Les systèmes d’exploitation et les logiciels informatiques d’aujourd’hui sont dotés d’une sécurité intégrée plus sophistiquée que jamais. Dans la plupart des organisations, cependant, les personnes qui utilisent ces systèmes n’ont pas les connaissances nécessaires pour faire face aux menaces toujours plus sophistiquées qui visent vos précieuses données. En fait, désormais, la majorité des infections par des logiciels malveillants sont le résultat direct de stratagèmes d’ingénierie sociale exploités par les pirates informatiques.
L’ingénierie sociale consiste à manipuler les employés afin d’accéder aux systèmes de l’entreprise et à des informations privées. Selon le rapport 2014 Cyber Security Intelligence Index d’IBM Security Services, 95 % des brèches sont dues à une erreur humaine. Pour les cybercriminels, il s’agit de la méthode la plus simple pour obtenir l’accès à un système privé de l’entreprise.
La sensibilisation des employés aux tactiques d’ingénierie sociale est essentielle pour protéger les données de votre entreprise. Voici un aperçu des escroqueries courantes pour sensibiliser votre personnel.
Le phishing
Il s’agit de la principale tactique exploitée par les pirates informatiques d’aujourd’hui. La principale façon dont les hameçonneurs frappent est le courrier électronique, mais ils peuvent aussi le faire sous forme de chat, de publicités sur des sites Web et d’usurpations d’identité sur des sites Web. L’hameçonnage est efficace en créant un sentiment d’urgence ou de peur pour susciter une réponse. Soyez toujours méfiant et ne répondez jamais à des courriels provenant d’expéditeurs que vous ne reconnaissez pas. Ces courriels vont souvent directement dans votre dossier de spam, alors faites particulièrement attention à ne pas libérer les messages de votre quarantaine. Un seul courriel de phishing mal identifié suffit pour infiltrer une entreprise. McAfee a réalisé un sondage auprès de 30 000 utilisateurs professionnels dans 49 pays. Seuls 6 % des répondants ont correctement classé tous les courriels comme légitimes ou de phishing. Quatre-vingts pour cent des employés ont été victimes d’au moins un courriel de phishing. Si vous pensez que votre message est du phishing, appuyez sur Alt-F4 ou sur le «X» en haut à droite au lieu de «Annuler» ou «Fermer».
L’appât
Comme pour le phishing, les appâteurs vous incitent à fournir des informations ou à visiter un site web infecté en offrant quelque chose d’alléchant en échange. L’appât peut offrir un contenu numérique tel qu’un téléchargement gratuit de musique ou de logiciels. Une technique courante d’appât hors ligne consiste à laisser un périphérique de stockage USB de marque sur le lieu de travail ou dans un lieu public pour qu’un utilisateur final le trouve. Une fois l’appât pris, le logiciel malveillant est livré directement dans l’ordinateur de la victime.
Prétextage
Le prétextage consiste pour un pirate à créer un faux sentiment de confiance avec la victime en se faisant passer pour un collègue ou une figure d’autorité au sein de l’entreprise. Par exemple, un pirate peut envoyer un e-mail ou un message de chat en se faisant passer pour le responsable du support informatique qui a besoin de données privées afin de se conformer à un audit de l’entreprise (qui n’est pas réel). Le succès d’un faux-semblant dépend de la crédibilité de l’attaquant. L’attaquant peut avoir des fiches de tarifs pour les logiciels qu’il «vend» et passer du temps à faire des recherches sur votre persona pour paraître dans le rôle afin de gagner votre confiance.
Quid Pro Quo
On parle de quelque chose pour quelque chose lorsqu’un pirate offre un service en échange de données privées. Par exemple, un employé peut recevoir un appel téléphonique du pirate se faisant passer pour un spécialiste informatique offrant une assistance informatique pour un faux problème informatique. Le criminel pourrait guider l’employé dans la désactivation temporaire de son logiciel antivirus, lui permettant ainsi d’installer un «correctif» sur son ordinateur qui est en réalité malveillant.
Vishing
On parle de Vishing lorsqu’un hacker obtient des informations ou influence une action par téléphone. Comme le phishing, l’objectif de ces attaquants est de recueillir des informations précieuses qui pourraient compromettre les données de votre entreprise. Le spoofer peut falsifier son identifiant d’appelant pour se faire passer pour une entreprise ou un collègue légitime.
Tailgating
Le tailgating consiste à ce qu’une personne autorisée traque physiquement un employé pour avoir accès à une zone restreinte. Un exemple courant est lorsque le criminel demande à un employé de tenir la porte ou l’ascenseur, en prétendant qu’il a oublié sa carte d’identité. Il peut aussi demander à «emprunter» un ordinateur portable ou un téléphone pendant quelques minutes, pendant lesquelles le pirate installe un logiciel malveillant ou vole des données.
La formation des employés est un élément essentiel de votre plan de sécurité. Les employés doivent être éduqués sur la façon de repérer les attaques malveillantes et sur ce qu’ils doivent faire s’ils ont des soupçons sur un courriel ou un appel téléphonique reçu. La meilleure technologie de sécurité n’est complète que si vos employés comprennent leur rôle dans la sauvegarde des données de l’entreprise.
