À l’occasion du Black Friday, période marquée par une hausse massive des connexions et des tentatives de fraude, Jean-Christophe Vitu, VP Solution Engineers EMEA chez CyberArk, alerte sur la professionnalisation des attaques liées aux identités. Il insiste sur la combinaison indispensable entre sécurité technique et culture de vigilance pour réduire la surface d’exposition.
SNC : Pourquoi le Black Friday constitue-t-il un terrain particulièrement sensible pour les attaques liées aux identités ?
Jean-Christophe Vitu : Il y a eu une transformation ces trois dernières années. Le Black Friday ciblait déjà les identités, surtout côté consommateur, en passant par du phishing, du spam et du smishing (phishing par SMS sur les livraisons). Cela provoquait parfois des compromissions, notamment de données bancaires.
Ce qui a changé, c’est la professionnalisation. Les attaquants ont désormais de véritables « business units » qui collectent et revendent massivement des identités. Le Black Friday est devenu une opportunité pour lancer des campagnes de mass harvesting afin de récupérer des identifiants qui seront ensuite testés partout : accès bancaires, comptes personnels, mais aussi accès professionnels.
L’arrivée de l’IA simplifie encore la mise en œuvre d’attaques extrêmement réalistes : usurpation, sites factices utilisant des caractères d’alphabets étrangers, URLs quasi indiscernables… Et au-delà du simple vol d’identifiants, des pièces jointes peuvent installer des infostealers capables d’aspirer tout ce que contient la machine, y compris le gestionnaire de mots de passe du navigateur.
Aujourd’hui, plus de trois quarts des campagnes de spam durant cette période sont liées au Black Friday. Et les attaquants vont au-delà des consommateurs : ils ciblent aussi les organisations.
La sensibilisation ne consiste pas seulement à détecter des liens malveillants. Qu’est-ce que cela implique concrètement pour les organisations ?
J.-C. V. : Pour les utilisateurs finaux : utiliser des mots de passe différents et activer le MFA dès que possible. Pour les entreprises : généraliser le MFA, multiplier les mécanismes de blocage, recenser rapidement les faux sites pour en demander le déréférencement, et surveiller les campagnes d’usurpation de leur marque. Les marques de luxe, par exemple, sont particulièrement ciblées.
Comment créer une culture qui encourage réellement les utilisateurs à « faire une pause avant de cliquer » ?
J.-C. V. : Il faut des campagnes de sensibilisation crédibles, qui ressemblent vraiment à ce que ferait un attaquant. Plus le message paraît urgent ou attirant, plus il est efficace. L’objectif n’est pas de piéger les collaborateurs pour les stigmatiser, mais d’utiliser ces exercices comme des campagnes positives : montrer les mécanismes, expliquer comment identifier le danger, et même récompenser ceux qui signalent les tentatives.
Les entreprises investissent beaucoup dans les solutions techniques. Comment rééquilibrer avec un investissement dans la culture cyber ?
J.-C. V. : Le niveau d’éducation progresse, car tout le monde est exposé à la cybersécurité, qu’il s’agisse de campagnes télévisées ou d’actualités. Mais même les experts peuvent avoir un moment d’inattention. L’important est de détecter rapidement lorsqu’on est tombé dans le panneau, et de comprendre comment réagir. L’éducation doit donc porter autant sur la prévention que sur la réaction.
Quels sont, selon vous, les fondamentaux pour réduire réellement la surface d’exposition ?
J.-C. V. : D’abord, réduire au maximum la dépendance aux mots de passe. Simplifier la vie des utilisateurs est essentiel : moins ils ont à gérer des informations complexes, moins ils feront d’erreurs. Ensuite, mettre en place des mécanismes de contrôle obligatoires : surveillance des opérations, alertes en cas d’accès anormal. Si un employé n’a aucune raison d’accéder à un fichier client, ce comportement doit automatiquement lever une alerte. Ce type de détection permet de repérer aussi bien un acteur externe qu’une menace interne.
Quels signaux faibles ou comportements à risque observez-vous le plus souvent en cette période ?
J.-C. V. : Les connexions inhabituelles, par exemple des connexions successives depuis des zones géographiques incohérentes. Ou encore des multiples tentatives d’authentification avec différents mots de passe : cela peut indiquer que l’attaquant teste le dictionnaire de mots de passe récupéré pour cette personne.
Avez-vous des retours de terrain sur des entreprises ayant réduit leur risque grâce à une approche combinant technique et culture ?
J.-C. V. : Les entreprises du luxe sont parmi les plus matures, car le préjudice touche directement leur image de marque. Elles surveillent de très près ce qui est envoyé en leur nom et ce qui circule sur leurs environnements afin d’éviter toute atteinte à la marque. Elles ont compris que la protection de l’identité est indissociable de leur réputation.
Quel message souhaitez-vous envoyer aux dirigeants alors que le volume de fraude continue d’augmenter ?
J.-C. V. : Il n’existe aucune solution magique. Ce qui fonctionnait il y a 5 ou 10 ans n’est plus valable aujourd’hui : les attaquants évoluent constamment. Il faut une veille continue, suivre les organismes de sécurité, adapter son niveau d’alerte et mettre à jour ses pratiques. Il n’existe pas de sécurité 365 jours par an, mais il est possible de se prémunir efficacement en comprenant ses risques et en appliquant une méthode solide.
Comment concilier gestion des identités, Zero Trust et sensibilisation pour créer une véritable résilience ?
J.-C. V. : Tout commence par une cartographie précise : les entreprises historiques avec une infrastructure lourde ne partiront pas du même point que les entreprises “born-in-the-cloud”. Une fois les risques critiques identifiés, on priorise les actions, étape par étape, selon les recommandations des autorités de sécurité. La résilience repose sur cette progression logique et continue.
Souhaitez-vous ajouter un dernier point, notamment sur l’usage croissant de l’IA ?
J.-C. V. : L’IA générative ouvre des opportunités, mais aussi des vulnérabilités. Les entreprises doivent éviter la course à l’intégration rapide. Une pause est nécessaire pour réfléchir à la sécurité des données que ces agents manipuleront. On a déjà vu des attaques où des agents IA ont été utilisés pour générer de fausses factures ou de fausses commandes. Dès qu’on met en place des agents conversationnels, même pour le support ou le service client, il faut se demander quelles données ces systèmes peuvent exposer et comment elles pourraient être exploitées par un attaquant. Aller vite, oui, mais correctement.
