Comment faire de vos collaborateurs des alliés dans la prévention des cybermenaces ?

6 octobre 2021

Depuis plusieurs années, les cybercriminels développent des stratégies et des cyber attaques sophistiquées. Avec l’instauration du confinement durant la pandémie de la covid-19, les salariés ont migré du jour au lendemain d’un environnement informatique sécurisé (à l’intérieur de l’entreprise) vers un environnement peu ou non sécurisé (leur domicile). Gestion de la garde des enfants, utilisation du matériel informatique personnel dans un cadre professionnel avec le plus souvent une totale absence de sécurité (antivirus non mis à jour, connexion wifi avec un faible niveau de chiffrement). Toutes ces modifications du cadre professionnel ont engendré une perte de vigilance du salarié et une fatigue de l’usage de l’outil informatique. La sanction ne s’est pas faite attendre, selon l’anssi, le nombre de cyberattaques a augmenté de 400% en France en 2020.

Et pour cause, dans 70% des cas, ce sont les terminaux (poste de travail, téléphone mobile) qui sont ciblés par les pirates informatiques. Cependant, nous observons que l’email reste la porte d’entrée privilégiée par les pirates pour infecter votre machine puisque 91% des menaces utilisent ce moyen de communication comme premier vecteur d’attaque. C’est donc l’humain qui est ciblé par l’intermédiaire de campagnes de phishing, de spear phishing appelé également communément fraude au président. L’impact de ces attaques d’hameçonnages est multiple : intrusion sur les systèmes informatiques de l’entreprise, vol de mots de passe, détonation d’un ransomware puis demande de rançon, espionnage, vol de données.

La sensibilisation à la cybersécurité permet de reconnaître les stratégies des cybercriminels.

Derrière ce constat accablant, il reste quelques zones d’optimismes. En effet, selon l’analyse “Stats of phish 2021”, les pirates informatiques utilisent des scénarios d’attaques reconnaissables.

Ainsi en 2020, il est possible que vous ayez été ciblé par une tentative d’hameçonnage utilisant l’un de ces thèmes :

  • Livraison d’un colis imminent mais vous n’avez pas payé les 5 derniers euros de la facture (UPS, Colissimo, Fedex)
  • Notification de l’expiration prochaine de votre mot de passe Microsoft 365 / Office 365.
  • Un client vous partage une facture impayée à l’aide d’un lien Google Drive ou One Drive.
  • Notification d’un nouveau message vocal reçu en pièce-jointe de l’email.
  • Offre pour l’achat de masques ou d’un stock de gel hydroalcoolique.
  • Notification de l’expiration prochaine du nom de domaine de votre entreprise.

Avec une campagne de sensibilisation à la cybersécurité, un salarié a les bons réflexes pour détecter la tentative d’usurpation.

Sans sensibilisation à la cybersécurité, les salariés peuvent devenir une menace interne pour l’entreprise.

90% des incidents de sécurité sont dus à une erreur d’origine humaine.

  • Un partage de fichier contenant des données sensibles sur internet qui se retrouve indexé à la vue de tous sur Google.
  • La réutilisation d’un mot de passe utilisé pour son usage professionnel sur les réseaux sociaux dans le cadre personnel.
  • La création d’un mot de passe à partir de la date de naissance de ses enfants ou du nom de son animal de compagnie.

De multiples scénarios démontrent que les cybercriminels n’ont pas besoin d’aller chercher bien loin les informations permettant d’accéder aux réseaux informatiques de votre entreprise. Appelée ingénierie sociale, cette étape permet d’extraire des informations déterminantes à la compromission du compte de la victime. En se basant sur votre présence sur les réseaux sociaux, le hacker identifie des informations lui permettant d’usurper l’identité d’un collaborateur ou tout simplement de déduire votre mot de passe. Même si sur le papier cela semble de la science-fiction, ce scénario de cyber-attaque est malheureusement bien réel.

En avril 2021, 533 millions d’informations relatives aux utilisateurs du réseau social Facebook ont fuité sur internet.

Si vous êtes utilisateur de Facebook, l’ensemble de vos informations personnelles (nom, prénom, lieux de vie, nom de votre employeur, numéro de téléphone, email) figurent dans cette gigantesque fuite de données.  Le résultat ne s’est d’ailleurs pas fait attendre, puisque des campagnes de phishing par SMS (smishing) ont inondé les réseaux des opérateurs français quelques semaines plus tard.

L’humain est le premier rempart contre les cybermenaces.

Comme nous l’avons vu, la période du covid-19 et le choc de digitalisation subi par les entreprises ont permis de souligner une réalité. Les entreprises ont massivement investi dans des outils de sécurité informatique pour sécuriser les salariés au sein de l’entreprise mais n’avaient pas ou trop peu mis en place une solution de sécurisation pour sécuriser les salariés en dehors de l’entreprise. Dès l’instauration du confinement, les utilisateurs ont été instantanément ciblés par les hackers. C’est pourquoi l’entreprise doit mettre l’humain au centre de la politique de sécurité. Au travers d’une politique de sensibilisation à la cybersécurité, les salariés vont développer une culture de la cybersécurité au travers de plusieurs thématiques:

1/ Connaître et comprendre les termes de la cybersécurité.

Qu’est un mail de phishing ? Que signifie le terme spear-phishing ? Quelle est la différence entre un malware et un ransomware ? Pour adopter les bons réflexes et savoir anticiper les menaces, le salarié doit comprendre les attaques qui peuvent le cibler.

2/ Avoir une bonne hygiène informatique.

L’hygiène informatique définit les bonnes pratiques que le salarié doit appliquer dans le cadre de l’utilisation de l’outil informatique. Ne pas écrire son mot de passe sur un post-it, ne pas cliquer sur une pièce-jointe d’un expéditeur inconnu ou encore ne jamais brancher une clé USB inconnue font par exemple partie des bonnes pratiques à appliquer.

3/ Savoir reconnaître une tentative de phishing.

La reconnaissance d’un email de phishing est déterminante dans la prévention des attaques. Au travers de fausses campagnes de phishing internes, Maiano informatique sensibilise vos collaborateurs à la reconnaissance de ces menaces.

Avec notre offre B’Mote Protect :

  • Evaluez les connaissances, sensibilisez et formez vos collaborateurs sur les cyber-menaces
  • Sécurisez vos outils de messagerie
  • Sécurisez vos postes et serveurs
  • Générez des mots de passe forts