Accueil Ingénierie sociale : former les collaborateurs

Ingénierie sociale : former les collaborateurs

S’il est habituel d’entendre que le principal risque informatique se trouve entre la chaise et le clavier, les attaquants ont bien identifié cette vulnérabilité. Or, sans en faire des analystes de SOC, il est possible de sensibiliser les collaborateurs au risque cyber.

Le 12 octobre 2023, un message du directeur général de Shadow informe les plus de 500 000 utilisateurs du service de PC dans le Cloud que 879 Mo de données internes avaient été dérobées par un attaquant. Une fuite de données parmi tant d’autres mais dont le point d’origine est l’installation d’un jeu infecté par un logiciel malveillant par un des salariés de l’entreprise. Or, si celui-ci a été tenté d’essayer ce jeu, c’est que l’un de ses amis sur le réseau Discord l’y avait poussé. Un message en fait écrit par l’attaquant qui a manipulé ce collaborateur de Shadow pour parvenir à ses fins…

Ce que l’on appelle le Social Engineering n’a rien de nouveau, c’était même la spécialité de Kevin Mitnick dans les années 80 qui a coécrit un livre sur la question, « L’Art de la supercherie ». Si les techniques d’attaque exploitant l’élément humain sont vieilles comme le monde et se traduisent actuellement par la recrudescence du phishing et de sa version personnalisée, le spear phishing, il est possible de lutter contre elles. Outre les solutions de filtrage mail et Web, le meilleur moyen est d’élever le niveau de maturité des collaborateurs. La formation au risque cyber est sans doute indispensable, mais présente des limites. Les collaborateurs oublient rapidement ce qu’ils ont appris et le renouvellement plus ou moins rapide des équipes implique de former sans cesse les nouveaux arrivants.

Les grands acteurs de la cyber mandatés pour mener des pentests ont inclus la composante humaine dans leurs exercices, mais voici quelques années, les fournisseurs d’antivirus et de solutions de sécurité ont commencé à proposer des solutions de « phishing testing  », des campagnes de phishing diffusées dans l’entreprise pour vérifier le niveau de maturité des collaborateurs. Parmi eux on peut citer Trend Micro, Kaspersky ou Fortinet. En parallèle, des éditeurs réellement spécialisés dans le domaine ont créé des offres. C’est le cas de Conscio Technologies (lire encadré), de Avant de cliquer ou encore SoSafe, une startup allemande dont le PDG est un psychologue et qui propose une offre de modules de sensibilisation à la Cyber et une solution de simulation d’attaque de phishing. Un tableau de bord permet de gérer l’avancement des formations par les différentes équipes, les profils les plus enclins à cliquer sur un message dangereux. Un bouton de reporting peut être glissé dans l’interface d’Outlook pour que les utilisateurs puissent signaler les e-mails frauduleux. « La plupart des entreprises ont commencé par la mise en place de formations longues, de type une journée entière consacrée à la cybersécurité une fois par an » explique Jean-Baptiste Roux, VP International Sales chez SoSafe. « Ce n’est clairement pas la bonne approche. Les sciences comportementales ont montré que l’on retient beaucoup mieux lorsque le message est court et qu’il est rappelé souvent. Il faut ancrer les formations dans la journée, avec des modèles très courts qui ne vont pas bloquer l’utilisateur. Celui-ci peut y consacrer 5 minutes avant sa pause déjeuner et y revenir quand il le souhaite. L’important est de faire des petites piqûres de rappel très fréquemment. » Pour contrer le risque de Spear Phishing, l’entreprise a la possibilité de personnaliser les messages envoyés à ses collaborateurs. SoSafe propose des templates de message complexes pour créer des messages personnalisés, mais contrairement aux vrais attaquants, pour des raisons de RGPD, l’entreprise ne va pas pouvoir enrichir ses messages avec des données glanées sur le web et les réseaux sociaux…

Carl Hernandez, cofondateur de la solution Avant de Cliquer, rappelle que « 80% des cyberattaques proviennent d’e-mails d’hameçonnage  ». L’entreprise propose 3 outils de sensibilisation : un audit pour mesure la maturité des collaborateurs, un bouton, installé dans les boîtes mail des utilisateurs, qui centralise les attaques évitées et une plateforme d’e-learning.

Autre éditeur à proposer ce type d’approche, MailinBlack avec son offre
Cyber Coach. « Cette offre permet de simuler des attaques en nous basant sur notre connaissance des taux de pénétration réels des messages de phishing » précise Thomas Kerjean, directeur général de MailinBlack. « Selon des données de la DGSE, l’attaquant a en moyenne accès à 80 points de données différents pour un individu lambda que ce soit dans le Web public et bien sûr les réseaux sociaux. Mais au-delà des éléments sociaux-démographiques dont on dispose sur un individu donné, des éléments neuropsychologiques entrent en jeu. Il s’agit du temps d’attention. Un attaquant dispose de 9 secondes d’attention à la lecture du message pour faire entrer l’utilisateur dans son tunnel d’attaque.  » L’attaquant va jouer sur les registres d’intérêt qui sont les mêmes pour tous les humains  : l’avidité, la curiosité, le stress. « Sur un échantillon de 260 000 campagnes, le taux de conversion sur l’appât du gain est largement inférieur à celui de la curiosité et à celui du stress. »

