Roger Grimes est fermement convaincu que, pour être résilientes contre les cyberattaques, les organisations doivent favoriser une culture de sensibilisation et d’éducation à la sécurité, ce qui en fait un élément essentiel de leur fonctionnement.

Alors que les équipes de sécurité doivent s’assurer qu’elles disposent d’un écosystème complet de technologies pour protéger les données de l’entreprise, il est également essentiel que les employés comprennent l’impact de leurs comportements en matière de sécurité, comme aborder les e-mails avec prudence et chiffrer les données partagées dans les e-mails et via les plateformes de partage de fichiers.

Alors voici 6 comportements adoptés par les pirates et quelques conseils sur la façon de détecter une tentative d’hameçonnage avant qu’il ne soit trop tard.

Les pirates veulent que vous réagissiez rapidement.

Auparavant, le conseil prédominant pour éviter le phishing était : « N’ouvrez pas un e-mail de quelqu’un que vous ne connaissez pas. » Malheureusement cela ne suffit plus.

Souvent, ces e-mails proviennent de personnes avec qui vous faites affaire depuis 10 ans. Alors la bonne réaction maintenant est la suivante : S’il s’agit d’un e-mail inattendu, même de la part d’une relation professionnelle, et qu’on vous demande de faire quelque chose qu’on ne vous a jamais demandé de faire auparavant, et que cette chose qu’on vous demande de faire pourrait s’avérer dangereuse pour vous ou votre entreprise, alors interrogez-vous avant d’agir trop rapidement en cliquant dans ce mail.

Mais s’interroger, c’est plus facile à dire qu’à faire, tout le monde travaille vite et peut cliquer dans les e-mails et les liens sur leurs téléphones et tablettes, peut-être en écoutant distraitement un appel et en ne consacrant pas toute leur attention à l’e-mail devant eux.

Mais aborder chaque e-mail avec scepticisme et prêter attention aux détails est un changement de comportement puissant, et cela peut faire la différence entre un incident évité de justesse et une violation de données.

Les pirates veulent que vous supposiez que les e-mails de vos collègues sont sans danger

Il y a des années, lorsque vous receviez un e-mail de phishing, il contenait toutes sortes de fautes de frappe et il provenait d’une adresse e-mail d’apparence étrange. On se disait : ’Ce n’est pas possible que ce soit mon patron’ ou ‘C’est impossible que ce soit Microsoft.’ Mais, de nos jours, ces mails frauduleux sont beaucoup plus sophistiqués. Ils ciblent de plus en plus souvent des secteurs particuliers. Les attaques de phishing commencent à utiliser des termes, un jargon et des scénarios spécifiques à un secteur donné, afin de favoriser un faux sentiment de confiance. Au fur et à mesure qu’ils apprennent, les groupes de pirates peuvent rendre ces e-mails de plus en plus réalistes.

Ces attaques sont efficaces et les pirates informatiques peuvent utiliser une seule faille comme point de départ pour compromettre toute l’entreprise, les contacts, les collègues et les partenaires de la victime.

Aujourd’hui, on voit de plus en plus de mails très ciblés qui semblent provenir d’un manager – et le manager en question fait référence à un projet sur lequel le collaborateur travaille. Alors ils diront : ‘Dis, tu connais ce projet RH sur lequel tu travailles avec Cindy ?’ Et pensant qu’il est impossible de savoir, en dehors de l’entreprise, que Cindy est la personne qui approuve les chèques, vous cliquerez. Malheureusement, parfois, ils découvrent le nom de cette personne dans un document public ou ont compromis un partenaire qui traitait avec Cindy.
Oui, on peut regretter le temps où les e-mails étaient mal orthographiés !

Les pirates veulent que vous soyez dans l’émotion

Jouer sur l’émotion est de plus en plus courant dans les attaques d’ingénierie sociale, car cela brouille le jugement des gens et les amène à agir avec un sentiment d’urgence. Un e-mail de votre patron ou de votre PDG vous demandant d’effectuer immédiatement un virement bancaire essentiel pour l’entreprise peut vous inciter à agir de manière urgente et sans réfléchir pleinement à la demande.

C’est exactement ce que veut le hacker.

Avec la pandémie, les informations de santé (et la désinformation) peuvent amener les gens à cliquer sur un lien par frustration, inquiétude, peur ou colère.
Par exemple, une astuce très efficace est un e-mail disant : ‘Venez vous faire vacciner contre le COVID maintenant’ Et le destinataire se dit alors : ‘Qu’est-ce que ça veut dire ? Je suis vacciné !’ Et, boum, il clique ! Mettre la personne en colère la rend beaucoup plus susceptible de ne pas regarder l’e-mail dans sa totalité, comme elle l’aurait fait pour un simple e-mail.

Oui, les pirates informatiques deviennent vraiment de grands professionnels de psychologie humaine !

Les pirates veulent que vous réutilisiez les mots de passe.

Les violations de données se produisent tout le temps et souvent elles révèlent les informations d’identification des utilisateurs, y compris leurs mots de passe. Cela peut être extrêmement dommageable pour les personnes qui réutilisent les mêmes mots de passe sur plusieurs comptes. Cela vaut vraiment la peine d’utiliser des mots de passe longs, complexes et uniques pour chacun de ses comptes. D’ailleurs, les gestionnaires de mots de passe sont une grande aide pour les générer et les conserver. Car peu importe comment on le fait, il est indispensable de ne pas réutiliser le même mot de passe, car chaque site Web supplémentaire sur lequel on l’utilise, augmente de manière exponentielle le risque.

Cependant, en entreprise, cette recommandation est difficile à appliquer. Car comment une entreprise peut-elle savoir si un employé réutilise un mot de passe professionnel sur son site Web bancaire, sur Amazon ou sur Instagram ? c’est impossible, sauf à amener les employés à en prendre conscience et s’y intéresser…

Les pirates veulent que vous pensiez que vos actions n’ont pas d’impact.
Il est important de réaliser que les ransomwares n’affectent pas seulement l’entreprise : ils affectent également les employés… Oui, car ils impactent le bénéfice de l’entreprise ; ils coûtent si cher !

Le ransomware moyen circule dans une entreprise depuis 200 jours en moyenne avant qu’il ne se déclenche, et pendant ce temps, il collecte les mots de passe de tous les employés. De leur compte Amazon, leur compte bancaire ou de leur Plan Epargne Retraite, leur mutuelle… tous ces mots de passe peuvent potentiellement être obtenus.

Les responsables de la sécurité peuvent alors partager des exemples d’incidents majeurs et souligner leurs impacts financiers (la violation de données moyenne coûte 3,5 millions d’euros en France), faisant comprendre ainsi le potentiel impact sur leurs primes.

Les pirates veulent que vous traitiez la sécurité avec désinvolture, ou que vous l’oubliiez complètement.

Ce que les pirates aiment, c’est l’incohérence. Alors, il est important d’instaurer une culture consistant à faire constamment les mêmes choses encore et encore. Comme de crypter tous les mails, les données échangées, sur les outils collaboratifs, comme dans les applications Cloud. Il sera alors plus difficile de s’infiltrer.

Et pour changer la culture, il faut une communication continue, pour faire de la sécurité un élément central de la façon dont les équipes fonctionnent et collaborent au quotidien.

Un changement de comportement pour leur sécurité et celle de toute l’entreprise.