En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 20/03/2018
    Mobility Meetings

    Lancement d’un nouveau salon Mobility Meetings, qui aura lieu à Cannes les 20, 21 et…

    en détail En détail...
  • 12/03/2018
    7ème édition de Big Data Paris

    Le congrès Big Data Paris se tiendra les 12 et 13 mars 2018 à Paris…

    en détail En détail...
Appels d'offres en cours
  • Site internet de réservation dans le domaine VTC
    < 5 000 €
    > En savoir plus
  • Création d'un site e-commerce pour la vente de consommables pour le travail de la pierre
    < 5 000 €
    > En savoir plus
  • Création d'un site e-commerce pour la vente de prêt-à-porter
    A déterminer €
    > En savoir plus
ITrust_SOC_leaderboard

Le phishing de PDG : les pirates ciblent les données à forte valeur

ITrust_SOC_pave

Même les gros poissons aiment mordre les bonnes lignes, soutient Norman Girard, vice-président et directeur général Europe de Varonis

Les humains aiment cliquer sur des liens. Certains d’entre nous résistent mieux que d’autres à cette envie. En tout cas, on pourrait aussi s’attendre à ce que les membres des hautes sphères de l’entreprise (les responsables de haut niveau et les cadres dirigeants) sachent très bien résister aux appâts.

Harponner la baleine

Hélas, même les gros poissons aiment mordre les bonnes lignes. Nous possédons de plus en plus de preuves selon lesquelles les pirates informatiques ajustent de mieux en mieux leurs attaques contre les cibles à forte valeur. C’est ce que l’on nomme communément le « whale phishing » ou « chasse à la baleine ».

La société de sécurité Digitalis nous dit que les attaquants utilisent les médias sociaux pour effectuer des recherches sur les habitudes d’une personne (un intérêt pour le football par exemple). Ces informations serviront à contrefaire un courrier électronique (contenant un malware) qui semblera envoyé par un partenaire commercial (lui aussi découvert sur les médias sociaux) et mentionnera un match de football. C’est la classe affaires du phishing !

L’attrait du gros bonnet d’entreprise est que celui-ci détient sans doute des informations incroyablement précieuses sur son ordinateur portable. Pas les informations de base que l’on rencontre dans la plupart des atteintes à la protection des données, mais des éléments de propriété intellectuelle et d’autres données sensibles, contrats commerciaux en cours d’élaboration, clients importants, données financières confidentielles ou courriers électroniques embarrassants.

Ce genre d’informations peut être vendu à des concurrents ou mieux encore, publié à moins qu’une rançon ne soit payée.

Nous savons depuis longtemps que les attaques de phishing basées sur une recherche plus poussée s’avèrent très efficaces. Plus l’attaquant en sait long sur vous, plus il est probable que vous fassiez confiance à l’expéditeur.

Sur quel lien cliqueriez-vous ? Un lien trouvé dans un e-mail envoyé par le ministre des Finances du Nigéria à propos de fonds à recevoir ? Ou celui d’un e-mail de votre banque (et de votre agence) vous informant d’un ajustement de solde et vous demandant de consulter le PDF en pièce jointe ? Nous en avons assez dit.

La confidentialité des dirigeants

Digitalis a également déterminé que les dirigeants, tout comme le reste d’entre nous, ne sont pas très au fait de leurs paramètres de confidentialité sur Facebook et les autres sites de réseaux sociaux. Les recherches menées ont montré que moins de la moitié des personnes interrogées restreignent la consultation de leur profil. Et seulement 36 % d’entre elles suivent leurs paramètres sociaux.

Les dirigeants devraient-ils tout simplement renoncer aux médias sociaux ? J’ai entendu des experts dire que si les cadres dirigeants et autres responsables ne créent pas leur propre compte, les pirates effectueront ce travail à leur place en utilisant une fausse identité et en squattant leur propriété. Cela peut ensuite mener à un phishing très sophistiqué.

