Les employés analphabètes sont dangereux pour l'entreprise. Ils peuvent casser un tel bois de chauffage qu'ils devront être enlevés par les trains. Cela est vrai pour n'importe quel secteur et position et sécurité de l'information. Cela s'applique dans toute la mesure: en cliquant sur une pièce jointe ou un lecteur flash infecté ramené de chez vous - c'est tout, un ransomware ransomware pénètre dans le réseau de l'entreprise, le travail est paralysé, le service informatique recherche des sauvegardes à jour pour restaurer les disques informatiques chiffrés par le virus et le Finder calcule les pertes de temps d'arrêt.En outre, conformément à l’effet Dunning-Krueger bien connu, les employés analphabètes restent convaincus qu’ils font tout correctement ou, du moins, ne font rien de terrible. Et c'est précisément ce qui entraîne souvent des conséquences désastreuses.
En fait, presque tout système de protection est inutile si les employés ne possèdent pas au moins les bases de la sécurité de l'information. Ces employés deviennent les principales vulnérabilités du système informatique de votre entreprise.
Comprenant cet état de fait, les cybercriminels utilisent de plus en plus les entreprises victimes comme vulnérabilité pour leurs attaques. Utiliser l'analphabétisme humain est beaucoup plus facile que de trouver une vulnérabilité dans un réseau d'entreprise. En raison de l'analphabétisme de la sécurité de l'information, même d'un employé, une organisation court le risque de perdre de l'argent, des données et de la réputation, d'obtenir des réclamations légales ou de perdre de l'équipement.
Les experts de Trend Micro ont évoqué les types d'attaques auxquelles les employés sont confrontés: appareils compromettants, phishing et souvenirs malveillants.
Compromis sur l'appareil
L'utilisation de vos propres gadgets et ordinateurs portables (Bring Your Own Device, BYOD) pour travailler dans l'entreprise est une tendance à la mode, particulièrement populaire parmi les startups. Il semble qu'une telle organisation du processus incarne le principe gagnant-gagnant: l'entreprise n'a pas à dépenser d'argent pour l'achat et l'entretien du lieu de travail, et l'employé travaille sur un ordinateur portable qu'il a lui-même sélectionné et configuré. S'il veut travailler à domicile, il n'aura pas à copier les fichiers de travail et l'accès aux systèmes d'entreprise est déjà configuré. Le coût d'achat de l'appareil est compensé par la possibilité de dormir plus longtemps ou même de rester à la maison, en travaillant à distance.
Du point de vue de la sécurité de l'information, l'utilisation d'un seul appareil pour résoudre les tâches professionnelles et domestiques est une source de risques sérieux, surtout si l'employé n'est pas trop diligent pour apprendre les bases de la sécurité de l'information.
Après une journée bien remplie, je veux me laisser distraire. Le téléchargement de films et de musique, la recherche de jeux ou de programmes piratés peuvent entraîner des dommages sur l'ordinateur. Et puis, une fois connecté à un réseau d'entreprise, toutes les données de l'entreprise seront compromises.
Si vous vous précipitez dans un café et vous connectez au réseau d'entreprise via un réseau Wi-Fi public pour terminer le rapport pour une tasse de café, les informations d'identification peuvent être interceptées et utilisées pour voler des informations confidentielles. Et un ordinateur portable ou une tablette peut être volé ou emporté de la maison au bureau. Avec l'ordinateur portable, les données qu'il contient fuiront également.
De nombreux visages de phishing
La manière traditionnelle d'organiser un flux de travail sous la forme d'ordinateurs fixes supprime partiellement les risques typiques du BYOD, mais dans ce cas également, un niveau insuffisant de maîtrise de l'information peut devenir fatal pour une organisation. Tous les employés utilisent le courrier électronique, ce qui signifie qu'ils sont des victimes potentielles du phishing - des courriels frauduleux déguisés en courriels provenant des services de livraison, des entrepreneurs, du support technique ou de la direction.
En utilisant le phishing, les cybercriminels peuvent forcer la victime à lancer le malware joint à la lettre, entrer ses informations d'identification pour accéder au réseau, ou même effectuer un paiement en utilisant les coordonnées des fraudeurs au lieu d'une véritable contrepartie.
Le spear phishing est un danger particulier, dans lequel les cybercriminels collectent d'abord des données sur l'organisation, sa structure, ses employés et ses processus de travail, puis préparent des lettres contenant des noms et des postes réels, rédigées conformément aux normes de l'organisation. Reconnaître ces lettres est plus difficile, donc l'efficacité de ces envois est beaucoup plus élevée.
