Le facteur humain, maillon faible de la sécurité informatique

Ismet Géri
Directeur de Proofpoint pour la France et l’Europe du Sud

La dernière étude que nous avons menée montre que la plupart des attaques informatiques sont rendues possibles par des failles humaines. Les résultats révèlent notamment qu’au cours des 12 derniers mois, 76 % des employés en charge de la sécurité et des opérations informatiques ont indiqué que leur entreprise avait été victime de logiciels malveillants. Des logiciels qui n’ont pu être bloqués par les solutions déjà à leur portée tels que les antivirus. Il apparaît aussi que 95 % des attaques ciblées de type APT (Advanced Persistent Th reat) ont été perpétrées via l’envoi de courriers électroniques de phishing à des entreprises. Le nombre de ces attaques très sophistiquées ne cesse d’augmenter, notamment à cause de failles humaines.

Les attaques les plus avancées tirent parti aussi bien des failles humaines que des failles système. Ces attaques atteignent leur but parce que les gens cliquent sur les URL douteuses, et que les équipes en charge de la sécurité ne disposent pas de suffi samment de temps pour déterminer la cible et la manière dont l’attaque est perpétrée. Quelques-unes de ces attaques seront contrecarrées grâce à des passerelles, au sandboxing et à d’autres technologies. Cependant, du fait de leur précision et de leur profusion, les dernières techniques, comme les attaques de type « longlining », parviennent à passer outre ces protections. Connaître tous les rouages des logiciels malveillants ne suffit pas à protéger son entreprise. Il faut savoir comment les employer en arrivant à cliquer sur des URL malveillantes.

QUI CLIQUE, OÙ, QUAND ET POUR QUELLE RAISON ?

La connectivité sociale est un bon appât. Les courriers électroniques se rapportant aux réseaux sociaux, à des achats eff ectués en ligne, ou mettant les utilisateurs en garde contre des sommes d’argent prétendument dues, se révèlent particulièrement attrayants. LinkedIn décroche d’ailleurs la palme avec deux fois plus de clics induits lorsque celui-ci est mentionné dans de fausses invitations à se connecter.

Il s’avère également que le risque est latent : plus d’un utilisateur sur 15 clique sur une URL douteuse plus d’un mois après la réception du message, souvent envoyé pendant les heures de travail. Bien que la mobilité soit une notion incontournable, les appareils mobiles ne sont pas nécessairement concernés : 90 % des clics sur des URL dangereuses ont été eff ectués depuis un ordinateur fixe ou portable, qui n’était pas protégé par le pare-feu de l’entreprise dans 20 % des cas.

SE PRÉMUNIR CONTRE LES RISQUES

En fait, aucun employé n’est totalement à l’abri « du clic dangereux ». Il devient de plus en plus difficile pour les utilisateurs de faire la distinction entre un message légitime et un message qui ne l’est pas. Tout le monde fait des erreurs et un seul clic suffi t pour que tout le système de l’entreprise soit piraté. On pense généralement que, pour réduire les risques, il est surtout nécessaire de s’intéresser aux personnes qui cliqueront de manière répétée. Or, ce n’est pas le cas : le rapport Proofpoint montre que 40 % des clics sont dus à des personnes qui n’auraient cliqué qu’une seule fois. Il est donc nécessaire de former les employés, bien que cela ne soit pas suffisant. C’est la raison pour laquelle l’utilisation de systèmes supplémentaires est vivement recommandée, ainsi que l’adoption de modèles de sécurité de type Big data permettant de détecter en avance les courriers électroniques douteux.