Contre le phishing : comment les entreprises peuvent sensibiliser leurs équipes

Le nombre de cyberattaques augmente : Les entreprises, les autorités et les communes sont concernées, mais aussi les établissements de santé comme les hôpitaux. Et les rapports d'attaques réussies se multiplient en Suisse : le CICR a récemment été victime d'une cyberattaque, et des entreprises comme Stadler Rail, Comparis, Griesser Storen ou encore la commune vaudoise de Rolle ont déjà été attaquées. En Allemagne, la chaîne de magasins d'électronique MediaMarkt a été victime en novembre 2021 d'une tentative de chantage au moyen d'un ransomware ; les serveurs et les systèmes ont été compromis, ce qui a considérablement perturbé le fonctionnement des filiales. Selon un porte-parole de l'entreprise, l'attaque a été ciblée. En 2020, la clinique universitaire de Düsseldorf et le groupe de médias Funke ont été victimes : dans ce dernier cas, un courriel d'hameçonnage a servi de porte d'entrée à une attaque de ransomware. Lors d'une telle attaque, le ransomware procède comme un "cheval de Troie de cryptage", en codant les données de manière indissoluble pour l'utilisateur et en ne les libérant que contre le paiement d'une rançon. Comme le phishing exploite les faiblesses humaines, il est très difficile de l'empêcher avec des solutions techniques. 

Une forme d'ingénierie sociale

L'hameçonnage est une attaque dite d'ingénierie sociale : elle exploite les faiblesses et la naïveté de l'être humain. Les e-mails de phishing font croire au destinataire à une certaine confidentialité ou le mettent sous pression. Il est ainsi incité à cliquer sur un lien, à lancer un processus ou à divulguer des informations confidentielles. On peut distinguer trois types d'hameçonnage :

• Dans le cas de la fraude au PDG, les pirates prétendent occuper une position élevée au sein de l'entreprise attaquée afin d'une part d'inspirer confiance et d'autre part d'utiliser l'autorité de la hiérarchie et la menace de conséquences pour inciter leur victime à transférer une somme d'argent importante. Les agresseurs procèdent souvent de manière ciblée et investissent beaucoup de temps dans le choix de l'entreprise et des destinataires adéquats. Ils ont souvent un pied dans la porte et savent comment se déroule la communication dans l'entreprise cible.
• Il en va de même pour la variante du spear phishing : ces mails sont ciblés sur la victime ou sur un certain groupe de victimes. L'individualisation fait qu'il est très difficile de reconnaître un tel mail comme étant du phishing. Le spear-phishing est souvent le vecteur d'attaque initial pour introduire des logiciels malveillants dans une entreprise.
• Le phishing classique vise souvent à obtenir les données d'accès des victimes à des systèmes et des services. Ces e-mails ne sont toutefois pas ciblés sur des personnes ou des groupes de personnes, mais sont envoyés à un large public. Il peut également arriver qu'un destinataire n'utilise pas le service visé par l'e-mail.

Le phishing est un danger constant

Le danger ne doit pas être sous-estimé, car les e-mails de phishing sont rédigés avec raffinement. Ils ne présentent plus en soi des adresses électroniques étranges et douteuses de l'expéditeur ou des fautes d'orthographe et de grammaire. De plus, le cercle des destinataires est extrêmement large : Tous les collaborateurs qui communiquent par e-mail avec des personnes externes sont des victimes potentielles. Les entreprises sont généralement concernées par la fraude au CEO ou le spear phishing et donc par des campagnes ciblées. Il s'avère que les tentatives d'hameçonnage se multiplient surtout chez les destinataires dont les noms et les adresses électroniques sont affichés publiquement, par exemple sur le site Web de l'entreprise - ceux-ci disposent généralement de connaissances moins approfondies sur les logiciels malveillants que les membres des services informatiques. Par conséquent, ce sont souvent les employés peu sensibilisés aux logiciels malveillants qui sont ciblés par les pirates. Ils sont donc plus susceptibles de cliquer sur un lien ou de télécharger une pièce jointe contaminée.

Le danger pour les personnes privées réside dans le fait que des données personnelles et sensibles sont récupérées. Des logiciels malveillants peuvent également être introduits via des e-mails d'hameçonnage, de sorte que le pirate s'assure un accès permanent au système sans être remarqué. Il se déplace de manière invisible dans le réseau et accède ainsi aux données sensibles..

