«Des pirates publient des données volées sur le Darknet», «Des pirates volent les données d’un demi-million de personnes vulnérables», «Des pirates s’emparent de 30 000 mots de passe». Des messages comme celui-ci ne relèvent pas d’un mauvais roman policier, mais sont tirés de l’actualité de ces dernières semaines. Il ne se passe guère de jour sans qu’une nouvelle entreprise ne soit touchée. Les grands groupes ne sont de loin pas les seuls à attirer les mauvais garçons, de plus en plus de PME sont également dans le collimateur. Comment se protéger et protéger son entreprise? 

Longtemps, la cybersécurité s’est concentrée sur les solutions techniques: les pare-feu et les logiciels antivirus devaient être de plus en plus sophistiqués afin de détecter chaque nouveau cheval de Troie. Avec la prise de conscience croissante de la sécurité informatique, l’accent a été mis de plus en plus sur le facteur «humain». Selon les spécialistes, neuf cyberattaques sur dix commencent par un e-mail. Un lien inconnu, un mauvais clic ou une connexion rapide dans un réseau Wi-Fi gratuit supposé sûr et la porte est déjà ouverte aux pirates. Ils installent un cheval de Troie qui peut paralyser tout le réseau de l’entreprise. Les collaborateurs deviennent ainsi des complices involontaires. Les entreprises réagissent en lançant des campagnes de sensibilisation et des formations coûteuses. Les collaborateurs·trices doivent pouvoir reconnaître de manière autonome les e-mails, les liens et les sites d’hameçonnage suspects. La devise «Ce qui n’arrive pas ne doit pas être corrigé. Danger écarté?» Pas du tout.

Reconnaître les personnes très vulnérables

Comment reconnaître les personnes très vulnérables? Ce ne sont pas les personnes auxquelles on pense en premier lieu: pas le CEO, le CFO ou la présidente du conseil d’administration, pas les VIP. C’est l’assistante du CEO qui réserve ses voyages d’affaires, le collaborateur du service financier qui donne les autorisations de paiement, ou l’acheteuse qui s’occupe de l’achat de marchandises pour l’ensemble du groupe. En quelques mots: les VAP se distinguent par leurs pouvoirs relativement importants dans leur domaine d’expertise et non par leur rôle dans la hiérarchie de l’entreprise. Un mauvais clic, l’ouverture irréfléchie d’un fichier par ces collaborateurs et collaboratrices est à l’origine de la plupart des cyberattaques personnalisées enregistrées dans le monde. Cela ne signifie pas que les VIP ne peuvent pas faire partie des VAP. Les responsables informatiques qui souhaitent protéger les collaborateurs et les cadres devraient faire un état des lieux complet avec les personnes concernées. Les questions suivantes peuvent être utiles: 

• Qui a accès aux données particulièrement critiques de l’entreprise?
• Qui utilise fréquemment des appareils tiers (BYOD), des services cloud ou des réseaux tiers?
• Qui dispose d’une procuration ou peut autoriser des paiements ou passer des commandes?
• Qui reçoit souvent des e-mails d’hameçonnage dans sa boîte de réception?

Même s’il est clair que les VAP en tant que tels n’existent pas, ces questions peuvent aider à réduire le nombre de victimes potentielles et à prendre des contre-mesures ciblées.

Comment les pirates opèrent-ils?

Neuf cyberattaques sur dix commencent par un e-mail. C’est ce que nous expliquons régulièrement et plusieurs fois par an lors de ces formations qui font partie du quotidien de beaucoup d’entre nous. Nombreux sont ceux qui sont convaincus de pouvoir détecter les e-mails malveillants. Cela peut être vrai pour les e-mails d’hameçonnage qui sont diffusés en masse. Les pirates informatiques qui visent explicitement une entreprise en particulier sont beaucoup plus perfides. Cette méthode s’appelle l’ingénierie sociale («Social Engineering»). 

Imaginez le scénario suivant: peu après la fin de votre journée de travail, vous trouvez une clé USB sur le parking des employés. Un post-it avec une inscription est collé sur le stick: «Salaires 2022». C’est sûrement la collègue des RH qui l’a perdu. En tant que collègue fiable, vous apportez la clé USB à votre collègue dès le lendemain, mais vous voulez peut-être jeter un coup d’œil sur le salaire de votre cheffe ? Le fait que les réseaux sociaux aient également trouvé leur place dans la vie professionnelle permet aux pirates informatiques de découvrir de plus en plus facilement, via LinkedIn et autres, qui sont les VAP d’une entreprise, avec qui ils sont également amis en privé, dans quelle association ils s’engagent et quels sont leurs autres loisirs. 

Les informations obtenues permettent de lancer des attaques sophistiquées visant à gagner la confiance de la victime afin de susciter une réaction particulière. Les personnes qui reconnaissent en un clin d’œil les e-mails d’hameçonnage génériques se méfient moins lorsque le message électronique est censé avoir été envoyé par le chef et cliquent sur le lien malveillant qui n’a rien de suspect. Les pirates qui savent avec quels outils une acheteuse interagit quotidiennement ou quels clients elle gère peuvent donner à leurs attaques l’apparence d’un processus de commande quotidien. La conséquence: ce qui semble familier laisse les gens dans un faux sentiment de sécurité. Avec des conséquences fatales pour l’entreprise.