Blog GlobalSign

19 févr. 2018

Repenser la cybersécurité ou la nécessité de faire place aux changements comportementaux

Il n'y a aucun doute, le monde de la cybersécurité a connu de nombreux changements encourageants ces dernières années. Des organisations de divers secteurs d’activité et dans le monde entier ont enfin pris conscience que celle-ci n’était plus une option.

Le nombre d’attaques signalées chaque année n’a pourtant pas diminué, bien au contraire.

Pourquoi ? Je pourrais avancer des dizaines de raisons...

Je pourrais parler des malwares et autres vecteurs d’attaque qui évoluent sans cesse. Je pourrais écrire sur les difficultés rencontrées par les forces de police pour appréhender des groupes criminels dont la notoriété s’étend au-delà de nos frontières.

Je pourrais expliquer pourquoi, même avec un réseau techniquement évolué, vous ne pourrez jamais être préparé à faire face aux dernières menaces de type « zéro Day ».

En réalité, aucune de ces pistes n’explique correctement le fond du problème.

Les théories classiques seraient-elles nocives pour votre entreprise ?

Avant de poursuivre, ayez à l’esprit que les cyberattaques sont pratiquement toutes motivées par l’appât du gain. De la même manière, si attaquer votre entreprise peut rapporter de l’argent, soyez certain que quelqu’un s’en chargera.

D’après la croyance populaire, le meilleur moyen de défendre votre entreprise contre ces attaques est de mettre en œuvre une batterie de contrôles techniques afin d’empêcher tout accès non autorisé, de bloquer toute activité malveillante et d’identifier les attaques entrantes.

Mais il y a un problème.

Si l’on étudie attentivement chaque violation signalée au cours des 10 dernières années, un point retient notre attention : l’utilisation quasi systématique des techniques de hameçonnage (« phishing ») ou d’autres techniques d’ingénierie sociale à un moment de l’attaque.

Pourquoi ? Parce qu’en général, il est bien plus facile de tromper les gens que les machines.

Si un malfaiteur est capable de piéger quelqu’un et de le contraindre à compromettre votre réseau, vous aurez beau avoir mis en place les contrôles techniques les plus perfectionnés, rien n’y changera. Une fois qu’un pirate s’est introduit sur votre réseau à l’aide d’identifiants légitimes, on peut considérer que le plus dur est fait.

Si vous pensez qu’il existe quantité de contrôles techniques qui permettent d’atténuer l’impact d’un e-mail malveillant, vous avez raison. Mais quel que soit le degré de sophistication de vos filtres antispam et dispositifs d’analyse de contenu, ils n’empêcheront jamais la totalité des e-mails malveillants d’atterrir dans la boîte de réception de vos utilisateurs.

À partir de là, il faut bien se rendre à l’évidence : la technologie ne suffit pas.

La fin des formations de « sensibilisation »

Je serais tenté de dire que la dernière fois que vous avez assisté à une formation de sensibilisation à la sécurité, cela ne vous a été d’aucune utilité.

Soyons honnêtes, le niveau standard des formations de sensibilisation à la sécurité est plutôt faible, tous secteurs d’activité confondus.

Mais voyez-vous, le problème ne concerne pas uniquement le niveau de formation. C’est tout le concept qui pose problème. Mieux sensibiliser les utilisateurs à la sécurité dans l’entreprise pourrait être un objectif sensé. Or, la démarche échoue régulièrement faute de parvenir à réduire le risque cyber dans le monde réel.

Envisageons les choses ainsi.

Nous savons tous que nous devrions manger plus de légumes et arrêter de fréquenter les fast-foods. Malgré cela, combien de fois faisons-nous les bons choix diététiques ?

Pas si souvent, à en juger par l’augmentation de l’obésité.

Mais revenons à nos moutons. Pour que nos formations à la sécurité aient un impact conséquent sur la réduction du risque cyber, nous allons devoir changer radicalement d’angle d’attaque pour nous concentrer sur les comportements en matière de sécurité, et non sur la sensibilisation à la sécurité.

