Depuis longtemps, Proofpoint soutient que les personnes, et non les technologies, constituent la variable la plus critique pour la réussite d'une cyberattaque. Si, au fil des années, cette opinion tend à se généraliser, les événements de 2020 le prouvent de façon indéniable.
Pendant la pandémie, on a vu les équipes informatiques du monde entier se démener pour prendre en charge et sécuriser le télétravail face à la multiplication quasi instantanée des surfaces d'attaque et des points d'entrée.
Ces bouleversements ont offert une opportunité incroyable aux cybercriminels, qui se sont empressés de l'exploiter. À la mi-mars 2020, près de 80 % de toutes les attaques analysées chaque jour utilisaient des thèmes liés à la COVID-19. Qui plus est, la plupart des groupes cybercriminels surveillés par Proofpoint ont utilisé à un moment ou un autre du contenu lié à la pandémie au cours de l'année.
En 2021, alors que la plupart d'entre nous maîtrisent désormais les nouveaux modes de travail, les leurres utilisés par les cybercriminels ont évolué. Mais pas les attaques visant sans relâche les collaborateurs.
Ces attaques centrées sur les personnes nécessitent une défense qui l'est tout autant. Mais pour que cela soit possible, il est impératif de comprendre :
- Les principales vulnérabilités des utilisateurs
- Les méthodes utilisées par les cybercriminels pour les exploiter
- Les dommages causés par la compromission de comptes à privilèges
Mise à l'épreuve des utilisateurs
La sensibilisation des utilisateurs à la sécurité informatique représente la pierre angulaire d'une cyberdéfense efficace. Il est donc essentiel d'évaluer régulièrement leur capacité à repérer les menaces. Les simulations d'attaques de phishing représentent un aspect clé de cette stratégie.
Notre rapport annuel State of the Phish a analysé les réactions des utilisateurs face à plus de 60 millions d'emails de simulation d'attaque de phishing sur 12 mois en 2020. En comparant les taux d'échec moyens, nous avons pu déterminer les principales vulnérabilités des utilisateurs.
- 20 % des utilisateurs n'ont pas été capables de repérer des attaques de phishing ayant recours à des pièces jointes malveillantes.
- 12 % d'entre eux ont échoué aux tests basés sur des liens et ont cliqué sur des URL dangereuses.
- 4 % ont échoué aux tests basés sur la saisie de données, un type d'attaque qui dirige les utilisateurs vers une fausse page de connexion et leur demande de communiquer leurs identifiants.
Même s'il est indispensable de tester la sensibilisation des utilisateurs aux menaces courantes comme le phishing et le vol d'identifiants de connexion, il est important de noter que toutes les attaques réussies ne sont pas nécessairement des campagnes répandues.
Ainsi, la sténographie, qui consiste à dissimuler du code malveillant dans des images et d'autres types de fichiers, n'a été utilisée que dans quelques campagnes très ciblées. Ce type d'attaque génère par contre des taux de clics importants, supérieurs à un sur trois.
Les campagnes CAPTCHA malveillantes sont également assez rares, mais ont généré un taux de clics 50 fois plus élevé en 2020 qu'en 2019.
Connaissance de l'adversaire
Une fois que vous avez identifié les personnes les plus attaquées, il est temps d'apprendre à connaître vos adversaires. En 2020, Proofpoint a identifié 69 groupes cybercriminels actifs.
Les cybercriminels ont recours à un large éventail de techniques pour contourner les contrôles de sécurité, inciter les victimes à activer l'attaque et infecter les systèmes ciblés. Cependant, quelle que soit la méthode utilisée ou la raison de l'attaque, les techniques exigeant une interaction du destinataire avec une pièce jointe ou directement avec les attaques ont sensiblement augmenté.
Sans surprise, le vol d'identifiants de connexion continue d'occuper la tête du classement et représente près de deux tiers de tous les messages malveillants recensés l'année dernière. Si cette menace peut, à elle seule, faire pas mal de dégâts, elle peut également être le point de départ d'une attaque bien plus destructrice : le piratage de la messagerie en entreprise (BEC, Business Email Compromise).
Ce type de fraude par email constitue l'une des menaces les plus graves pour les entreprises en termes de dommages financiers. En effet, les attaques BEC représentent 44 % de toutes les pertes imputables à la cybercriminalité et ont coûté aux entreprises aux alentours d'1,8 milliard de dollars pour la seule année 20201.
Les ransomwares sont eux aussi en plein essor, avec une hausse de 300 % l'année dernière. Au total, nous avons recensé plus de 48 millions de messages susceptibles de servir de point d'entrée à des charges actives malveillantes.
Les chevaux de Troie d'accès à distance restent assez répandus, puisqu'ils étaient présents dans près d'un quart de toutes les campagnes email observées l'année dernière.
Protection des utilisateurs à privilèges
Les attaques à l'encontre d'un de vos collaborateurs peuvent avoir des conséquences dramatiques. Mais celles visant les utilisateurs disposant d'un accès privilégié aux réseaux, systèmes et données peuvent être encore plus catastrophiques.
Un utilisateur à privilèges compromis représente une menace interne majeure. Il est donc primordial de prendre toutes les mesures nécessaires pour sécuriser les comptes à privilèges. Le passage au télétravail, couplé à l'évolution de l'analyse à distance des journaux et des demandes d'accès, a encore compliqué la protection.
Les cybercriminels sont parfaitement conscients de la situation et sont déjà en train d'adapter leurs tactiques. Dès lors, les entreprises doivent elles aussi s'adapter et surveiller un large éventail d'alertes d'origine interne, dont les cinq grandes catégories suivantes :
- Connexion d'une clé USB non approuvée
- Copie de dossiers ou fichiers volumineux
- Exfiltration d'un fichier surveillé vers le Web par chargement
- Ouverture d'un fichier texte susceptible de contenir des mots de passe
- Téléchargement de fichiers avec des extensions potentiellement malveillantes
Mise en place d'un système de défense centré sur les personnes
Les cyberattaques sont inévitables. Mais la plupart d'entre elles ne peuvent aboutir sans intervention humaine. C'est pourquoi toutes les entreprises doivent placer les personnes au cœur de leur cyberdéfense.
Déployez une solution qui vous permettra d'identifier les personnes ciblées, leur réaction et les méthodes utilisées. Pour en savoir plus, lisez le rapport Le facteur humain 2021.
1 Source : FBI, « 2020 Internet Crime Report » (Rapport 2020 sur la cybercriminalité), mars 2021.