Dans les entreprises, les e-mails de phishing sont une porte d'entrée fréquente pour les logiciels malveillants tels que les ransomwares. Les pirates peuvent prendre le contrôle d'ordinateurs, voler les identités des victimes et lancer ainsi d'autres attaques. Ils peuvent également extorquer à la victime des données sensibles en échange d'une rançon. Ces attaques sont très coûteuses pour les entreprises : elles entraînent de longues pannes informatiques, entravent ou empêchent les affaires et nuisent à la réputation. Si des logiciels malveillants sont introduits, l'espionnage industriel peut également se faire par hameçonnage.

Prévenir le phishing de manière ciblée grâce à des simulations

Le phishing étant une arme psychologique qui vise le comportement humain, il est difficile de le contrer au niveau technologique : Les filtres anti-spam ne reconnaissent pas suffisamment les e-mails et ils atteignent donc généralement le destinataire souhaité. Si l'on prend l'exemple d'un service des ressources humaines, il est possible pour celui-ci de recevoir les candidatures via un portail et de contourner ainsi les portes d'entrée par e-mail.

Une méthode efficace de lutte contre le phishing consiste donc à former et à sensibiliser les collaborateurs. Des simulations et des campagnes régulières permettent d'aiguiser la conscience, par exemple en ce qui concerne les portes d'entrée possibles, et de minimiser ainsi le risque d'une attaque.

Les collaborateurs sont confrontés de manière ciblée au danger du phishing dans des conditions réelles mais contrôlées. Des simulations de spear phishing, par exemple, leur permettent de se familiariser avec les astuces des agresseurs sans qu'aucun dommage ne puisse être causé. Lors d'une telle campagne, des e-mails de phishing sont envoyés pendant plusieurs heures ou jours dans une entreprise, à toutes les personnes, groupes de personnes ou départements ou à certains d'entre eux. C'est l'entreprise qui décide si les employés en sont informés ou non, ou de la durée.

Si un destinataire ouvre maintenant l'un des e-mails de la campagne ou s'il clique même sur le lien, son comportement est enregistré de manière anonyme dans une base de données. C'est ce que permettent les liens spécifiques à l'utilisateur dans les e-mails. Une évaluation permanente a lieu pendant la période convenue de la campagne, à la fin de laquelle les résultats sont résumés et préparés. Il est ainsi possible de comprendre quels domaines ou services sont particulièrement vulnérables aux e-mails de phishing. Il est alors possible d'y remédier par des formations et des explications.

La communication est ici d'une importance capitale : il ne s'agit pas de blâmer, mais il doit être clair que les simulations permettent de développer un savoir-faire et qu'il s'agit d'un scénario d'apprentissage. Il est également possible d'informer les collaborateurs de la simulation de phishing directement après avoir cliqué sur un lien ou de les laisser dans l'ignorance dans un premier temps. Cette dernière solution est la plus appropriée, car il est facile de faire savoir aux entreprises qu'une simulation est en cours, ce qui peut fausser les résultats.

Promouvoir le scepticisme et la prise de conscience par des formations

Dans les formations de suivi, des processus peuvent être établis afin de favoriser la prise de conscience et de maintenir le scepticisme. Il suffit parfois de lire le nom du patron dans un e-mail pour agir immédiatement, même sans réfléchir. C'est pourquoi les collaborateurs reçoivent des caractéristiques qui leur permettent de reconnaître plus facilement si un e-mail est valide, par exemple si le nom de l'expéditeur et le fournisseur d'accès sont compatibles. Mais il est également important d'établir une culture du scepticisme, c'est-à-dire de poser des questions, même lorsqu'un e-mail d'un supposé supérieur s'accompagne d'une demande d'action immédiate.

Il est judicieux que les collaborateurs participent à une simulation de phishing à intervalles réguliers, par exemple une fois par trimestre ou par semestre en fonction de l'entreprise, afin d'obtenir le meilleur effet, de maintenir le niveau de formation élevé et de développer l'intuition pour les e-mails de phishing. L'ampleur de la diffusion peut alors varier et les portes d'entrée peuvent être directement entraînées à nouveau avec des campagnes sur mesure.

Conclusion

Les scénarios de menaces par cyber-attaques s'étendent, de plus en plus d'entreprises sont touchées par des attaques de ransomware qui entravent le fonctionnement de l'entreprise et entraînent des coûts immenses. La porte d'entrée est souvent le courrier électronique d'hameçonnage, qui permet aux pirates d'accéder aux systèmes et aux données sensibles et de faire ainsi chanter les entreprises. Ce scénario catastrophe peut être prévenu par une sensibilisation des collaborateurs via des simulations de phishing ciblées et des formations.

Auteurs :
Leon Hormel est consultant en cyberdéfense chez SECUINFRA Falcon Team à Berlin, Tobias Messinger est consultant senior en cyberdéfense chez la même entreprise. https://www.secuinfra.com/de/news/digitale-bedrohung-phishing/