Introducción
Avec l’utilisation croissante des appareils personnels à des fins professionnelles (BYOD) et la prolifération des attaques par ingénierie sociale, les cybermenaces peuvent venir de n’importe où. Et souvent de là où on ne les attend pas. Toujours plus répandues, ces attaques gagnent également en complexité et en efficacité. À tel point que même les entreprises les mieux protégées ne sont pas à l’abri des conséquences potentiellement catastrophiques d’une attaque d’ingénierie sociale, voire d’une mauvaise gestion de son parc informatique.
Le facteur humain, maillon faible de la sécurité
Dans les entreprises de toute taille, l’élément humain est souvent une porte d’entrée privilégiée pour les cybercriminels. Côté équipes IT, la détection de certaines vulnérabilités requiert un niveau de technicité élevé qui leur rend la tâche difficile. Mais ce sont souvent d’autres failles, plus faciles à exploiter et souvent négligées, qui représentent la voie royale pour les attaquants.
Parmi elles, les collaborateurs peuvent constituer une proie facile pour les cyberfraudeurs, car ils s’exposent souvent malgré eux aux arnaques les plus sophistiquées (comme les attaques par smishing ou les appels robotisés), ou prennent des risques inconsidérés en contournant les outils de sécurité en place pour gagner en productivité. Dans le contexte actuel de travail hybride ou en distanciel, les entreprises ont instauré des pratiques BYOD visant à améliorer la productivité de leurs équipes et à réduire leurs coûts matériels, même si les résultats restent discutables dans ces deux domaines. Si avantageuse qu’elle puisse être, l’approche BYOD n’en comporte pas moins un certain nombre de risques potentiellement élevés.
Ingénierie sociale : toujours plus intelligente, toujours plus dangereuse
Entre la sophistication croissante des manipulations psychologiques et les deepfakes capables d’imiter la voix d’une personne à l’identique, l’ingénierie sociale peut prendre au piège les utilisateurs même les plus avertis.
Lorsqu’ils s’en prennent à une entreprise, les malfaiteurs cherchent à identifier son point faible – l’humain dans la plupart des cas. Employé mécontent, perte d’un ordinateur personnel utilisé pour le travail, cadre dirigeant communiquant sans s’en douter avec un usurpateur… ce ne sont pas les scénarios qui manquent. Quelle que soit sa cible, le cybercriminel a le choix des armes : phishing (e-mail/messagerie), vishing (téléphone/voix) ou smishing (texte/SMS). Fin 2022, c’est tout le réseau d’un leader mondial du VTC qui a ainsi été compromis. Dans ce cas précis, l’attaquant est passé par un intervenant externe qui utilisait un ordinateur personnel à des fins professionnelles. Après être parvenu à installer un malware sur cette machine, le hacker a acheté le mot de passe professionnel de sa victime sur le dark web. Au terme de plusieurs rejets de requêtes d’authentification multifacteur, le sous-traitant a finalement accepté, ce qui a permis au cybercriminel d’accéder au réseau1.
Autre cas, un des plus grands groupes de médias et de divertissement au monde a récemment dû immobiliser tous ses systèmes informatiques pendant 10 jours2. Des hackers avaient en effet usurpé l’identité d’un de ses employés, avant de convaincre le support IT de réinitialiser le mot de passe de la victime. Après quelques recherches rapides sur les réseaux sociaux, les malfaiteurs sont ainsi parvenus à prendre le contrôle des systèmes informatiques de cette société pesant plusieurs milliards de dollars. Si ces cyberpirates peuvent prendre au dépourvu des groupes mondiaux dotés de moyens quasi illimités, comment imaginer qu’ils ne puissent s’attaquer aux entreprises de taille intermédiaire ?
Plus les hackers sont infiltrés profondément dans votre réseau, plus leur pouvoir de négociation est fort pour exiger une rançon, voire divulguer ou vendre vos données sensibles sur le dark web. Or ces attaques peuvent avoir des effets potentiellement dévastateurs sur la réputation d’une entreprise, avec notamment la chute du cours de son action ou l’exode de clients préoccupés par la confidentialité de leurs données.
Corporate usage of personal devices is proving costly.
La réalité, c’est que l’humain choisit souvent instinctivement la solution du moindre effort. Et ça, les entreprises doivent en tenir compte. L’utilisation croissante des appareils personnels pour le travail n’est toutefois pas sans risque. Les entreprises y perdent en visibilité, mais aussi en contrôle sur leurs processus métiers et leur sécurité. Bien souvent, l’utilisateur agit en toute bonne foi. Ses actions sont guidées par un désir bien humain de rapidité et de praticité. Du côté de l’entreprise, même si elle peut offrir des avantages en termes de productivité, l’utilisation des terminaux personnels risque de compromettre l’intégrité de son environnement. Sans parler des risques d’infraction aux réglementations et de sanctions financières.
