Coronavirus : le phishing conforte sa place de menace numéro 1 en cas de faille de sécurité
Dans le contexte exceptionnel du COVID-19, les organisations sont confrontées à de multitudes défis. Face à une crise d’une telle ampleur, difficile de ne pas baisser la garde.
Les hackers cherchent à tirer profit de la panique suscitée par la pandémie et exploitent les vulnérabilités des systèmes d’information. Cette fois encore, les attaques de phishing arrivent largement en tête avec une augmentation exponentielle depuis le début du COVID-19. De telles attaques peuvent entrainer la paralysie totale de l’activité d’une entreprise cf. ransomware via phishing.
Les pirates utilisent des tactiques d’ingénierie sociale pour manipuler les utilisateurs. Les objectifs sont multiples, qu’il s’agisse de collecter des informations sensibles voire de l’argent (par exemple en faisant croire à la victime qu’elle s’adresse à un site de confiance comme celui de l’OMS ou d’une organisation caritative) ou de propager des ransomwares (cf. les sites web et les applications COVID-19 malveillants qui peuvent obtenir et verrouiller l’accès à des appareils contre le paiement d’une rançon).
Pour lutter contre l’hameçonnage, les organisations doivent se protéger et sensibiliser leurs collaborateurs aux bonnes pratiques de sécurité de l’information.
Un mot d’ordre : méfiance et vigilance
- N’ayez pas une confiance aveugle dans le nom de l’expéditeur,
- Méfiez-vous des pièces jointes,
- Ne répondez jamais à une demande d’informations confidentielles,
- Passez votre souris au-dessus des liens, faites attention aux caractères accentués dans le texte ainsi qu’à la qualité du texte ou de la langue pratiquée par votre interlocuteur,
- Configurez de manière sécurisée votre messagerie (mise à jour, désactivation de la prévisualisation automatique des courriels…).
Si le respect de bonnes pratiques est essentiel, cela ne saurait suffire face à des hackers dont les techniques de « social engineering » s’adaptent en fonction des cibles.
UNE APPROCHE « ONE SIZE FIT ALL » NON ADAPTÉE
Distinguez les actions de sensibilisation génériques destinées à l’ensemble des utilisateurs, des actions de formation spécifiques adaptées aux profils des utilisateurs !
Les collaborateurs avec des privilèges élevés sur le système d’information ou ayant une fonction critique au sein de l’entreprise devront suivre une formation dédiée et adaptée aux risques liés à leur fonction. La formation devra permettre à l’utilisateur d’appréhender l’ensemble des techniques du « social engineering » et de comprendre son rôle dans la chaine de sécurité de l’information.
Ainsi, les utilisateurs acquièrent un « Cyber-Mindset » qui leur permet de monter en compétence, d’analyser les situations avec recul et de réagir de manière appropriée.
L’humain est à la fois le maillon le plus faible de la chaine mais aussi l’acteur le plus important d’un dispositif de sécurité.
UNE APPROCHE « PEOPLE CENTRIC » DE LA CYBERSÉCURITÉ À ADOPTER
Dans un tel contexte de crise, la formation devrait être la première action à déployer dans les entreprises. Nos experts sécurité vous accompagnent pour :
- Evaluer votre résilience au risque de phishing,
- Mettre en place des indicateurs,
- Transformer le comportement de vos collaborateurs en les formant de manière continue contre les nouvelles menaces.