Nos collaborateurs continuent à jouer un rôle déterminant dans les cyberattaques modernes, quelle que soit la technique employée (menaces internes, compromissions de comptes, attaques de phishing et de malwares ciblées, etc.). Le moindre clic indésirable ou téléchargement hâtif peut exposer nos entreprises à des fuites de données, une atteinte à la réputation et des interruptions de service.
Pour protéger nos collaborateurs et nos données, nous devons faire en sorte de briser la chaîne d'attaque le plus tôt possible, avant que les cybercriminels ne franchissent le périmètre de sécurité. Dans cet article, je soulignerai l'importance de l'instauration d'une culture de la sécurité informatique pour atteindre cet objectif et le rôle majeur que jouent les utilisateurs dans ce processus.
Le facteur humain dans la chaîne d'attaque
Initialement inventé par Lockheed Martin, le terme « chaîne d'attaque » ou « chaîne de frappe » désigne les différentes étapes du déploiement d'une cybermenace. L'idée est d'examiner en détail la manière dont les cybercriminels établissent le contact, dont les charges virales malveillantes sont distribuées et exécutées, dont les données sont exfiltrées, etc.
Une fois que vous avez divisé une attaque en phases, les équipes de sécurité peuvent évaluer leurs mécanismes de détection, leurs contrôles de protection et leurs plans de réponse à chaque étape, plutôt que de considérer une cybermenace comme une attaque amorphe d'envergure qu'il faut tenter de prévenir.
Les attaques ciblant les personnes n'ont rien de nouveau. Les cybercriminels établissent un profil pour déterminer qui est susceptible d'avoir accès aux données ou aux identifiants de connexion sur lesquels ils veulent mettre la main. Une fois leurs cibles identifiées, les cybercriminels cherchent le meilleur moyen de les compromettre, que ce soit directement par email ou via les réseaux sociaux, ou en piégeant un tiers de confiance.
Dans la plupart des cas, les attaques sont véhiculées par la messagerie, un vecteur facile, accessible, peu coûteux et pouvant être déployé à grande échelle. Il s'agit de l'outil idéal pour les cybercriminels. Les informations disponibles sur les réseaux sociaux sont souvent utilisées à cette étape pour personnaliser les messages en fonction des centres d'intérêt de la cible, afin d'exploiter davantage le facteur humain. Face à toutes ces techniques d'ingénierie sociale, il est bien trop simple pour l'utilisateur de se laisser piéger.
Avec un compte compromis, un cybercriminel peut se déplacer latéralement au sein des réseaux et cibler d’autres personnes en vue d'élever les privilèges d'administrateur. Le cybercriminel sera alors en possession d'un compte interne légitime que les autres utilisateurs ne suspecteront pas d'être compromis.
La défense commence par la sensibilisation
Les cyberattaques centrées sur les personnes nécessitent une défense qui l'est tout autant. La sensibilisation constitue la première étape pour ériger une telle défense. Les utilisateurs doivent comprendre les risques auxquels ils sont exposés et comment ils doivent se comporter lorsqu'ils y sont confrontés. C'est la base.
Tout comme nous devons comprendre les bases du code de la route et des panneaux de signalisation avant de pouvoir conduire, vos collaborateurs doivent se familiariser avec les fondements de la sécurité informatique avant de pouvoir défendre vos données.
Mais ce n'est évidemment pas suffisant. La sensibilisation est une chose, le comportement réel en est une autre.
Pour reprendre l'analogie de la conduite, ce n'est pas parce que vous avez conscience qu'il existe une limite de vitesse de 50 km/h que vous savez exactement quand elle s'applique ou que vous allez la respecter. C'est la raison pour laquelle nous avons des panneaux de signalisation, des radars et une police de la route. Leurs équivalents dans le domaine de la cybersécurité comprennent le contenu de sensibilisation, les tests de compétences et les simulations de phishing permettant de déterminer si nos collaborateurs se comportent comme ils le devraient.
Mais que font-ils lorsque personne ne les observe ? Comment réduire le risque que nos collaborateurs enfreignent les règles lorsqu'ils ont peu de chances de se faire prendre ? Cela revient à se demander pourquoi de nombreux conducteurs respectent les limites de vitesse alors que personne ne les surveille. En général, c'est une question d'habitude et d'attentes de la société — ou de culture. Il nous faut adopter la même approche pour la cybersécurité.
L'épine dorsale de la culture de la sécurité informatique
Un bon point de départ pour instaurer une culture de la sécurité informatique dans votre entreprise consiste à rappeler à vos collaborateurs les règles en vigueur et leurs responsabilités.
Plus vous voyez un panneau de limite de vitesse à 30 km/h, plus vous avez conscience du fait que vous devriez conduire à 30 km/h. Il en va de même pour les formations régulières et les ressources visibles axées sur les bonnes pratiques de sécurité informatique. Cette formation de sensibilisation à la sécurité informatique vous permet de vous assurer que vos collaborateurs savent comment ils doivent se comporter.
Il convient ensuite de se concentrer sur la raison pour laquelle c'est important. Les discussions sur la différence de mortalité entre 30 km/h et 50 km/h, les explications sur la présence de passages piéton à proximité d'écoles ou les taux d'accidents antérieurs dans des zones à risque témoignent des conséquences potentielles d'une vitesse trop élevée. Faites passer ce message et vos utilisateurs comprendront qu'adopter les bons comportements est indispensable.
Enfin, nous souhaitons que ces règles soient respectées par le plus grand nombre, et que la société accepte les personnes qui décident de s'y conformer et fasse pression sur celles qui les enfreignent. Cette pression peut être subtile, mais efficace. Un utilisateur n'a pas envie d'être le seul à griller un stop alors que tout le monde s'arrête.
L'analogie n'est pas parfaite — peu le sont. Toutefois, en instaurant une culture, que ce soit de la sécurité informatique ou de la conduite, nous pouvons augmenter les chances que les personnes fassent les bons choix, même si elles ne sont pas surveillées par le RSSI (ou la police). Si vos collaborateurs se comportent de cette façon, tous les membres du personnel de votre entreprise deviendront des champions de la sécurité informatique. Tout le monde souhaite faire les bons choix aussi souvent que possible, ce qui vous offre une base solide pour lutter contre les menaces de cybersécurité.
Apprenez à vos collaborateurs à briser la chaîne d'attaque
Une culture solide de la sécurité informatique est sans doute la meilleure défense contre les cyberattaques ciblées centrées sur les personnes. Mais l'instauration d'une telle culture prend du temps.
Premièrement, vous devez comprendre où vous en êtes en termes de sensibilisation. Vous pourrez ensuite vous concentrer sur les formations, le développement des connaissances, ainsi que la compréhension et l'établissement des bases pour votre stratégie de cybersécurité. Vous devez donc mettre en place des formations obligatoires régulières, tenant compte des menaces actuelles, pour les personnes qui en ont le plus besoin.
Plus vos collaborateurs en savent sur les cybermenaces, plus ils seront à même de les tenir à l'écart et plus les comportements dangereux seront éradiqués rapidement. Ce n'est qu'à ce stade que vous pourrez instaurer une culture de la sécurité informatique à même de briser la chaîne d'attaque avant que votre périmètre ne soit compromis.
Découvrez comment Proofpoint peut vous aider à briser la chaîne d'attaque. Assurez-vous également de télécharger le rapport State of the Phish 2023 de Proofpoint pour en savoir plus sur les cybermenaces les plus redoutables au niveau régional et découvrir comment transformer vos utilisateurs en votre meilleure ligne de défense.