Dans la mesure où le phishing représente la plus grosse menace pour les entreprises à travers le monde, il existe un changement de comportement vis-à-vis de la sécurité qui pourrait bien faire la différence.

E-mails : changer les comportements

Pour le dire simplement, les e-mails d’hameçonnage sont conçus pour piéger les utilisateurs peu méfiants en les poussant à agir dans le sens voulu par le cybermalfaiteur.

Pour lutter contre le phishing, nous allons devoir changer la façon dont les utilisateurs interagissent avec leurs e-mails.

email behavior

Ci-dessus, un exemple d’escroquerie de type BEC (Business Email Compromise), également baptisé « arnaque au président/CEO ».

Il faut savoir qu’en entreprise, un utilisateur reçoit chaque jour en moyenne plusieurs dizaines d’e-mails. Conséquence : la majorité des employés cherche à traiter les messages non lus le plus efficacement possible et part du principe que tout message qui atterrit dans sa boîte de réception est légitime. Chaque utilisateur instaure inconsciemment ses propres rituels de gestion de messagerie. Après plusieurs dizaines de milliers de répétitions, ces routines sont tellement ancrées qu’elles sont devenues des habitudes inconscientes.

Pour conditionner vos utilisateurs à changer leurs habitudes, la traditionnelle formation de sensibilisation à la sécurité mise en place chaque année ne sera d’aucune utilité. Il va plutôt vous falloir intégrer votre formation dans le quotidien de vos utilisateurs.

Opération : Phish

Comment vous y prendre pour reprogrammer les habitudes de vos utilisateurs face à leur messagerie ? Tout simplement en imaginant des scénarios de hameçonnage réalistes que vous enverrez régulièrement à vos utilisateurs.

Vous m’avez bien compris : je vous invite à tendre une embuscade à vos utilisateurs en leur envoyant des e-mails de phishing !

Mais avant d’inonder délibérément leurs messageries d’e-mails savamment travaillés pour les piéger, voici quelques points importants à garder en tête. Pour commencer, ne vous précipitez pas dans l’espoir d’obtenir des résultats rapides…

Pour une amélioration réelle et durable des comportements de vos utilisateurs en matière de sécurité des e-mails, vous allez devoir respecter certains principes de base.

1) L’incontournable approbation de la direction

Les comportements de sécurité de vos employés ne vont pas s’améliorer d’un coup de baguette magique. Ce serait même plutôt le contraire, vous allez devoir faire preuve de constance et maintenir vos efforts dans la durée. Vous devriez certes noter d’importantes améliorations dans les premiers mois — progrès qui, faute de régularité, pourraient cependant rapidement s’évanouir.

Comment rester constant et régulier ? Assurez-vous d’avoir le soutien de votre hiérarchie, notamment sous la forme de financements approuvés sur le long terme. Pour assurer vos arrières, il vous faudra monter un dossier solide, suivre attentivement le retour sur investissement du programme et présenter régulièrement à la direction des rapports de performance clairs.

2) Pour réussir, misez sur la simplicité !

Si vous pensez qu’il s’agit de persuader les utilisateurs de supprimer les e-mails suspects, l’objet principal vous échappe. Votre véritable objectif est d’inciter vos utilisateurs à signaler chaque message suspect. Pourquoi ? Pour identifier d’autres messages similaires et les mettre en quarantaine, mais aussi pour renforcer vos contrôles techniques de sécurité afin d’identifier, à l’avenir, les messages d’hameçonnage similaires et de créer une banque de contenus dans laquelle piocher pour concevoir plus facilement vos futurs scénarios de phishing.

Mais voilà, pour cela, vous allez devoir simplifier au maximum votre procédure de reporting. Vous pourriez, à cet effet, ajouter un simple bouton du type « signaler un e-mail de phishing » dans votre client de messagerie.

3) Formation aux points individuels de défaillance

Au moment de lancer votre programme, vous remarquerez que vos utilisateurs s’améliorent très vite. Précisons aussi qu’au début, ils se tromperont beaucoup.