Plusieurs affaires de ce type ont ainsi fait grand bruit dans le secteur des services financiers aux États-Unis en 2021. La Securities and Exchange Commission (SEC) a condamné plusieurs prestataires de services financiers à de lourdes amendes, allant de 9 M$ à plus de 100 M$. En cause : le manque d’encadrement de l’utilisation des services de messagerie hors canal par les collaborateurs d’une part, et le non-respect en interne des protocoles de communications officielles d’autre part3. Pour les entreprises incriminées, les répercussions ont été désastreuses, tant du point de vue réputationnel que financier.
Le risque humain ne doit pas être sous-évalué. Comme le montrent ces déconvenues récemment relayées dans les médias, la digisphère est réel espace de dangers. Pour les entreprises, le défi consiste à mener un combat permanent contre les attaquants et l’utilisation abusive d’appareils personnels, tout en minimisant l’onde de choc d’une éventuelle compromission sur les opérations métiers.
L’humain, son PC ou son smartphone : des cibles faciles
C’est un fait : le facteur humain est souvent le maillon faible de la sécurité. Mais concrètement, comment agissent les attaquants pour exploiter ces faiblesses ? Le rapport« Data Breach Investigations Report » (DBIR) 2024 de Verizon se penche sur un certain nombre de vecteurs de menaces.
People problems
Dans une entreprise, l’élément humain englobe les employés et les dirigeants, mais également les clients et les prestataires externes. Tous peuvent être ciblés par des e-mails de phishing de masse, dont les ficèles sont plus ou moins grossières. Mais aujourd’hui, on observe également une hausse du spear-phishing (ciblant des individus spécifiques), du whaling (spear-phishing ciblant des cadres dirigeants), du smishing (phishing par messages textuels/SMS) et vishing (phishing via des appels téléphoniques/messages vocaux). Et là, les taux de réussite sont beaucoup plus élevés. Ces types d’intrusions nécessitent généralement peu de connaissances techniques. Quelques recherches sur les réseaux sociaux et un minimum d’inventivité font souvent l’affaire.
- D’après le DBIR 2023 , 74 % des compromissions incluent le facteur humain, avec des individus plus ou moins directement impliqués de différentes manières : erreurs accidentelles, abus de privilèges, vols d’identifiants ou ingénierie sociale.
- Les cas de compromission de messagerie professionnelle – des actes de pretexting souvent combinés à des scénarios inventés ont presque doublé dans le pool de données analysées, comptant aujourd’hui pour plus de 50 % des incidents recourant à l’ingénierie sociale. Pour les entreprises visées, ces compromissions ont entraîné des pertes de 10,3 Md$ en 2022, comme le rapporte la cellule Internet Crime Complaint Center (IC3) du FBI.
Les failles technologiques
Ordinateurs personnels, appareils mobiles, systèmes réseau, infrastructure cloud, logiciels, applications... de nombreuses technologies peuvent faire l’objet de cyberattaques. Or, avec la généralisation du distanciel, 92 % des télétravailleurs font un usage professionnel de leurs ordinateurs et smartphones personnels4. Des appareils qu’ils utilisent également pour se divertir (réseaux sociaux, applications mobiles, etc.). D’où un risque accru. Pour les entreprises, cette confusion des genres représente un énorme défi, tant en termes de non-respect des politiques et réglementations que de fuites de données potentielles. Selon le Verizon Mobile Security Index, plus de 50 % des appareils mobiles personnels ont été la proie d’une attaque de phishing en 2022 – les attaques par texto multipliant par six à dix les risques de compromission (par rapport aux e-mails de phishing). Le problème, c’est que l’entreprise n’a souvent ni visibilité, ni contrôle sur ces terminaux personnels et leur utilisation. Dès lors, les collaborateurs interagissent parfois avec des cybercriminels sans même le savoir. Et lorsque l’entreprise détecte le problème, il est généralement trop tard.
- Si le vol de terminaux (ordinateurs portables, smartphones, etc.) représente un risque pour les entreprises, c’est surtout la perte d’appareils par leurs collaborateurs qui est susceptible de provoquer une compromission accidentelle.
- 78 % des employés utilisent des terminaux professionnels à des fins personnelles (réseaux sociaux, envoi d’e-mails, etc.). Et ils sont près de la moitié à prêter leurs appareils à des proches, comme l’indique le MSI de Verizon. Or, ce comportement apparemment anodin peut entraîner une compromission du réseau à l’échelle de l’entreprise dès lors que les terminaux ne sont pas protégés ni surveillés.