L’art de diffuser un message de sécurité auprès des collaborateurs

Au-delà du testing, il faut revoir la façon dont les campagnes de sensibilisation sont diffusées auprès des collaborateurs. L’éditeur Olféo a créé une offre spécifique pour diffuser les formations à la Cyber dans les organisations. Didier Oudin, Key Sales Executive Public sector chez l’éditeur explique le fonctionnement de cette solution : « Nous avons créé l’offre Olféo Campus en complément de nos solutions de contrôle des accès Internet, mais le vrai sujet, c’est sensibiliser les utilisateurs à la cybersécurité. Il s’agit d’élever le niveau de maturité des utilisateurs et les sensibiliser à des faits et des scénarios réels.  » Cet outil qui permet au manager, qui peut être le DPO ou un RSSI de proposer des contenus de formation aux collaborateurs. L’outil fait participer les utilisateurs à des scénarios et des formations via une plateforme qui ressemble un peu à une vidéothèque de formations. « Plusieurs sujets liés à la cybersécurité sont abordés, avec des vidéos suivies d’un QCM, basées sur des saynètes qui doivent parler aux collaborateurs. Le responsable va choisir les thèmes de ces formations par catégories d’utilisateurs. » Le socle vient simplifier la diffusion de ces contenus de formation et les utilisateurs pourront participer à ces scènes de formation sans interrompre leur journée de travail. Un email général est envoyé aux collaborateurs afin de les inviter à participer à tel ou tel parcours de sensibilisation d’une dizaine de minutes sur un sujet. Parmi ces sujets figure bien évidemment le phishing, mais aussi l’arnaque au président, le risque de connecter une clé USB trouvée, etc. « Le challenge est de proposer des contenus dans un format extrêmement court, de 5 à 10 minutes pour ne pas perturber le travail des utilisateurs. »

D’après les données amassées par MailinBlack, sur un échantillon de 4 milliards de messages, près de 72% étaient valides, 25,7% étaient des spams et 2,5% des cyberattaques. Les 102 millions d’attaques étaient composées de malware, de phishing et plus de 3,3 millions étaient des messages de spear phishing.

Outre la diffusion des contenus de formation, la plateforme délivre à l’administrateur de nombreuses informations quant à l’avancement des campagnes de formation en cours. Qui a commencé son parcours, qui faut-il relancer, où les collaborateurs en sont dans l’avancement, et disposer de statistiques sur les taux de réussite des différents QCM. L’administrateur dispose d’une vue sur le niveau de maturité des utilisateurs vis-à-vis des problématiques qu’il leur à proposées.

Quand la formation ne suffit pas…

En dépit de tous les efforts de sensibilisation de l’entreprise, il y aura toujours le risque qu’un utilisateur clique sur le lien qu’il ne fallait pas cliquer. Des moyens plus coercitifs peuvent s’avérer indispensables pour protéger certaines données sensibles. Editeur de solutions de DLP (Data Loss Prevention) Fortra (anciennement HelpSystems) propose un service dédié à la protection de la bonne réputation des entreprises et une veille de ce qui se dit à propos de leur marque sur les réseaux sociaux. Ses équipes parcourent le Dark Web afin de repérer les activités illicites liées à la revente des données de l’entreprise. Julian Gouez, Sales Lead South EMEA chez Fortra : « Nous traçons toutes les données qui auraient fuité d’une entreprise et été mises en vente sur le Dark Web. Nous savons aussi détecter les prémices d’une campagne de phishing à venir, notamment la création de noms de domaine suspects. En tant qu’acteur de confiance, nous pouvons signaler aux hébergeurs les sites qui sont ou vont être utilisés dans le cadre de campagne de phishing afin de les mettre hors-ligne avant que la campagne ne soit lancée. »

Fausse alerte ! Le Phishing Testing permet d’avoir une idée claire sur le niveau de maturité réel des collaborateurs vis-à-vis du risque de message frauduleux. C’est le point de départ d’initiatives de sensibilisation.

Pour la protection contre les actions jugées à risque des collaborateurs, l’éditeur propose sa solution de DLP. « Pour résumer, tout ce qui survient sur le poste des collaborateurs est audité. Que ce soit la navigation sur Internet, l’extraction de données, notre agent Windows est capable de remonter toutes ces informations. Cet agent travaille sur les couches basses de Windows si bien qu’on ne surveille pas uniquement la copie de données sur Internet ou sur une clé USB, mais aussi un simple couper/coller de texte, une altération de la base de registres, etc. » L’entreprise met en place des règles plus ou moins contraignantes pour ses utilisateurs. Elle peut simplement les aviser qu’ils se livrent à des actions non conseillées. L’utilisateur est averti que son action a été loggée et que son comportement ne correspond pas à la charte d’utilisation de l’entreprise et que son responsable et le service de sécurité en seront avisés. L’entreprise a aussi la capacité de bloquer ce type d’usage si elle le souhaite. Cela dépend jusqu’où l’entreprise veut aller dans la contrainte et le côté invasif de la démarche.

Alain Clapaud