour que les e-mails malveillants n’atteignent pas la boîte de réception. Vérifier si le FAI ne propose pas un antivirus gratuit ou à prix réduit. C’est une pratique courante pour réduire les coûts de support technique.
* Se méfier des informations personnelles que l’on divulgue. Même des informations anodines peuvent rendre vulnérable et permettre à un cybercriminel d’en apprendre un peu plus sur sa cible.
* Ne pas penser ne présenter aucun intérêt pour un cybercriminel. Les PDG ne sont pas les seuls visés. Un cybercriminel saisira volontiers n’importe quelle occasion pour s’introduire sur le réseau et progressera ensuite latéralement. Le simple fait d’avoir accès à un système peut faire de vous une cible.
* Instaurer le principe de moindre privilège pour appliquer systématiquement le bon niveau de privilèges. Ne pas conserver de privilèges admin pour les opérations quotidiennes. En supprimant les droits admin locaux des comptes lambda et en empêchant les utilisateurs privilégiés (admins IT) de se connecter à Internet ou de consulter leurs e-mails, le réseau est protégé des malwares qui ont besoin de privilèges admin pour s’exécuter.
* Ne surtout pas utiliser de systèmes d’exploitation vieillissants, obsolètes ou arrivés en fin de support. Faute de nouveaux correctifs de sécurité, les vulnérabilités connues seront inévitablement visées par des cybercriminels. Ne jamais utiliser de tels systèmes faillibles pour naviguer sur Internet ou recevoir des e-mails.
* Etre à l’écoute de ses émotions. Si un contenu suscite en soi un sentiment négatif, de la peur ou de la curiosité, se demander si l’on n’essaye pas d’inciter à cliquer sur un lien ou à ouvrir un fichier sans avoir le temps de procéder aux vérifications nécessaires, de la source notamment.
* Procéder à des tests de pénétration de l’infrastructure et des comptes des employés. Pour bien protéger le réseau, intégrer des techniques d’ingénierie sociale dans la méthodologie de test. Effectuer des tests de pénétration permis, simulant des attaques de phishing, vishing, SMishing, depuis les réseaux sociaux et via des accès à distance, afin d’identifier les mesures à prendre pour combler les vulnérabilités aux attaques d’ingénierie sociale (par l’installation de solutions de sécurité, la formation des employés, la modification de workflows ou de processus, etc.).
Que faire ensuite pour se protéger des attaques d’ingénierie sociale ?
Les attaques d’ingénierie sociale sont sournoises, mais il n’est pas impossible de les détecter et de les bloquer. En sachant quels indices repérer, quelles précautions prendre et quels outils peuvent être utiles, il est possible de compliquer nettement la progression de quiconque tente de s’introduire sur le réseau. La suppression des droits admin locaux, le contrôle applicatif et d’autres mesures permettent de réduire la surface d’attaque des entreprises et à les protéger des attaques d’ingénierie sociale.
À LIRE AUSSI :
