"Very Attackable Persons" – pourquoi les VAP sont les véritables VIP de l’entreprise
Pas une semaine sans de nouvelles cyberattaques. En Suisse, de plus en plus de PME et de groupes sont victimes de pirates et de rançonneurs. Principal point faible: l’humain. Mais les collaborateurs ne sont pas tous exposés au même risque. Voici comment reconnaître et protéger les "Very Attackable Persons" (VAPs).
Comment à la fois me protéger et protéger mes clients? Cette question, de plus en plus d’entreprises se la posent. Pendant longtemps, la réponse reposait surtout sur des solutions techniques. Sur des pare-feu et des logiciels antivirus de plus en plus sophistiqués pour reconnaître chaque nouveau cheval de Troie et ainsi rendre l’ordinateur et le réseau plus sûrs. "Il nous faut trouver un nouveau stratagème", se sont dit les cyber-criminels.
De plus en plus, les "méchants" profitent des collaborateurs de leurs victimes dont ils font des complices involontaires, lorsqu’ils cliquent par exemple sur un lien de mauvais augure et installent ainsi sans le savoir un cheval de Troie dévastateur dans les systèmes de l’entreprise, susceptible de paralyser l’entier de son réseau.
Voici les personnes les plus menacées...
Voilà longtemps que la plupart des pirates ne choisissent plus leurs victimes au hasard. Quels sont les collaborateurs qui se retrouvent le plus souvent dans le collimateur des cybercriminels? Ce ne sont pas ceux que l’on soupçonnerait de prime abord. Ce ne sont ni le CEO, ni le CFO, ni la présidente du conseil d’administration. Ce ne sont pas les VIP.
C’est en revanche l’assistante du CEO qui réserve ses voyages d’affaires, le collaborateur du service financier qui donne les autorisations de paiement ou l’acheteuse qui s’occupe des achats de marchandises pour tout le groupe.
Ces personnes particulièrement vulnérables ("Very Attackable Persons") se distinguent par leurs pouvoirs relativement élevés dans leur domaine de spécialité et non par leur rôle dans la hiérarchie de l’entreprise. Un mauvais clic ou l’ouverture par inadvertance d’un fichier par l’un de ces collaborateurs sont à l’origine de la plupart des cyberattaques personnalisées recensées dans le monde. L’évolution vers le travail hybride a encore accru ces dangers déjà aigus. Des transactions importantes, impliquant de grosses sommes d’argent, sont validées via un Wi-Fi non sécurisé depuis le café favori d’à côté. Voilà à quoi ressemble la nouvelle normalité.
Comment à la fois me protéger et protéger mes clients?
Quiconque souhaite se protéger contre de telles attaques devrait, dans la stratégie sécurité de son entreprise, mettre l’accent sur les interactions humaines et non sur les appareils techniques qu’ils utilisent. Avec notamment des formations permanentes fortement orientées sur la pratique. Les entraînements à l’attention ("awareness training ") qui simulent la manière dont les attaques de ransomware sont camouflées conduisent à des collaborateurs plus prudents, à une remise en question des comportements et à rendre l’entreprise plus sûre.
Les entreprises qui comprennent que leurs "Very Attackable Persons" ne sont pas les "Very Important Persons" sont en mesure d’accorder une attention particulière à ces VAP et peuvent ainsi éviter d’être victimes de piratage via leur point le plus faible.
----------
A peine est-il rédigé qu’un concept de sécurité est déjà obsolète
Un hacker cherche toujours le moyen le plus simple de s’introduire dans le réseau d’une organisation, et il s’agit malheureusement souvent de son personnel – certains collaborateurs constituant des cibles privilégiées. Lead Competence Center & BDM chez Alltron, Robert Rolle explique ce qui caractérise ces "Very Attackable Persons" et comment gérer cette situation – sur le plan technique et organisationnel. Interview: Coen Kaat
Qu’est-ce qui caractérise une "Very Attackable Person"?
La principale caractéristique d’une "Very Attackable Person", c’est qu’elle dispose de relativement beaucoup de droits dans son domaine sans occuper un rôle privilégié dans la hiérarchie de l’entreprise. Pensez par exemple à l’assistant du directeur qui est en déplacement, à une collaboratrice des finances qui autorise les paiements ou à une personne chargée des achats de marchandises pour l’ensemble du groupe.
Quels sont les principaux risques qui en découlent pour les entreprises?
Les risques les plus importants sont les dommages financiers, par exemple en cas de fraude, mais aussi la perte de réputation et les coûts d’opportunité pour les affaires qui n’ont pas abouti en raison du sinistre.
Le "maillon faible humain" n’est-il pas plutôt dû à un concept de sécurité insuffisant dans l’entreprise?
Le meilleur des concepts de sécurité au monde sera un échec s’il ne tient pas compte du facteur humain. Pourquoi? Tout d’abord, parce qu’à peine rédigé, un concept de sécurité est déjà obsolète – des milliers de nouvelles variantes de logiciels malveillants apparaissent chaque jour. Deuxièmement, si l’on veut se protéger contre "tout", il faut aussi "tout" payer et cela devient hors de prix. Troisièmement, la vie ne se déroule pas comme le diagramme décrit dans un concept – des situations imprévues se produisent spontanément. C’est humain et (seuls) les êtres humains peuvent y réagir spontanément.
Où et comment fait-on alors intervenir la cyberdéfense?
Le problème, c’est qu’il suffit que les pirates trouvent une seule fois une faille pour atteindre leur objectif. Alors que les entreprises doivent repousser les pirates chaque jour, à de nombreux endroits: sur les serveurs, les clients, les pages web des boutiques en ligne, dans les environnements physiques et dans les interactions humaines. Pour protéger les entreprises et leurs Very Attackable Persons, il est donc particulièrement important de protéger les identités numériques des collaborateurs avec une authentification multi-facteurs, de garantir l’authenticité des documents (signés) avec des signatures et de vérifier les documents externes de la même manière. Puis d’établir et de faire vivre un concept de droits et de rôles sur le principe "Autant de droits que nécessaire, aussi peu de droits que possible". Un tel concept doit aussi tenir compte du contexte. Prenons l’exemple de la personne chargée de l’achat des marchandises. Si elle travaille toujours au bureau de Bâle, une gestion des droits sophistiquée reconnaîtra d’où provient une tentative de connexion et bloquera une IP se connectant depuis l’Amérique du Sud avec les données d’utilisateur de cette acheteuse ou tout au moins activera un autre mode d’authentification approprié.
Outre les mesures techniques, existe-t-il également des mesures organisationnelles pour augmenter la sécurité?
C’est indispensable! Il est important d’esquisser des scénarios d’erreur typiques – une attaque d’ingénierie sociale, par exemple –, de définir des contre-mesures, puis de s’exercer à ces contre-mesures. L’appât employé dans une telle attaque d’ingénierie sociale peut être une fausse commande lucrative et à court terme d’un client encore inconnu. Ce type de tromperie peut se faire via un e-mail d’hameçonnage ou via un appel d’ingénierie sociale – les bien connues arnaques téléphoniques. Face à cela, la mesure la plus importante est et reste la sensibilisation régulière des collaborateurs. Et cela peut même être divertissant! Avec les bonnes formations (en ligne), la sensibilisation se révèle facile, efficace et même agréable.
