DEMAIN 11-2020
CAHIER PRATIQUE PAROLE D’EXPERT
24
Cyberincidents : la faille est principalement humaine L’éditeur Proofpoint aurait intercepté plus de 35 000 tentatives de détournement de salaires basées sur l’envoi de courriel de phishing durant le 1er semestre 2020. Un certain nombre de ces tentatives au sein d’universités suisses ont été couronnées de succès. Le préjudice financier serait très important. Il s’agit en premier lieu d’une faille humaine… tant dans la démarche, qu’au niveau technique. Ce type de fraude a été qualifié de « cyberattaque ». Pour ma part, je préfère présenter le phishing comme une forme d’escroquerie (par astuce) aux termes de l’art. 146 du Code pénal, ou comme une démarche d’ingénierie sociale, plutôt que comme une « attaque informatique » à proprement parler. Avec la nuance que dans le cas du phishing, la « victime » porte une part de responsabilité dans le succès (ou l’insuccès) de l’attaque, du fait qu’elle transmet ses données d’accès. Néanmoins, il existe aussi un autre type de faille humaine dans la manière dont l’ergonomie du système a été pensée : c’est pourquoi l’authentification forte devrait être obligatoirement activée sur les comptes donnant accès à des données sensibles, de même que toute modification concernant ce type de données devrait faire l’objet de l’envoi d’un message d’information, par courriel et par SMS, au détenteur du compte. Il semble que ça n’ait pas été le cas.
(URL) sur lequel ils vont cliquer. Pourtant, ces connaissances fondamentales font partie des bases de la « littéracie numérique ». Cette dernière représente l’adaptation de nos connaissances du monde physique aux spécificités du numérique, tant dans le domaine privé que professionnel. Dans le cas du phishing, des arnaques au président ou de l’ingénierie sociale, c’est la combinaison d’un esprit critique et de connaissances informatiques qui permet d’identifier les fraudes, l’un ne va pas sans l’autre. C’est avant tout une question d’éducation et de formation des employés et dirigeants.
d’identifier cette signature. L’authentification forte). • Préparer des documents informatifs à mettre en ligne sur le site ou à communiquer par courriel en cas d’incident (aux médias, clients, autorités, etc.). Éventuellement, préparer aussi des vidéos courtes qui apportent une explication claire et simple sur l’incident. • Avoir défini des outils et stratégies d’achat d’espaces sur les médias sociaux et dans les moteurs de recherche (cela permet de communiquer une information en se basant sur des critères sociaux démographiques). • Avoir pris contact en amont avec une société spécialisée dans la cybersécurité et l’analyse des cyberincidents et des traces informatiques. Ces quelques mesures permettent déjà de réduire la portée d’un tel incident. Néanmoins, le point central reste la formation de tous les employés, quelle que soit leur position hiérarchique.
LES ENTREPRISES DOIVENT ÊTRE PRÊTES
UNE QUESTION D’ÉDUCATION
De plus, si elles ne veulent pas avoir à gérer les dommages collatéraux de ce type de cyberincidents sur leur réputation, les entreprises doivent aussi mettre en place des scénarii de réponse pour le cas où elles y seraient confrontées. À savoir (non exhaustif) :
Le courrier électronique existe depuis cinquante ans, donc bien avant la naissance du Web vers 1992… Néanmoins, il semble qu’une grande partie des utilisateurs éprouvent encore des difficultés à identifier clairement une adresse de courriel ; ou à être conscients que le protocole du courrier électronique est peu sécurisé ; et qu’il est simple d’usurper l’adresse de courriel d’un tiers pour faire un envoi en son nom ; ou encore à avoir la capacité de comprendre et « lire » ce lien internet
• Sensibiliser l’ensemble du personnel en amont (connaissance des termes technique, ainsi que des modes opératoires). Et sur les termes à utiliser pour communiquer sur l’incident avec les clients et partenaires. • Mettre en place des procédures (techniques et informationnelles) de sécurisation des canaux de communication et des comptes (utilisation de signatures certifiées, formation des clients sur la manière
TEXTE STÉPHANE KOCH VICE-PRÉSIDENT D’IMMUNIWEB
Stéphane Koch est vice-président d’ImmuniWeb, un fournisseur mondial de tests de sécurité des applications web, mobiles et de gestion des surfaces d’attaque. Il est aussi consultant et formateur dans les domaines de la sécurité de l’information, la gestion de crise et l’utilisation des médias sociaux.
