S’il y a bien un point sur lequel les experts en cybersécurité s’accordent, c’est de constater que le phishing reste l’une des principales cybermenaces dans le monde en termes de volume. Selon le dernier rapport State of the Phish de Proofpoint, près de 90 % des entreprises dans le monde ont été confrontées à des attaques visant la messagerie ou des attaques de spear phishing en 2019. Et selon Small Business Trends, nous recevons en moyenne cinq emails de phishing par jour, dont près d’un tiers passent à travers la première barrière de sécurité, arrivant directement dans nos boîtes de réception.

La menace est d’autant plus sérieuse que les cybercriminels utilisent des techniques toujours plus perfectionnées pour contourner les protections mises en place et piéger les collaborateurs. C’est notamment le cas de Masad Stealer, un nouveau malware prêt à l’emploi détecté pour la première fois en septembre dernier. Ce véritable logiciel espion était déployé via un cheval de Troie qui utilise l’application de messagerie sécurisée Telegram pour exfiltrer les informations volées à l’utilisateur. Ce type de perfectionnement reste cependant plutôt rare, la majorité des cas de phishing s’appuyant sur des techniques plus standardisées.

Mais même standardisées, les techniques du phishing continuent de payer puisque nous ne sommes presque plus surpris de découvrir de nouveaux cas d’entreprises piégées, notamment par des attaques par ransomware, avec une régularité pourtant alarmante. Pourquoi le phishing connait-il un tel succès et pour quelles raisons ces attaques ne sont pas plus facilement déjouées ?

L’un des principaux défis est la sensibilisation des utilisateurs. Ils restent les premières victimes des tentatives de phishing, soit en ouvrant des pièces jointes corrompues, soit en cliquant sur des liens frauduleux. En effet, en dehors du service informatique, les utilisateurs ne reçoivent généralement qu’une formation de base à la sensibilisation à la sécurité, le plus souvent au moment de leur arrivée ou alors seulement une fois par an. En réalité, la formation en sécurité demande un investissement continu qui est essentiel pour apprendre aux collaborateurs à repérer les attaques. Avec une formation plus régulière, les utilisateurs peuvent être mieux informés sur les menaces et sont plus susceptibles de partager leurs connaissances en échangeant avec leurs collègues.

Les données personnelles ont perdu de leur valeur. Pour faire simple, il y a tellement de données personnelles que les gens ne veulent (ou ne doivent) plus payer le prix fort. Le phishing est passé d’une stratégie de simple vol de données à des courriels contenant un logiciel malveillant de type ransomware ou malware. Parallèlement, le nombre de victimes prêtes à payer la rançon ne cesse de croître, avec l’espoir – malheureusement souvent vain – de retrouver rapidement un accès aux données. C’est notamment particulièrement le cas dans les secteurs de l’administration locale, de l’éducation et de la santé, où le coût pour limiter les dommages est souvent supérieur au montant de la rançon.

Si le phishing est bon marché, sa technologie est avancée. Nous sommes habitués à recevoir des spams. Aujourd’hui, les cybercriminels utilisent le Machine Learning pour améliorer le contenu et les réseaux sociaux afin de mieux cibler les individus et rendre les emails plus authentiques. Maintenir les utilisateurs informés des dernières stratégies et mettre à jour les formations de sécurité est, là encore, l’un des meilleurs moyens de se protéger contre une attaque s’emparant de données commerciales.

Les entreprises ne suivent pas toujours le rythme. Les équipes informatiques sont souvent débordées et peinent à garder une longueur d’avance. Trois des domaines les plus souvent négligés sont également les zones les plus fréquemment touchées par les attaques :

  1. Les patchs de solutions. Il s’agit peut-être de l’une des activités les plus fondamentales qui soient, mais les correctifs permettent de remédier aux vulnérabilités – et les vulnérabilités sont ce qui permet aux cybercriminels d’accéder aux systèmes. Recherchez sans cesse de nouveaux correctifs et corrigez-les encore !
  2. Les sauvegardes. Pour certaines organisations, le fait de disposer d’un processus de sauvegarde solide et éprouvé peut faire la différence. Si vous parvenez à maîtriser immédiatement la propagation des logiciels malveillants, la restauration des images peut suffire pour qu’elles soient à nouveau opérationnelles.
  3. Le BYOD (Bring Your Own Device) et l’IoT sont désormais très proches. A ses débuts, le BYOD consistait simplement à apporter au bureau un ordinateur portable, sur lequel il était d’usage de faire installer des outils de sécurité d’entreprise pour assurer la sécurité de l’appareil. Désormais, le principe s’est démocratisé et consiste à amener des appareils personnels de l’IoT au travail et à les connecter au réseau de l’entreprise. Nombre de ces dispositifs ne sont pas dotés d’un niveau de sécurité suffisant ou peuvent ne pas être configurés correctement par l’utilisateur de manière à contourner les processus informatiques. Il s’agit d’un risque énorme car les vulnérabilités et les faiblesses de l’IoT peuvent potentiellement être utilisées par les cybercriminels pour accéder aux données et aux systèmes.

L’infrastructure a un rôle à jouer

Les entreprises doivent prendre en compte l’ensemble des couches de sécurité pour empêcher les cybercriminels de s’introduire dans leurs systèmes. Ces dernières années, la messagerie électronique est passé d’une solution sur site à un hébergement dans le cloud, le service cloud intégrant une protection du courrier électronique. Mais qu’en est-il de celles qui échappent au réseau ? Les solutions avancées de protection et de prévention des menaces comprennent de nouvelles capacités avancées pour détecter les potentiels logiciels malveillants en pièce jointe, puis les supprimer avant de les livrer à l’utilisateur. En outre, elles utilisent des flux de menaces de réputation pour reconnaître quand un contenu contient des liens vers des sites web ou des adresses IP à haut risque et empêcher le contenu de parvenir à un utilisateur final.

Avec les technologies avancées de lutte contre les menaces, le prochain domaine à considérer est la manière de mieux les exploiter sur l’ensemble des données créées par de multiples solutions. C’est dans ce domaine que l’automatisation de la sécurité est un outil puissant. En tirant parti des données que vous avez sur le réseau dans les dispositifs de sécurité et des flux de menaces, des politiques peuvent être créées et appliquées pour garantir une notification précoce des menaces potentielles et une meilleure protection de votre environnement.

Mais, encore une fois, même lorsque vous disposez d’une protection de pointe contre les menaces pour protéger votre réseau, vous devez aussi toujours vous assurer que les utilisateurs font eux aussi leur part. Ils doivent rester vigilants et informés à tout moment – et vous ne pouvez attendre cela d’eux que s’ils reçoivent une formation adéquate, régulière et approfondie.
___________________

Par Laurence Pitt, directeur de la stratégie de sécurité chez Juniper Networks