- L’utilisation d’équipements professionnels à des fins personnelles s’avère problématique pour les entreprises, sachant que ces appareils portables sont faciles à perdre et qu’ils contiennent d’énormes volumes de données.
BYOD : une fausse bonne idée ?
Certaines entreprises continuent pourtant d’accepter les risques inhérents au BYOD. Une partie d’entre elles considèrent que ce choix leur permet d’améliorer la productivité des employés ou de réduire les dépenses IT. Ce qu’elles ignorent en revanche, c’est le manque de contrôle sur ces équipements personnels et le risque qu’ils représentent. Et là, l’addition peut être très salée.
Autre facteur à prendre en compte : l’absence de gestion de la supply chain pour le BYOD et le CYOD (Choose your Own Device). Dans sa publication 800-124r2, le National Institute of Standards and Technology (NIST) rappelle que les employés utilisent parfois à leur insu des machines ayant été rootées, débridées à l’aide d’applications vulnérables, voire infectées par des malwares5. Le manque de traçabilité des appareils utilisés par les collaborateurs complique la tâche des équipes IT. On le voit, l’élément humain et le recours au BYOD peuvent coûter cher aux entreprises. Mais des solutions existent. Et c’est précisément sur ce terrain que Verizon intervient pour créer et optimiser des offres de sécurité complètes pour la sécurité des équipements de vos collaborateurs.
Chaque minute compte.
Envie d’aller droit à l’information qui vous concerne ? Abonnez-vous à notre newsletter pour recevoir des contenus instructifs, en phase avec vos centres d’intérêt et vos enjeux de croissance.
La solution Verizon
Menaces sur les secteurs réglementés
Chez Verizon, nous travaillons sans relâche au renforcement de la sécurité d’entreprises opérant dans différentes branches d’activité. Nous accompagnons notamment les acteurs de secteurs fortement réglementés (tels que les services financiers) pour 1) respecter un cadre règlementaire très strict et 2) déjouer des attaques d’ingénierie sociale toujours plus complexes. A minima, leurs collaborateurs devraient toujours travailler sur des équipements informatiques fournis par l’entreprise. En effet, l’usage d’ordinateurs personnels sans logiciel de conservation des données peut avoir de lourdes conséquences juridiques et financières, comme nous l’avons vu précédemment.
Rien qu’aux États-Unis, plus de 1,5 Md$ d’amendes ont été infligées depuis que la SEC a commencé à enquêter sur la tenue de registres des établissements financiers6. Parmi les firmes incriminées, 16 entreprises de Wall Street ont été condamnées à une amende de 1,8 Ms$
pour avoir permis à des employés de communiquer sur des opérations et des transactions sur des appareils personnels via textos/WhatsApp7. Malgré leur efficacité, les logiciels de gestion des appareils mobiles (MDM) ne garantissent pas une protection à 100 % des smartphones ou tablettes personnels. Dès lors, il incombe à l’utilisateur d’adopter les bons réflexes d’hygiène cyber.
Les équipements fournis par l’entreprise sont autrement plus sécurisés que les ordinateurs et smartphones personnels, sans compter qu’ils permettent à l’équipe IT d’avoir un meilleur contrôle, non seulement sur les communications internes/externes, mais aussi sur l’intégrité et la sécurité des appareils eux-mêmes. En équipant leurs collaborateurs d’appareils Verizon, les entreprises parviennent à des niveaux de protection et de contrôle de sécurité inatteignables sur des terminaux personnels.
Elles peuvent ainsi remédier aux vulnérabilités les plus répandues. Par exemple, beaucoup d’entreprises sont confrontées à des avalanches d’appels robotisés – une vraie plaie pour elles en termes de conformité. Pour les banques, la détection de ces appels automatisés s’avère toujours plus compliquée, notamment avec l’usage de deepfakes permettant aux cybercriminels de se faire passer pour des clients.
Pour lutter contre de telles attaques, Verizon propose des solutions de protection et d’authentification des appels et messages vocaux conformes aux réglementations.
Mais les services financiers ne sont pas les seuls acteurs réglementés à subir un feu d’attaques nourri. Les prestataires de santé sont également visés par l’ingénierie sociale, à commencer par le smishing et le vishing des personnels d’hôpitaux. Certains fournisseurs d’accès Internet (FAI) peu regardants sur les questions de sécurité peuvent en effet attribuer aux hackers des numéros qu’ils utiliseront pour mener leurs attaques.