Les e-mails de phishing ne peuvent contenir aucune pièce jointe malveillante et semblent totalement inoffensifs lorsqu'il s'agit d'un type d'hameçonnage tel que la compromission de la correspondance commerciale (Business Email Compromise, BEC). Dans ce cas, les fraudeurs entament une correspondance avec l'un des dirigeants de l'entreprise au nom d'une autre organisation et le convainquent progressivement de la nécessité de transférer de l'argent sur leur compte. Malgré le caractère fantastique du scénario décrit, c'est ainsi au printemps 2018 que les assaillants ont
détourné 19 millions d'euros de la succursale néerlandaise de la société cinématographique française Pathé .
Appareils surprise
Les attaquants ne restent pas immobiles. Nous assisterons à de nouvelles formes d'attaques visant des utilisateurs naïfs et toutes ne seront pas diffusées via Internet. Un exemple est une attaque via un lecteur flash gratuit. Lors d'événements partenaires, de présentations, de conférences et tout simplement comme un cadeau, les employés reçoivent souvent des lecteurs flash avec du matériel de travail. Un employé qui ne connaît pas les rudiments de la sécurité des informations insérera probablement immédiatement une clé USB dans l'ordinateur à son arrivée au bureau - et pourrait recevoir une surprise malveillante. Parfois, les organisateurs de l'événement ne savent même pas que l'ordinateur à partir duquel les documents publicitaires ont été enregistrés sur la clé USB a été infecté par quelque chose.
Cette technique peut également être utilisée pour infecter intentionnellement l’ordinateur d’une victime. En 2016, une expérience a été menée à l'Université de l'Illinois, dispersant 300 lecteurs flash «chargés» sur le campus pour vérifier combien de personnes les utiliseront et à quelle heure cela se produira. Les résultats de l'expérience ont surpris les chercheurs: le
premier lecteur flash a été connecté à l'ordinateur après 6 minutes , et seulement 48% de ceux qui ont trouvé les lecteurs flash l'ont trouvé, et tous ont ouvert au moins un fichier dessus.
L'un des exemples à grande échelle d'une véritable attaque (
DarkVishnya ), lorsque les agents de sécurité des banques n'ont pas remarqué un appareil caché connecté au réseau. Pour mener à bien l'attaque, les assaillants sont entrés dans les bureaux de la banque sous couvert de courriers ou de visiteurs, puis ont discrètement connecté un mini-ordinateur Bash Bunny déguisé en lecteur flash USB, un netbook bon marché ou un ordinateur Raspberry Pi à carte unique équipé d'un modem 3G / LTE au réseau local de la banque. L'appareil s'est déguisé en environnement pour le rendre plus difficile à détecter. De plus, les attaquants se sont connectés à distance à leur appareil, ont analysé le réseau de la banque pour détecter des vulnérabilités, l'ont pénétré et ont volé de l'argent. En conséquence, plusieurs banques d'Europe de l'Est ont souffert et les dommages causés par les attaques de DarkVishnya se sont élevés à plusieurs dizaines de millions de dollars.
Les performances impressionnantes d'une attaque avec des lecteurs flash perdus montrent à quel point les gens sont frivoles en matière de sécurité et combien il est important d'éduquer les utilisateurs sur le bon comportement dans de telles situations.
Que faire à ce sujet?
Malgré l'abondance de protection logicielle et matérielle sur le marché, il convient d'allouer une partie du budget pour contrer les attaques visant les employés. Voici les recommandations les plus importantes:
-
S'entraîner. Tous les employés doivent comprendre que l'ignorance des principes de la sécurité de l'information ne dégage pas de leur responsabilité, et donc être intéressés à les sensibiliser à ce sujet. De la part de l'entreprise, les coûts d'organisation et d'animation de séminaires de formation à la sécurité de l'information doivent être considérés comme des investissements pour réduire les risques et prévenir les dommages.
-
Train. Les connaissances théoriques sont rapidement extirpées de la mémoire par des informations plus populaires. Le renforcement des compétences dans la pratique aidera à entraîner les attaques. Avec leur aide, vous pouvez identifier les employés qui n'ont pas appris les informations et effectuer un recyclage pour eux.
-
Mettre en œuvre la politique «Voir quelque chose, dire quelque chose». Face à une cybermenace, un employé peut rester silencieux jusqu'à la fin, par crainte d'être licencié ou tenter de l'éliminer de manière indépendante. Pendant ce temps, la notification en temps opportun d'un incident permet d'éviter la propagation de logiciels malveillants sur l'ensemble du réseau de l'entreprise. Sur cette base, il est important d'élaborer des règles de service de telle sorte que l'employé qui signale l'attaque reçoive de la gratitude et que le service de sécurité de l'information puisse corriger la menace et commencer à l'éliminer.
Conclusion
Tout système informatique est vulnérable et le maillon le plus faible, en règle générale, est une personne. La tâche de chaque chef d'entreprise est de minimiser les risques dans le domaine de la sécurité de l'information associés aux attaques contre les employés. Pour résoudre ce problème, la formation, la formation et la bonne organisation du traitement des cyberincidents aideront. Idéalement, avoir une compréhension de base de la cybersécurité devrait faire partie d'une philosophie d'entreprise.