Les échecs ne sont pas une mauvaise chose en soi. Chaque fois qu’un utilisateur identifie correctement une simulation d’hameçonnage, il n’apprend pas grand-chose ; il vous montre juste ce qu’il sait faire.

Mais chaque fois que l’un de vos utilisateurs échoue à une simulation de hameçonnage, il faudrait qu’il soit immédiatement redirigé vers la page de formation en ligne correspondante. Il pourrait ainsi comprendre le type d’e-mail de phishing qui vient de le piéger afin de se former et de mieux identifier les pièges similaires qu’il pourrait rencontrer par la suite.

Pour que ces leçons soient intégrées, vous devriez également retester les utilisateurs dans la semaine qui suit leur échec à la simulation. Si certains utilisateurs échouent régulièrement, il peut être intéressant de leur proposer un suivi individuel.

La persévérance : facteur de succès n° 1

Comme vous l’aurez sans doute compris, le programme de sensibilisation au hameçonnage que je viens de vous décrire n’a absolument rien à voir avec le programme annuel standard de sensibilisation à la sécurité. Au lieu d’entasser les utilisateurs dans une salle de classe étouffante une fois par an, vous leur proposerez une formation de haut calibre, avec des mises en situation réalistes et l’occasion pour eux de participer activement à la sécurité de votre entreprise.

Cependant, ce processus n’est jamais complètement terminé. Si vous décidez subitement de mettre ce programme aux oubliettes, vous noterez rapidement qu’après quelques mois, les utilisateurs auront repris leurs vieilles habitudes.

Autre point à prendre en compte : même si vos utilisateurs deviennent des pros et arrivent à identifier les e-mails d’hameçonnage, vous ne serez jamais complètement à l’abri d’une erreur. Les gens ne sont pas des machines, et même si vous pouvez très certainement espérer atteindre un taux de succès de 98 ou 99 %, vous n’aurez jamais la certitude que la totalité des e-mails de phishing sera identifiée et signalée.

De ce fait, il ne me viendrait pas à l’idée de vous proposer de remplacer des contrôles de sécurité poussés et une équipe d’intervention sur incident hautement professionnelle et qualifiée par ce type de programme.

Il n’a jamais été question de choisir l’une ou l’autre de ces solutions. Bien au contraire : si vous êtes réellement engagé dans une démarche de protection de votre entreprise contre la menace que représente le phishing, vous allez devoir associer des équipes bien formées avec une force de formation correctement dimensionnée.

À propos de l’auteur

Dane Boyd est Lead Solution Manager pour le programme de formation gérée « Sensibilisation au phishing » de PhishLabs. Il a accompagné plusieurs dizaines d’entreprises dans la transformation de leurs collaborateurs en puissant rempart de protection et de détection des menaces.

À propos de PhishLabs

phishlabs logo

Créée en 2008, la société PhishLabs propose des services de sécurité gérée 24 h/24 et 7 j/7 qui protègent contre les attaques de phishing. PhishLabs est la seule société à protéger les entreprises contre les attaques de phishing qui ciblent leurs clients et collaborateurs. L’entreprise analyse chaque jour des millions d’attaques de phishing potentielles, pour proposer une visibilité et un éclairage global sur ce type de menaces. Les experts PhishLabs s’appuient ensuite sur ces informations pour gérer les programmes de formation de sensibilisation au phishing, mais aussi pour atténuer au maximum les attaques de phishing et apporter un éclairage percutant sur ces menaces. Les plus grandes sociétés du secteur de la finance, de la santé et des technologies font confiance à PhishLabs pour éviter les pertes liées à la fraude, les incidents de sécurité, et les violations de données causées par des attaques de phishing. Pour en savoir plus, rendez-vous sur https://www.phishlabs.com et suivez @phishlabs.

Note : ce billet de blog a été écrit par un rédacteur externe afin de varier les contenus proposés à nos lecteurs. Les opinions exprimées par l’auteur de cet article sont exclusivement les siennes et ne reflètent pas nécessairement les opinions de GlobalSign.

par Dane Boyd

Partager ce blog