La sécurité informatique des organisations ne dépend pas uniquement des choix de la direction et du service informatique.
Les menaces évoluent et les attaques ne sont plus nécessairement des programmes / menaces installés sur les postes dans le but de faire du tort. Certes les mouchards, keylogers et autres rançonwares existent toujours mais il ne faut pas oublier les attaques de type pishing. Et en la matière le bridage du poste (retrait des droits administrateurs), firewall et anvirus ne sont pas une protection suffisante.
En effet le pishing (ou hameçonnage) est une ruse vous laissant croire qu'il s'agit d'une demande fondée, de Microsoft, Chronopost, Apple, Google, banque, ou tout autre entreprise dont vous utilisez les services. Vous recevez par exemple un mail indiquant qu'il y a un problème sur votre compte Google, vous cliquez sur le lien. Vous arrivez sur une page ressemblant étonnament au site internet de Google et l'on vous demande de saisir votre adresse mail et mot de passe. Vos identifiants se trouvent entre les mains de personnes malveillantes sans même que vous vous en rendiez compte.
Pour ce genre d'attaque, le hackeur ne s'appuie pas sur les failles informatiques d'une organisation mais sur le facteur humain.
Dans une communauté, chacun peut avoir un comportement différent et c'est le niveau de sensibilisation / formation qui fera la différence.
C'est notre rôle de prestataire informatique de sensibiliser les utilisateurs, expliquer les indices qui peuvent susciter la méfiance. Mais souvent ça se fait à la marge d'une autre intervention ou pas de manière suffisamment ciblée.
Mais au delà d'une formation, il devient de plus en plus utile de faire des simultations d'attaques régulières. Car parfois des utilisateurs trop sûr d'eux ne vont pas se sentir concernés par les conseils généraux, convaincus qu'il faut être naïf pour se faire avoir, et qu'ils ne vont pas tomber dans le panneau.
Quoi de plus efficace que de pouvoir dire "Nous avons fait une simultation de pishing le 17 mars. 4 utilisateurs sur 21 ont cliqué sur le lien figurant dans le mail et 3, dont vous ont saisi des informations sensibles dans le formulaire pointé par ce lien".
Une fois pris "les mains dans le pot de confiture", les certitudes tombent et la vigilance augmente. Car les points d'attention passés (orthographe, charte graphique) ne sont plus suffisants pour savoir si un lien ou un site sont officiels et dignes de confiances. Les pirates font évoluer leur méthodes au fur et à mesure, et la qualité de leur mails est bien plus élevée qu'elle ne l'était il y a quelques années.
Ces simulations d'attaques permettent ensuite de former un public ciblé. Mieux former les personnes ayant eu des comportements à risque plutôt que de former indifféremment tous les utilisateurs.
N'hésitez pas à nous solliciter pour discuter de ces simulations de pishing et de tous les enjeux de sécurité et consulter le dossier dédié sur
cybermalveillance.gouv.fr
