Sensibiliser et tester les attitudes des employés à la sécurité informatique

[EXCLUSIF] Pourquoi ne généraliserait-on pas les simulations d’attaques informatiques en entreprise  au même titre que pour la sécurité incendie ? De nombreuses initiatives ont été menées à l’occasion du Mois Européen de la Cybersécurité et l’une des actions phares de cet évènement a été le test effectué par le Ministère de l’Economie qui n’a pas hésité à procéder à une fausse campagne de phishing afin de sensibiliser ses propres employés à la sécurité. Résultat ? Sur 145 000 agents, plus de 30 000 ont cliqué sur le lien entre 10h et midi, soit un taux de clic de 20 %. De quoi rendre envieux la plupart des professionnels de l’emailing marketing.

Sensibiliser et tester les attitudes des employés à la sécurité informatique, Badot Christophe

Christophe Badot, directeur général France Varonis

Comme la majeure partie des professionnels de la sécurité le savent, les pirates utilisent souvent des techniques assez peu sophistiquées pour pénétrer dans le système d’information des entreprises. Les mots de passe faibles, vulnérables aux essais de force brute, ou les failles de logiciels qui n’ont jamais été supprimées constituent des vecteurs d’attaques simples. Et comme le démontre l’opération du Ministère de l’Economie, le phishing offre une porte d’entrée des plus efficaces.

En général, l’e-mail de phishing est conçu pour paraître officiel. Il semble souvent provenir d’une adresse légitime ou d’un nom de domaine qui se rapproche de l’original (vaornis.com au lieu de varonis.com par exemple). L’objectif est de prendre les victimes par surprise alors qu’elles naviguent dans leur boîte de réception, puis de les pousser à cliquer sur un lien qui les dirigera vers un site web compromis (téléchargement d’un programme malveillant, d’un ransomware, récupération d’identifiants/mots de passe, etc.). Plus les pirates disposent de données sur leur « cible », plus un email de phishing à de chances de réussir.

Les pirates se concentrent souvent sur des cibles à forte valeur comme les cadres dirigeants. Ce genre d’escroquerie a déjà permis de duper des personnes situées au sommet de la hiérarchie, l’objectif le plus courant étant d’obtenir un accès privilégié à des informations confidentielles ou de propriété intellectuelle, et éventuellement des renseignements embarrassants.

Sensibilisation et pratique : clé de la cybersécurité 

IMS carnet cybersécurité La sensibilisation est un moyen d’atténuer les attaques ciblant les dirigeants et les employés. Quelques entreprises à l’exemple du Ministère de l’Economie effectuent des tests plus ou moins réguliers visant à sensibiliser leurs employés et leur inculquer les bons réflexes. L’exercice est loin d’être inutile car au même titre que sensibiliser les employés aux bons gestes en cas d’alerte incendie, une telle procédure pourrait être répliquée sur le plan numérique et faire partie d’un programme global de protection de la propriété intellectuelle.

Au delà du phishing, on pourrait également envisager une expérience similaire dans le cadre de scénarii de sécurité de fichiers sensibles. Un responsable de la sécurité pourrait ainsi amorcer un dossier fréquenté du serveur de l’entreprise, par exemple avec un fichier au nom tentant du genre « Hautement confidentiel : projet de fusion » [ou tout autre appât au choix], lui donner des permissions d’accès très larges, et voir ce qu’il se produit. Il faudra bien entendu être en mesure de pouvoir tracer l’ensemble des accès au dossier.

Pourquoi élargir à ce type de tests ? Les résultats du dernier « Varonis Data Risk Report », mettait en avant le fait que 47 % des entreprises laissent au moins 1 000 fichiers sensibles ouverts à tous les employés et une récente étude du Ponemon Institute, soulignait de son coté que 62 % des utilisateurs finaux affirment avoir accès à des données de l’entreprise qu’ils ne devraient probablement pas pouvoir consulter. On imagine facilement les risques encourus en cas de piratage, d’infection par un ransomware ou si un employé à de mauvaises intentions.

Mais les risques pourront également aller bien au-delà de la simple atteinte aux données puisqu’à compter de mai 2018, le nouveau Règlement Général sur la Protection des Données (RGPD) constituera une loi uniforme dans l’ensemble de l’UE et comprendra une obligation de notification des violations de 72 heures.

La nouvelle législation clarifie la notion de violation de données. Il s’agit de « la destruction, la perte ou l’altération accidentelle ou illicite, la divulgation ou l’accès non autorisés aux données à caractère personnel transmises, stockées ou autrement traitées ». Cela signifie que le simple accès est considéré comme une violation et que les ransomware qui chiffrent les données personnelles nécessiteront une notification aux individus et organisme concernés. Et les sanctions en cas d’infraction à cette obligation de déclaration font courir à l’entreprise le risque de se voir infliger d’importantes amendes administratives pouvant aller jusqu’à 20 millions d’euros, ou, dans le cas d’une entreprise, de 2 à 4 % du chiffre d’affaires annuel mondial.

Sous cet angle il semble évident, qu’au-delà de toutes les mesures de sécurité que pourront prendre les entreprises, il devient essentiel pour ces dernières de sensibiliser leurs employés et de s’assurer que les principes inculqués seront « bien intégrés ». Pouvoir tester les acquis des employés régulièrement au travers de scenarii différents va donc devenir un élément primordial de la sécurité.