Les entreprises peuvent aussi prendre les devants en faisant appel aux services de protection des dirigeants proposés par Verizon. Notre équipe de threat hunting parcourt le dark web afin de détecter et de supprimer des données d’identification personnelle de cadres et dirigeants d’entreprises (adresses e-mail, numéros de téléphone, adresses physiques...), lesquelles pouvant servir à des tactiques d’ingénierie sociale contre ces personnes, mais aussi leur famille et leurs proches.
Élaborer un plan de défense complet
Pour protéger votre réseau contre les attaques d’ingénierie sociale, vous devez commencer par bien cerner la nature des cyber-risques. Cette étape implique de définir les meilleurs moyens d’atténuer, de minimiser, de transférer ou d’accepter les risques identifiés. Étape cruciale s’il en est, cet audit vous permet d’inventorier vos assets informatiques, d’identifier vos entités à risque et de définir votre appétence au risque. À partir de là, il est beaucoup plus facile d’élaborer un plan de défense global dans la mesure où vous avez une idée précise de vos objectifs de sécurité, mais aussi des signaux à observer.
Votre plan de défense contre les attaques d’ingénierie sociale s’appuiera sur deux fonctions principales : la détection des menaces et l’application de mesures de confiance. Toutes deux ont la même importance pour détecter et neutraliser à la fois les menaces majeures et les vulnérabilités mineures.
Discipline à part entière de la cybersécurité, la détection des menaces a pour mission d’identifier et de traiter différents types de menaces dès qu’elles surviennent : cyberattaques, compromissions, violations de données et autres incidents. Le principe consiste à repérer, puis à bloquer les accès non autorisés, les malwares et autres tactiques d’ingénierie sociale. Quant à l’application des mesures de confiance, elle consiste à anticiper les attaques potentielles en faisant appel à des techniques telles que la gestion des identités, les mots de passe, le chiffrement, le contrôle d’accès et l’authentification. À elles deux, ces pratiques forment l’ossature d’un plan de défense anti-ingénierie sociale plus global, destiné à protéger les réseaux, applications, terminaux et identités.
Verizon propose la détection des menaces et l’application des mesures de confiance dans cinq grands domaines de contrôle : formation et sensibilisation à la sécurité, politique de sécurité mobile, contrôles de protection, détection/réponse et surveillance/tests portant sur les appareils, les applications, les identités et les réseaux.
Ingénierie sociale – Nos conseils pour élaborer un plan de défense
Visibilité, envergure et expérience : le triptyque gagnant
À l’image de Verizon, les fournisseurs réseau conscients des enjeux de sécurité se démarquent des acteurs traditionnels de la sécurité par leur capacité à fournir une vue d’ensemble du trafic, du parc d’équipements informatiques, des technologies et des utilisateurs. Verizon propose aux entreprises de toutes tailles une offre complète de solutions, notamment de reporting client, de surveillance continue des menaces et d’avertissements de sécurité. Avec Verizon, chaque donnée est ingérée, analysée puis transformée en information actionnable par nos clients.
Ces derniers peuvent désormais voir ce qui leur était autrefois invisible. Cette nouvelle perspective leur confère une visibilité complète sur la totalité des assets utilisés à un instant t, mais aussi sur les interactions entre eux. Nous nous appuyons sur cette vue d’ensemble pour permettre aux entreprises de gérer la totalité de leur environnement (des terminaux au réseau), ce qui leur permet d’appliquer différentes couches de contrôles de sécurité validés. Nos clients bénéficient ainsi d’une sécurité intégrée au niveau du réseau, reposant notamment sur des codes abrégés conçus pour fournir des identifications difficiles à usurper, l’envoi de SMS au 4040 pour bloquer des messages d’e-mail à texte indésirables, le signalement et le filtrage des messages de spam au 7726, l’attestation de voix sur IP (VoIP) via STIR/SHAKEN et la protection contre les attaques DDoS sur le réseau VoIP de Verizon.
Tôt ou tard, toutes les entreprises devront intégrer le contrôle de supervision en temps réel sur les terminaux des employés, seul garant d’une lutte réellement efficace contre des cybermenaces de plus en plus sophistiquées. Verizon rassemble tous les atouts pour combler cette ultime faille de sécurité, sachant que le BYOD ne permettra jamais d’atteindre un tel niveau de sécurité. Nous fournissons à la fois un dispositif de sécurité de base pour l’intégralité de notre réseau sans fil et des options de sécurité personnalisées pour les entreprises, que ce soit par le biais d’appareils d’entreprise ou via des services de sécurité dédiés. Nous capitalisons également sur notre parfaite maîtrise des problématiques liées à l’abandon du BYOD (défis de sécurité, problématique de coûts, complexité liée au développement de configurations et d’applications distinctes pour les terminaux personnels...) pour accompagner nos clients dans la constitution d’un parc d’appareils d’entreprise.