Un conseil : en tant que cadre dirigeant, vous devez prendre les rênes de votre identité numérique sur les réseaux sociaux. Ce qui nous amène à une des conclusions de la recherche de Digitalis : les dirigeants (ainsi que le reste d’entre nous) ne devraient jamais révéler plus de choses que nécessaire sur les réseaux sociaux.

Tout comme dans le monde des systèmes de fichiers, il faut toujours changer le paramètre par défaut qui indique généralement « tout le monde » et restreindre les informations aux seuls amis.

Et étant donné que les entreprises de réseaux sociaux (en fait, au moins un) ont eu la mauvaise habitude d’ajuster ces paramètres, vous devez vérifier votre compte de manière périodique comme le suggère Digitalis.

Un « concierge » pour la sécurité ?

Les pros de la sécurité ont indiqué que les réseaux sociaux, en raison de leur conception, partageront toujours certaines informations par défaut, et cela comprend généralement l’identité de vos amis.

Même avec des paramètres très restrictifs, un attaquant intelligent peut encore utiliser ces informations relatives aux amis pour deviner avec précision les habitudes, centres d’intérêt et préférences du compte cible. Le directeur financier de l’entreprise par exemple. Bienvenue dans notre univers !

Il n’existe ici aucune réponse facile en matière de protection des dirigeants contre les attaques. C’est en fait le problème auquel les entreprises sont confrontées à propos des pirates en général : ils entreront !

Le plus important est de surveiller et détecter les événements inhabituels survenant au niveau du système et des fichiers pour réduire les risques.

Par le passé, j’ai répété à de nombreuses reprises qu’allouer des ressources de sécurité informatique à la surveillance de l’activité sur les ordinateurs des VIP d’entreprise en vaut la peine. À la lumière de cette dernière recherche, je ne puis que le répéter.

Et si l’entreprise est de taille suffisante, cela pourrait comprendre la création d’un poste dédié, peut-être celui d’un « concierge » dédié à la sécurité. En tout cas, il est logique de prendre toute alerte ou notification relative à un compte informatique de cadre dirigeant très au sérieux. Ne les voyez pas comme des faux positifs probables. Il est judicieux de les suivre jusqu’à leur résolution complète.

 

Le phishing de PDG : les pirates ciblent les données à forte valeur
Notez cet article

Laisser un commentaire

Threat Intelligence Report

À travers sa plateforme de cyberveille mondiale, NTT Security analyse 40 % du trafic Internet dans le monde. Découvrez le dernier rapport du centre mondial de cyberveille (Global Threat Intelligence Center) sur l’état des menaces au troisième trimestre 2017

Lire le rapport

Sondage

Noël : quel cadeau High tech pour vous même ou vos proches? (3 choix possibles)

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
  • EDITO N°18

    La stratégie de l’extincteur Les feuilletons dramatiques de ces derniers mois ont été notamment les…

  • EDITO N°17

    Utopie ou réalité ? Les annonces quotidiennes de l’IT sont souvent à la frontière de…

Témoignages
Juridique
  • Revers judiciaire pour Samsung dans sa bataille contre Apple

    La Cour suprême des Etats-Unis a refusé lundi 6 novembre de remettre le pied sur…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Expert - Collaboration entre développeurs freelances et entreprises : pourquoi les grands groupes doivent recruter un Chief Freelance Officer

    Recruter un Chief Freelance Officer ? Charles Thomas, CEO et co-fondateur de Comet, une start-up…

    > En savoir plus...
Etudes/Enquêtes
  • Secteur IT : une croissance annuelle de l'emploi de 5 % !

    Les entreprises de services du numérique (ESN), les éditeurs de logiciels et les sociétés de…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

BlueMind_Nouvelle version_skycraper
Agenda
livres blancs
Les Livres
Blancs
BlueMind_Nouvelle version_skycraper