Pourquoi les humains sont de plus en plus la cible des cyberattaques

Pourquoi les humains sont de plus en plus la cible des cyberattaques

Parlons du «problème des personnes». Les défenses de la cybersécurité et les méthodes de cyberattaque évoluent rapidement, mais pas tant les êtres humains. C’est pourquoi presque toutes les cyberattaques sont basées sur l’exploitation de la nature humaine.

En 2019, Proofpoint a déclaré de manière surprenante que plus de 99% des attaques observées par leurs chercheurs nécessitaient une interaction humaine. Ces interactions d’ingénierie sociale incluent cliquer sur un lien, ouvrir un document, activer une macro, ouvrir un fichier, etc. Bien entendu, les spécialistes de la sécurité et de l’informatique doivent se concentrer sur les défenses de périmètre, corriger les vulnérabilités et multiplier les autres systèmes de défense numérique. Mais comment empêcher les utilisateurs de garder la porte ouverte aux cyberattaques ?

Pour les criminels, cibler les personnes est logique. C’est plus rapide, plus facile et plus rentable que les systèmes de ciblage. Les attaquants exploitent la nature humaine avec des tactiques de diversion, telles que créer un faux sentiment d’urgence ou imiter des personnes de confiance. Et, bien sûr, les individus avec des personnalités différentes varient en fonction du degré de risque d’ingérence dans l’ingénierie sociale.

les assaillants s’attaquent également aux fruits les plus faciles. Les soi-disant «personnes très attaquées» et leurs adresses électroniques sont généralement disponibles sur les sites Web des entreprises et sur les réseaux sociaux, ou sont facilement détectables via une recherche sur Internet. Les cibles privilégiées incluent les entreprises de l’éducation, de la finance, de la publicité et du marketing, mais les criminels exploitent également des industries aux chaînes d’approvisionnement complexes, telles que l’industrie automobile.

Pourquoi les bonnes personnes font de mauvais choix en matière de sécurité

Un problème, sans surprise, est que de nombreux employés de votre entreprise ne savent tout simplement pas assez comment les attaques d’ingénierie sociale fonctionnent pour se défendre. Ce problème est exacerbé par le dynamisme des méthodes d’ingénierie sociale; ils changent constamment et les utilisateurs (qui ont d’autres objectifs sur lesquels se concentrer) ne peuvent tout simplement pas suivre le rythme.

Une partie de la raison est qu’elles sont mal entraînées. Selon le «Cyber Risk Survey 2019» de Chubb, moins d’un tiers (31%) des employés bénéficient d’une formation annuelle à l’échelle de l’entreprise dans leur entreprise.

Un problème est le manque de connaissances et de sensibilisation des membres de votre organisation. Le contraire est aussi un problème. En raison de la fréquence et de l’intensité des tentatives de cyberattaques qui exploitent la nature humaine, une fatigue des cyberattaques peut s’installer, où les utilisateurs deviennent résignés et impassibles face à la sécurité.

La fatigue des cyberattaques est extrêmement fréquente et a tendance à résulter du sentiment d’accablement submergé par le défi de la cybersécurité. Ils ont le sentiment que la cybersécurité est hors de leur contrôle. Ils développent donc un sentiment de fatalisme et cessent d’essayer. Les utilisateurs peuvent utiliser le même mot de passe incorrect pour plusieurs comptes, cliquer sur des pièces jointes aléatoires et faire comme s’ils ne connaissaient pas mieux.

Les attaquants peuvent également profiter de la prévalence de la fatigue liée aux décisions. Après avoir pris des centaines de décisions toute la journée, les employés ont tendance à ne plus se préoccuper de prendre la bonne décision. Parfois, les attaquants lancent spécifiquement des attaques en fin de journée pour cette raison.

Comment construire un utilisateur plus sécurisé

Il est tentant de voir le problème comme un problème pour les employés de base, mais il est préférable de les considérer comme faisant partie de la solution. Il est également tentant de leur priver de leur capacité à faire de mauvais choix, à restreindre ce qu’ils peuvent faire. Cependant, il est souvent préférable de leur donner les connaissances et les outils nécessaires pour faire les bons choix.

Voici quelques étapes que votre organisation peut prendre pour transformer le problème des personnes en solution:

  • Adoptez une approche globale et holistique de la cybersécurité, qui implique une formation efficace à la sensibilisation à la sécurité, associée à de meilleurs outils utilisateur. Concentrez-vous sur l’habilitation des utilisateurs à maîtriser leur propre capacité à éviter les abus de la cybersécurité et à se sentir comme un partenaire informatique dans la prévention des cyberattaques.
  • Identifiez et ciblez les personnes très attaquées de votre organisation. Faites le même type de recherche que les acteurs de menace en recherchant les personnes associées à votre organisation sur les moteurs de recherche et les médias sociaux, et collectez toutes les adresses e-mail répertoriées sur le site Web de votre organisation. Supposons que ces adresses électroniques seront des cibles fortement exploitées. Augmentez l’urgence et la sensibilisation en contactant occasionnellement des personnes très attaquées de votre organisation et en leur faisant savoir qu’elles sont une cible.
  • Portez une attention particulière aux courriers électroniques contenant des termes utilisés couramment par les attaquants, tels que «paiement» et «urgent». Suivez l’évolution des attaques en ingénierie sociale et utilisez ces connaissances à la fois en formation et en surveillance.
  • Gardez la formation à la cybersécurité fraîche et intéressante pour maintenir l’intérêt des utilisateurs. Réalisez des attaques d’équipe rouge simulées, qui non seulement sensibilisent, mais aussi psychologisent la cybersécurité, ce qui incite les utilisateurs à relever le défi qui consiste à agir en tant que partenaire des défenses de sécurité de l’organisation.
  • Créez une formation de sensibilisation à la sécurité non seulement sur les menaces passées et actuelles, mais également sur les menaces futures, telles que la prochaine vague d’attaques audio deepfake. Ce n’est qu’une question de temps avant que les attaques d’ingénierie sociale par téléphone impliquent des dirigeants imités de différentes organisations – par exemple le PDG – qui demandent des mots de passe et d’autres informations compromettantes.
  • Réduisez la surface d’attaque en mettant en place un système de mise en liste blanche des applications permettant uniquement les applications connues et approuvées
  • Donnez aux utilisateurs les outils dont ils ont besoin pour éviter les erreurs de sécurité. Par exemple, fournissez des alternatives de transfert de fichiers sécurisées aux pièces jointes, telles que des outils EFSS (Enterprise Sync and File) et des outils de cryptage renforcés.

C’est un fait que presque toutes les cyberattaques tentées contre votre organisation seront activées par une interaction humaine. La surface d’attaque est en grande partie constituée de personnes, ce qui signifie que votre défense devrait également l’être en grande partie. Commencez dès aujourd’hui en faisant en sorte que tout le monde soit plus impliqué, autonome et approvisionné.

Pourquoi la correction des vulnérabilités de sécurité n'est pas si simple Comment optimiser la formation de sensibilisation à la sécurité pour différents groupes?