En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 15/11/2017
    Cloud Expo Europe Paris 2017

    Cloud Expo Europe, Paris 2017, c'est le grand rassemblement d'experts dédiés au Cloud. Parmi les…

    en détail En détail...
  • 06/12/2017
    Paris Open Source Summit

    Paris Open Source Summit, premier événement européen libre et open source, est le fruit de…

    en détail En détail...
Sigma_ebook_hybridation_leaderboard

Cyberattaque : le facteur humain joue un rôle clé

Vertiv_Power_300x250_FR

Pas besoin d’un grand savoir-faire technique pour voler des données ou infecter un système informatique, il suffit de s’adresser aux bonnes personnes par mail.

Publié quelques jours après la révélation d’une cyberattaque qui a touché plus de 100 banques à travers le monde (voir notre article), le rapport d'Intel Security « Piratage de l'OS humain » élaboré avec le soutien du Centre Européen de lutte contre la cybercriminalité d'Europol, présente les méthodes de manipulations des hackers pour rendre les collaborateurs d’entreprises complices ou acteurs d’actes de cybercriminalité.

Dans l’exemple cité, les attaques de phishing ciblées ont permis l’ouverture de brèches au sein de ces réseaux bancaires, démontrant ainsi la faiblesse intrinsèque du « pare-feu humain » Deux tiers des e-mails dans le monde sont des spams qui visent à extorquer des informations personnelles et confidentielles ainsi que de l'argent, selon Mc Affe Labs. En 2014, le spécialiste de la sécurité, a enregistré plus de 30 millions de liens suspects, liés à une forte augmentation des mails de phishing (hameçonnage). 92 % des employés français, 80 % des salariés à travers le monde, se sont déjà fait piéger par des menaces informatiques et notamment par des tentatives d’hameçonnage.

« L’analyse de nombreux cas d’usurpation de données nous montre qu’aujourd’hui le facteur humain est le plus souvent la clé qui permet aux hackers d’agir. En manipulant les personnes, ils les incitent à prendre des mesures qui facilitent l’infection des systèmes par des logiciels malveillants », commente Raj Samani, directeur technique EMEA d’Intel Security et conseiller auprès du Centre européen de lutte contre la cybercriminalité d'Europol. « Aujourd’hui, les cybercriminels n’ont pas nécessairement besoin de savoir-faire technique pour atteindre leurs objectifs. Certains logiciels malveillants peuvent infecter les ordinateurs en y accédant directement par e-mails. Ces attaques ciblées manipulent les victimes et les incitent à ouvrir des pièces jointes, prétendument légitimes, ou à cliquer sur un lien qui semble provenir d’une source sûre », ajoute Paul Gillen, directeur des opérations du Centre.

Voici les techniques de persuasion les plus souvent utilisées par les cybercriminels :

1. Réciprocité des échanges : les victimes ont tendance à se sentir obligées de répondre.

2. Rareté de l’offre : les individus sont motivés par l’obtention de ce qu’ils croient être une ressource rare ou une offre limitée dans le temps et peuvent ainsi s’exposer plus facilement au cybercrime. Par exemple, un faux courriel envoyé par une banque demandant à l'utilisateur d’accepter une demande suspecte afin d’éviter la désactivation de son compte dans les 24 heures peut avoir tendance à inciter au clic.

3. Cohérence des engagements : une fois engagée dans une démarche, la victime choisit très souvent de tenir ses promesses pour rester cohérente et éviter de paraître peu voire non fiable. Par exemple, un pirate peut se présenter en tant qu’un membre de l’équipe SI de l’entreprise et, après avoir fait en sorte qu’un employé s’engager à respecter tous les processus de sécurité, lui demander d’effectuer une tâche suspecte sur son poste, qui semblerait être conforme aux exigences de sécurité.

4. Appréciation et amitié : les tentatives d’hameçonnage sont plus productives lorsque le cybercriminel réussit à gagner la confiance de la victime. Pour endormir la méfiance, un pirate pourrait notamment essayer d’entrer en contact, soit par téléphone soit en ligne, et « charmer » au préalable sa victime potentielle.

5. Respect de l’autorité : Les directives dans un e-mail prétendument envoyé de la part du PDG de l’entreprise sont plus susceptibles d’être suivies par un employé.

6. L’effet de masse : par exemple, si un courriel de phishing est prétendument envoyé à un groupe de collègues, plutôt qu’à un seul destinataire, la victime potentielle de l’attaque se sent davantage rassurée et est plus susceptible de croire que le mail provient d’une source sûre.

Lire le rapport complet d’Intel Security : http://www.mcafee.com/us/resources/reports/rp-hacking-human-os.pdf

 

Auteur : Juliette Paoli

Cyberattaque : le facteur humain joue un rôle clé
Notez cet article

Laisser un commentaire

Pénurie de compétences IT ?

Anticipez en formant vos équipes. Trois conseils aux responsables informatiques pour garder une longueur d'avance

Lire le livre blanc Vodeclic

Sondage

Windows 10 et vous

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  •  Amende record de l'UE : la contre-offensive judiciaire de Google

    Google a lancé une contre-offensive envers la Commission européenne en déposant un recours contre l'amende…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Avis d'expert - Pour un « manifeste de l’automatisation »

    L'automatisation a le pouvoir de transformer la société, de révolutionner la façon dont les entreprises…

    > En savoir plus...
Etudes/Enquêtes
  • Gestion de l'expérience collaborateurs : à charge des RH ou des DSI ?

    Les ressources humaines (RH) ont longtemps été considérées comme étant responsables de l'expérience des employés.…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

Global Knowledge_Docker_Skycraper
Agenda
livres blancs
Les Livres
Blancs
  • Les bonnes pratiques pour implémenter une solution de personnalisation

    > Voir le livre
  • Guide du Service Management pour le DSI à l’ère mobile

    > Voir le livre
Global Knowledge_Docker_Skycraper