Actualité web & High tech sur Usine Digitale

Recevez chaque jour toute l'actualité du numérique

x

Le facteur humain au service du cybercrime

Twitter Facebook Linkedin Google + Email
×

David Grout, spécialiste en cybersécurité chez Intel Security, explique comment l’éducation aux tactiques des cyberpirates peut protéger les collaborateurs en entreprise et le grand public des attaques informatiques à des fins d’usurpations de données. 

Le facteur humain au service du cybercrime
Le facteur humain au service du cybercrime © Intel Security

Plusieurs études montrent que 92% des salariés français se font piéger par des tentatives de hameçonnage. Un volume d’autant plus inquiétant que deux tiers des mails actuellement échangés dans le monde sont des spams visant à extorquer des informations personnelles ou de l’argent. L’efficacité de ces attaques repose en grande partie sur "l’ingénierie sociale", un ensemble de méthodes grâce auxquelles les hackers soutirent des informations critiques auprès de collaborateurs ou du grand public.

Ces méthodes sont au cœur d’un rapport d’Intel Security réalisé avec le soutien du Centre européen de lutte contre la cybercriminalité d’Europol, publié mi-février 2015. Le document examine le concept d'ingénierie sociale, détaille les techniques utilisées dans de nombreuses cyberattaques récentes, les leviers pour influencer les victimes et suggère un certain nombre de contrôles et de bonnes pratiques pour réduire le risque.

Techniques de cyberattaque

Aujourd’hui, aucune organisation ou société n’est immunisée contre le vol de données. Sont utilisés pour opérer les attaques les sites Internet (20% des cas), les mails (18%), puis le téléphone et les rencontres de visu, ainsi que le courrier et le fax, ces deux derniers canaux étant de moins en moins employés.

Deux types d’attaques sont à distinguer : la “chasse à l’information”, qui vise à extraire des informations via un minimum d'interactions avec la cible, et l’“élevage de l’information”, qui consiste à établir une relation de moyen terme avec une victime, et à entretenir cette relation pour soutirer des data sur une plus longue période.

Ces attaques cherchent à exploiter à son insu un collaborateur d'une entreprise ou une personne de confiance. Le modus operandi dans la plupart des cas consiste à contraindre les utilisateurs de réaliser certaines tâches qui facilitent l’installation d’un malware (logiciel malveillant). Elles se déroulent en quatre phases : l’identification d’une victime, son hameçonnage (ou phishing) pour l’engager à livrer les informations qu’elle possède, suivi du vol d’information proprement dit, et enfin la clôture de l’opération.

La brèche dans le "pare-feu humain"

Quelle que soit la raison de l’efficacité des attaques, force est de constater que la première ligne de défense, celle de la vigilance des utilisateurs, ne fonctionne pas. Pourtant, il ne serait pas juste de blâmer les utilisateurs en les considérant comme responsables des vols de données. Les cyberpirates utilisent des méthodes de manipulation complexes pour inciter leurs victimes à prendre des mesures qu'ils ne prendraient pas dans d’autres circonstances.

Il est donc urgent d’éduquer les collaborateurs des entreprises mais aussi le grand public à ces attaques et de leur donner des repères pour s’en protéger. Sans quoi les vols de données continueront à soutenir le coût en plein essor de la cybercriminalité déjà estimé à 392 milliards de dollars.

David Grout, directeur technique Europe du Sud chez Intel Security

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale