Les cyberattaques n'ont pas attendu le début de l'offensive russe contre l'Ukraine pour viser les pays occidentaux. Ces dernières années, les attaques de pirates informatiques contre les administrations publiques et les services gouvernementaux ainsi que les vastes campagnes de désinformation et autres cybercampagnes se sont déjà multipliées. Ces dernières cherchaient avant tout à déstabiliser les États occidentaux et à influencer les élections démocratiques. Qu'elles visent les institutions gouvernementales, les services de santé publique, les écoles ou l'administration, les cyberattaques ciblent principalement aux collaborateurs, qui constituent la principale porte d'entrée. Il est bien plus facile pour les cybercriminels d'inciter des collaborateurs non avertis à commettre une erreur, comme un clic inconsidéré, que de déjouer les mesures de sécurité techniques.

Les collaborateurs dans le collimateur

Les cyberattaques contre le secteur public ont des motivations diverses, allant de la cyberfraude à l’extorsion par ransomware en passant par la collecte d'informations par les services de renseignement et la manipulation d'élections. Au-delà des pirates qui s’en prennent aux administrations publiques pour des motifs financiers, ce sont surtout les groupes de hackers soutenus par des Etats qui menacent les systèmes IT du secteur public. Il est donc d'autant plus important que les fonctionnaires, les employés de l'administration et les collaborateurs du secteur de la santé soient conscients des cyberrisques et capables d’identifier les tactiques et méthodes des attaquants. Les responsables de la sécurité dans le secteur public en sont également de plus en plus conscients. Selon le dernier rapport Voice of the CISO de Proofpoint, 43 % des RSSI allemands des administrations publiques considèrent l'humain comme le principal maillon faible en matière de sécurité - la perception est sans doute similaire en Suisse. De même, 43 % des responsables sondés s'attendent à ce que leur organisation soit touchée par une cyberattaque de grande ampleur au cours des deux prochaines années - des perspectives sombres pour la cybersécurité des institutions publiques.

La solution: formation et entraînement

Face à ce risque croissant, les équipes de sécurité des administrations doivent veiller à mettre en place des mesures de sécurité efficaces, notamment pour protéger au mieux le vecteur d'attaque principal qu'est le courrier électronique. Il s'agit notamment de s'assurer que les e-mails dangereux soient détectés et bloqués avant même d'atteindre la boîte mail des collaborateurs. Les mesures techniques à elles seules ne suffisent cependant pas à empêcher totalement l'envoi d'e-mails dangereux, surtout si ceux-ci ne contiennent ni logiciels malveillants ni liens dangereux ou s'ils servent uniquement à entrer en contact. Il est donc impératif que les responsables sensibilisent leurs collaborateurs aux pratiques cybercriminelles les plus récentes. C'est précisément là qu'interviennent les formations de sensibilisation à la sécurité. Des sessions de formation courtes et interactives permettent de transmettre des connaissances spécialisées sur les cyberrisques actuels avec des exemples concrets sur les tactiques déployées par les cybercriminels. Il est important que les formations soient régulières et fréquentes afin d’aiguiser la vigilance des employés aux cybermenaces. Couplée à des cyberattaques et des campagnes de phishing fictives intégrées dans le travail quotidien des fonctionnaires et des collaborateurs, cette méthode permet d'améliorer durablement la vigilance. 

Combiner la technique et l’humain

La combinaison de solutions de sécurité complètes et de stratégies mettant l'humain au cœur de la cyberdéfense est la meilleure façon de protéger les services gouvernementaux et les autorités. Sans de telles mesures, le bien commun risque de subir des dommages massifs. 

----------

"Les formations classiques n’ont que peu d'effet sur les comportements"

Les formations de sensibilisation à la sécurité ne sont utiles que si les sessions sont brèves et interactives. Michele Rapisarda, Senior Channel Manager Suisse & Autriche, explique comment Proofpoint conçoit ses formations. Interview: Tanja Mettauer

Quels sont les collaborateurs les plus touchés par les cyberattaques ciblées et comment les modes d'attaque diffèrent-ils selon la fonction des collaborateurs?

Contrairement à ce que beaucoup pensent, les cadres à la tête des administrations ou les dirigeants d’entreprise du secteur public ne constituent pas la première cible des attaques. Les cybercriminels s'en prennent plutôt aux collaborateurs à un niveau hiérarchique moyen et inférieur, mais qui disposent de droits d'accès étendus au sein de l'organisation. Parmi ces VAP (Very Attacked People), on peut citer les collaborateurs du secrétariat qui ont souvent un accès privilégié aux informations de connexion. En particulier dans le cas des attaques ciblées (spear phishing), les cybercriminels personnalisent les leurres en fonction de la victime potentielle. Avant de lancer une cyberattaque ciblée, ils consacrent souvent beaucoup de temps à enquêter sur leur cible à partir d'informations publiquement accessibles, via les réseaux sociaux notamment. Ce n'est qu'ensuite qu'ils se décident pour un appât précis augmentant la probabilité de succès de leur attaque.

A vos yeux, quels comportements des collaborateurs présentent les plus grands risques pour la sécurité?

Plus de 90% des cyberattaques réussissent grâce une action humaine de la part de l'organisation attaquée. Et le moyen de communication le plus utilisé par les cybercriminels est le courrier électronique. Les collaborateurs doivent donc être particulièrement vigilants dans ce domaine. Il suffit d'un clic irréfléchi ou de l'ouverture d'un document prétendument inoffensif pour provoquer une catastrophe. Les collaborateurs devraient en outre toujours faire attention aux liens qu'ils ouvrent et à l'endroit où ils saisissent leurs données d'accès, par exemple pour M365. Les pages web préparées par les pirates sont en effet souvent trompeuses et ce n’est que l’URL qui permet de les reconnaître comme illégitimes.

Comment fonctionne un Security Awareness Training de Proofpoint? Quels outils employez-vous?

Pour sensibiliser les collaborateurs aux cybermenaces, il ne suffit pas d'organiser quelques formations par an sous forme de cours magistraux. Nos formations de sensibilisation à la sécurité sont composées de deux éléments principaux. D'une part, la transmission de connaissances au moyen de courtes sessions de formation interactives, au cours desquelles les participants se familiarisent avec les tactiques actuelles des cybercriminels. D'autre part, nos formations comprennent des simulations d'attaques de phishing intégrées dans le quotidien du travail des collaborateurs. Ces dernières servent surtout à maintenir l'attention des employés à un niveau élevé et, en cas de mauvaise réaction, à les y rendre attentifs et à les former ultérieurement.

Quels sont les thèmes abordés dans un Security Awareness Training?

Les formations Security Awareness de Proofpoint comprennent notamment des modules sur l'utilisation des réseaux sociaux, le phishing, les ransomwares, les menaces internes, la protection des mots de passe et la sécurité de la messagerie.

Quelle est la recette pour obtenir des changements de comportement durables chez les collaborateurs?

A la différence des formations classiques, dont il est prouvé qu'elles n'ont que peu ou pas d'effet en termes de comportement, nos formations consistent en de courtes sessions interactives. Le fait que nos formations soient plus brèves, mais plus fréquentes et régulières, et qu’elles soient complétées par des simulations d'attaques de phishing, voire des formations complémentaires, nous permet d'obtenir des résultats durables en termes de comportement des collaborateurs.