Couverture du journal du 22/01/2022 Consulter le journal

Cybersécurité : contrer l’ingénierie sociale

Loin des cyber-attaques sophistiquées, l’ingénierie sociale table sur l’absence de méfiance des utilisateurs pour leur extorquer des données confidentielles, voire infecter leur ordinateur. Si elle reste difficile à détecter, certaines mesures permettent de la prévenir.

Yann DANIEL, cybern'éthique, ingénierie

Yann DANIEL, dirigeant de Cybern’éthique, spécialisée dans la sécurité informatique, à Mont-de-Marsan © JPEG STUDIOS

Le social engineering-ingénierie sociale en français- est une stratégie utilisée par les cybercriminels pour obtenir des informations auprès de personnes sans qu’elles s’en rendent compte. Contrairement à d’autres attaques, elle ne concerne pas la sécurité du réseau, mais relève de la manipulation psychologique d’un être humain pour lui soutirer les informations souhaitées en usant de différents leviers. L’autorité : l’attaquant peut par exemple se présenter au téléphone comme un administrateur réseau pour obtenir de la victime les identifiants de son compte et dérober des données. L’intimidation : en usurpant l’identité d’un cadre de l’entreprise pour demander aux utilisateurs de divulguer des informations sensibles.

L’urgence : souvent utilisée par les demandeurs de cyber-rançons. Les victimes voient le compte à rebours s’exécuter sur leurs systèmes infectés et savent que le fait de ne pas prendre la décision requise dans le délai imparti peut entraîner la perte de données importantes. L’utilisateur trompé clique alors sur le lien pour agir immédiatement. La confiance : après s’être présenté comme un expert sécurité de l’entreprise prestataire, l’attaquant guide la victime dans une série d’étapes pour « afficher et désactiver les erreurs système » et envoie ensuite un e-mail contenant un fichier malveillant en la persuadant de le télécharger (phishing). Grâce à ce processus, l’attaquant installe avec succès des logiciels malveillants sur le système de la victime, l’infectant et permettant à l’attaquant de voler des informations importantes.

D’IMPORTANTS PRÉJUDICES POUR L’ENTREPRISE

Autant de menaces qui peuvent mener à d’importants préjudices pour l’entreprise comme le détournement de ses données financières, des informations sur les technologies utilisées ou sur ses produits, la perte de confidentialité des données sur ses clients ou ses partenaires… Difficiles à détecter, les tentatives d’ingénierie sociale, souvent bon marché et faciles à mettre en œuvre, restent difficiles à prévenir. La clé de la réussite pour l’attaquant : recueillir en amont le maximum d’informations sur l’organisation cible et sur les personnes liées à son périmètre, telles que les agents de sécurité, les réceptionnistes, les employés du service d’assistance, les techniciens d’intervention, les utilisateurs ou les clients. Sur le ou les sites internet de l’entreprise, il récoltera les noms et adresses e-mail des employés. Sur les publicités diffusées dans les médias, les informations sur les produits et les offres. Sur les forums ou les blogs, les informations que les salariés partagent sur l’entreprise…

La formation des employés sur la façon de reconnaître les techniques d’ingénierie sociale et d’y répondre peut minimiser leurs chances de succès

COMMENT PRÉVENIR LES ATTAQUES ?

S’il n’existe pas de mécanisme de sécurité unique capable de protéger des techniques d’ingénierie sociale, la sensibilisation et la formation des employés sur la façon de les reconnaître et d’y répondre peuvent minimiser leurs chances de succès. Pour se prémunir des attaques d’ingénierie sociale, les entreprises doivent développer des politiques et des procédures efficaces.

Politiques de mot de passe

  • Changer régulièrement les mots de
  • Éviter les mots de passe faciles à Il est possible de deviner les mots de passe à partir des réponses à des questions d’ingénierie sociale telles que « où êtes-vous né ? »,

« quel est votre film préféré ? » ou « comment s’appelle votre animal de compagnie ? ».

  • Choisir des mots de passe longs (au moins 12 caractères) et complexes (utilisant divers caractères alphanumériques et spéciaux).
  • Ne divulguer les mots de passe à personnes.

La sécurité des mots de passe inclut des conseils sur la gestion appropriée des mots de passe :

  • Ne pas utiliser le même mot de passe pour des comptes différents.
  • Éviter de stocker les mots de passe sur un support ou de les écrire sur un bloc-notes ou un post-it.
  • Ne pas communiquer les mots de passe par e-mail ou SMS.
  • Verrouiller ou éteindre l’ordinateur avant de s’en éloigner.
ingénierie, cyber-sécurité

© Shutterstock

Politiques de sécurité physique

En matière de sécurité physique, plusieurs mesures peuvent s’avérer opportunes.

  • Restreindre l’accès à certaines zones d’une organisation pour empêcher les utilisateurs non autorisés de compromettre la sécurité des données sensibles.
  • Éliminer les vieux documents contenant des informations précieuses en utilisant des déchiqueteuses. Cela empêche la collecte d’informations par des attaquants utilisant des techniques telles que la plongée dans des bennes à ordures (dumpster diving).

Stratégie de défense : sensibiliser et former

  • Mener en interne des exercices d’ingénierie sociale en utilisant différentes techniques afin d’examiner comment les employés pourraient réagir à de véritables attaques d’ingénierie sociale.
  • Analyse des écarts : à l’aide des informations obtenues à partir de la campagne d’ingénierie sociale, une analyse des écarts évalue l’organisation en fonction des pratiques et des menaces émergentes.
  • Stratégies de remédiation : en fonction du résultat de l’évaluation dans l’analyse des écarts, les organisations élaborent un plan de remédiation détaillé pour atténuer les faiblesses ou les lacunes trouvées à l’étape précédente. Le plan se concentre principalement sur l’éducation et la sensibilisation des employés en fonction de leurs rôles.

Les entreprises doivent développer des politiques et des procédures de sécurité efficaces

Les contre-mesures supplémentaires contre l’ingénierie sociale

  • Créer des comptes administrateur, utilisateur et invité avec des niveaux d’autorisation respectifs.
  • S’assurer que les informations sensibles sont sécurisées et que les ressources ne sont accessibles qu’aux utilisateurs autorisés.
  • Classer les informations en tant que top secret, confidentiel, à usage interne uniquement et à usage public, par exemple.
  • Au lieu de mots de passe fixes, utiliser l’authentification à double facteur pour les services à haut risque.
  • Assurer une mise à jour régulière des logiciels : les entreprises doivent s’assurer que le système et les logiciels sont régulièrement corrigés et mis à jour, car les attaquants exploitent des logiciels non corrigés et obsolètes pour obtenir des informations utiles pour lancer une attaque.

Cybern’éthique 

Publié par