Nous faisons tous des erreurs. Nous ne sommes que des humains, après tout. Malheureusement, en matière de cybersécurité, c’est aussi un peu le problème. Les facteurs humains en cybersécurité sont peut-être le plus grand défi lors de l’élaboration d’une stratégie efficace de prévention des menaces.

L’erreur humaine est la principale cause de violations de données et de sécurité, responsable de 52% de ces incidents. C’est une personne, attirée par le spear phishing, qui a ouvert les portes à l’attaque du Comité national démocrate l’année dernière, ainsi qu’aux piratages majeurs contre Snapchat et l’industrie des soins de santé – pour ne nommer que quelques exemples de ce facteur humain.

Les menaces d’ingénierie sociale contournent de nombreux systèmes de cybersécurité en exploitant l’erreur humaine. Ils utilisent la manipulation psychologique pour pousser les utilisateurs à effectuer une action ou à fournir de l’information. Dans le cas d’attaques par courriel comme l’hameçonnage, cela implique souvent de cliquer sur un lien intégré, de télécharger des logiciels malveillants comme un rançongiciel ou d’offrir des mots de passe et une autorisation financière.

Un exemple de plus en plus courant est le Business E-mail Compromise (BEC), lorsqu’un pirate cible des dirigeants d’entreprise avec des communications qui utilisent des textes et des conceptions astucieux pour donner l’impression qu’elles proviennent d’une source fiable. L’agresseur demande ensuite un virement bancaire. Selon le FBI, ces attaques ont coûté aux organisations plus de 2,3 milliards de dollars depuis 2013, avec une augmentation de 270% depuis janvier 2015 seulement.

« La chaîne la plus faible de la cybersécurité est l’être humain. C’est le fruit le plus à portée de main. La plupart des attaques que nous voyons sur le terrain en ce moment visent des personnes mal informées », explique Yves Lacombe, directeur du soutien technique chez Vircom.

Il poursuit : « La solution simple est que si quelqu’un vous envoie un courriel qui semble légitime, vous l’abordez toujours avec un doute raisonnable. Si quelqu’un vous demande de faire quelque chose qui a un impact financier, obtenez toujours une confirmation verbale.

Pour Lacombe, cela nécessite une authentification à deux facteurs IRL. Cela signifie qu’il faut former les utilisateurs à décrocher le téléphone et à demander à la personne qui leur a envoyé un courriel s’ils ont effectivement demandé l’argent. « Vous devez cultiver un scepticisme sain à l’égard de tout ce qui est transactionnel lié aux courriels. Les gens sont trop dignes de confiance », dit-il.

[cta id= »18654″]

Il cite un exemple récent tiré d’un documentaire, où un pirate informatique d’ingénierie sociale à Def Con utilise la pression psychologique d’un bébé qui crie pour convaincre une compagnie de téléphone de bloquer l’intervieweur de son propre compte.

« Le préposé au service à la clientèle aurait pu déjouer cette attaque en disant qu’il n’agirait que s’il pouvait la rappeler à son numéro de domicile au préalable. Vous devriez également mettre en œuvre un mot de passe convenu à l’avance qui serait presque impossible à deviner ou à rechercher sur Google, donc pas le nom de jeune fille de votre mère. Tout revient à l’authentification à deux facteurs », explique M. Lacombe. « Mieux encore, n’autorisez le personnel du service à la clientèle qu’à parler au titulaire du compte et non au conjoint! »

Voici quelques conseils pour prévenir les erreurs humaines en cybersécurité (ou du moins essayer de le faire).

Prenez l’hameçonnage des utilisateurs!

À moins que vous ne travailliez avec un groupe particulièrement féru de technologie, bon nombre de vos utilisateurs finaux ne savent peut-être même pas ce qu’est l’hameçonnage. Offrez-leur une formation de base de sensibilisation à la cybersécurité afin qu’ils puissent non seulement identifier les menaces, mais aussi apprécier le travail que vous faites et la gravité de la situation. Si vous voulez une façon humoristique de procéder, consultez notre article « Advanced Metaphor Protection : cybersécurité vs. cybersémantique ».

L’expéditeur est-il aussi le destinataire?

Marc Chouinard, responsable des opérations de sécurité des courriels chez Vircom, souligne que les courriels de piratage et les attaques d’hameçonnage proviennent souvent d’une adresse d’expéditeur différente de l’adresse de réponse. Il déclare : « Dans notre nouveau produit, nous vérifions les valeurs « FROM » et « REPLY-TO » pour voir s’il s’agit de valeurs différentes. Vous devriez tout de même informer vos utilisateurs que s’ils reçoivent une facture par courriel de quelqu’un, mais que la réponse va ailleurs (c’est-à-dire un courriel personnel ou Gmail), il s’agit probablement d’hameçonnage.

Piratez-vous… Éthiquement.

Les pirates éthiques tentent de violer les systèmes de sécurité de votre entreprise sans intention malveillante. Ils l’utilisent plutôt comme une expérience éducative pour mettre en évidence les points faibles. Souvent, cela signifie utiliser des attaques d’ingénierie sociale contre les utilisateurs pour voir comment ils réagissent. Plus récemment, Airbnb et Spotify ont demandé à des pirates éthiques de tester leurs systèmes.

Mots de passe, mots de passe, mots de passe…

Trop souvent, les utilisateurs rendent leurs mots de passe non seulement simples, mais aussi similaires sur les comptes professionnels, personnels et de médias sociaux. Si l’un d’entre eux se fait pirater, tout le château de cartes s’effondre. Formez vos utilisateurs à créer des mots de passe forts, mémorables et uniques grâce à ces 3 étapes faciles pour créer un mot de passe fort. Pour aller plus loin, les gestionnaires de mots de passe d’entreprise peuvent également vous aider à vous assurer que vos utilisateurs respectent votre politique de cybersécurité. Pour obtenir des conseils et des suggestions, consultez notre billet de blogue « 3 meilleurs gestionnaires de mots de passe et pourquoi vous devez en utiliser au moins un ».

Réfléchissez avant de créer un lien!

Les utilisateurs doivent toujours vérifier auprès de l’expéditeur avant de cliquer sur un lien suspect. Même s’il semble provenir d’une source légitime et fiable, il suffit d’un clic pour infecter un système avec un logiciel malveillant. À tout le moins, les utilisateurs devraient survoler un lien pour voir la destination et être paranoïaques à l’égard de tout ce qui a un domaine qui ne correspond pas à l’expéditeur présumé.

Créez un plan de cybersécurité accessible.

Faites un plan facilement accessible physiquement et mentalement. Les utilisateurs devraient pouvoir le voir régulièrement ou le reprendre rapidement lorsqu’ils ne savent pas quoi faire. Ils doivent également être en mesure de digérer l’information. Comme la plupart d’entre eux ne sont probablement pas des experts en TI, essayez de regrouper les connaissances en morceaux de la taille d’un octet.

Ne soyez pas doux avec les logiciels.

En fin de compte, vous devriez travailler avec un fournisseur de cybersécurité haut de gamme qui peut vous fournir la meilleure défense de première ligne pour empêcher de nombreuses menaces d’atteindre les utilisateurs finaux. Ils devraient également être en mesure de vous aider à chiffrer et à authentifier vos données en toute sécurité, ainsi qu’à passer à des solutions infonuagiques.

Si vous souhaitez en savoir plus sur les principales menaces de cybersécurité d’aujourd’hui et sur la façon de les prévenir, téléchargez notre livre blanc sur les tendances et les solutions en cybersécurité pour 2017 avec ces solutions pour les facteurs humains en cybersécurité et bien plus encore.