Verizon propose par ailleurs des solutions de cybersécurité sur mesure, facilement intégrables au plan de lutte contre l’ingénierie sociale des entreprises. En abandonnant le BYOD au profit d’une solution d’entreprise Verizon, vous bénéficiez de l’acuité indispensable pour détecter et évaluer les tactiques d’ingénierie sociale les plus récentes. Des prestations sur mesure vous permettent d’actionner des mécanismes de protection dédiés afin de protéger efficacement vos assets et de réduire les risques. Vous pourrez notamment compter sur l’assistance d’analystes sécurité spécialisés dans le threat hunting pour passer au crible les informations de nos clients au quotidien, puis identifier et répondre aux comportements anormaux et aux attaques. Ces résultats ne pourront toutefois être obtenus que si vos collaborateurs n’utilisent plus leurs appareils personnels, comme nous l’avons déjà souligné.
Avec Verizon, vous disposez d’une gamme de solutions conçues pour l’application des mesures de confiance et la détection des menaces. Cependant, tout doit commencer par un audit de risque. En ce sens, nos consultants vous aideront précisément à évaluer ces risques et vous conseilleront sur votre posture de sécurité, tant par rapport aux menaces majeures qu’aux risques courants.
En tant que fournisseur réseau et acteur de la cybersécurité, Verizon offre aux entreprises la combinaison parfaite entre d’une part une vue holistique sur l’activité, et d’autre part des stratégies de sécurité complètes. En choisissant Verizon, vous optez pour un réseau qui, adossé à des produits et services de sécurité clés, peut vous aider à protéger vos équipes, technologies et processus contre tous les types d’attaques, des plus ordinaires aux plus complexes. Pour dresser un bilan des risques d’ingénierie sociale au regard de votre politique d’entreprise en matière d’appareils mobiles, commencez par vous poser ces quelques questions :
- Comment les malwares, spywares ou vulnérabilités propres à un smartphone ou une tablette personnelle peuvent-ils affecter la visibilité, les opérations métiers et l’accès aux informations de l’entreprise ?
- Comment l’analyse forensique et les questions de consentement seront-elles traitées lorsqu’un appareil personnel est impliqué ?
- Les considérations sur la protection de la vie privée ont-elles été prises en compte dans le choix de l’entreprise (politique BYOD vs. usage d’appareils professionnels) ?
- Les contrôles d’accès conditionnel, leurs capacités disponibles et leurs failles ont-ils été évalués dans un environnement supervisé vs. BYOD ?
Pour en savoir plus sur les menaces et les bonnes pratiques de sécurité mobile, consultez le site du NIST dédié à la sécurité des terminaux mobiles.
Verizon propose aux entreprises un plan de défense personnalisé en cinq points pour lutter efficacement contre l’ingénierie sociale. Pour en savoir plus, contactez votre conseiller Verizon ou demandez à un spécialiste de vous contacter. https://www.verizon.com/business/fr-fr/contact-us
1 « Security update », Uber Newsroom, 16 septembre 2022. https://www.uber.com/newsroom/security-update
2. « MGM Resorts computers back up after 10 days as analysts eye effects of casino cyberattacks », The Associated Press, 21 septembre 2023. https://apnews.com/article/vegas-mgm-resorts-caesars-cyberattack-shutdown-a01b9a2606e58e702b8e872e979040cc
3. « SEC Charges 11 Wall Street Firms with Widespread Recordkeeping Failures », Commission américaine des opérations boursières (SEC), 8 août 2023. https://www.sec.gov/news/press-release/2023-149
4. « New Lookout Research Highlights Increased Security Risks Faced by Organizations Due to Remote Work and BYOD », Lookout, 3 avril 2023. https://www.prnewswire.com/news-releases/new-lookout-research-highlights-increased-security-risks-faced-by-organizations-due-to-remote-work-and-byod-301787467.html
5. « Guidelines for Managing the Security of Mobile Devices in the Enterprise », National Institute of Standards and Technology, mai 2023. https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-124r2.pdf
6. « SEC Charges 11 Wall Street Firms with Widespread Recordkeeping Failures », Commission américaine des opérations boursières (SEC), 8 août 2023. https://www.sec.gov/news/press-release/2023-149
7. « U.S. fines 16 Wall Street firms $1.8 bln for talking deals, trades on personal apps », Reuters, 27 septembre 2022. https://www.reuters.com/business/finance/us-fines-16-major-wall-street-firms-11-billion-over-recordkeeping-failures-2022-09-27