Préparer les salariés aux attaques, un enjeu majeur

CD-Systems Actualités informatiques Préparer les salariés aux attaques, un enjeu majeur
03 Juin 2024


La sécurité informatique des organisations ne dépend pas uniquement des choix de la direction et du service informatique.

Les menaces évoluent et les attaques ne sont plus nécessairement des programmes / menaces installés sur les postes dans le but de faire du tort. Certes les mouchards, keylogers et autres rançonwares existent toujours mais il ne faut pas oublier les attaques de type pishing. Et en la matière le bridage du poste (retrait des droits administrateurs), firewall et anvirus ne sont pas une protection suffisante.

En effet le pishing (ou hameçonnage) est une ruse vous laissant croire qu'il s'agit d'une demande fondée, de Microsoft, Chronopost, Apple, Google, banque, ou tout autre entreprise dont vous utilisez les services. Vous recevez par exemple un mail indiquant qu'il y a un problème sur votre compte Google, vous cliquez sur le lien. Vous arrivez sur une page ressemblant étonnament au site internet de Google et l'on vous demande de saisir votre adresse mail et mot de passe. Vos identifiants se trouvent entre les mains de personnes malveillantes sans même que vous vous en rendiez compte.

Pour ce genre d'attaque, le hackeur ne s'appuie pas sur les failles informatiques d'une organisation mais sur le facteur humain.

Dans une communauté, chacun peut avoir un comportement différent et c'est le niveau de sensibilisation / formation qui fera la différence. 

C'est notre rôle de prestataire informatique de sensibiliser les utilisateurs, expliquer les indices qui peuvent susciter la méfiance. Mais souvent ça se fait à la marge d'une autre intervention ou pas de manière suffisamment ciblée.

Mais au delà d'une formation, il devient de plus en plus utile de faire des simultations d'attaques régulières. Car parfois des utilisateurs trop sûr d'eux ne vont pas se sentir concernés par les conseils généraux, convaincus qu'il faut être naïf pour se faire avoir, et qu'ils ne vont pas tomber dans le panneau.

Quoi de plus efficace que de pouvoir dire "Nous avons fait une simultation de pishing le 17 mars. 4 utilisateurs sur 21 ont cliqué sur le lien figurant dans le mail et 3, dont vous ont saisi des informations sensibles dans le formulaire pointé par ce lien".

Une fois pris "les mains dans le pot de confiture", les certitudes tombent et la vigilance augmente. Car les points d'attention passés (orthographe, charte graphique) ne sont plus suffisants pour savoir si un lien ou un site sont officiels et dignes de confiances. Les pirates font évoluer leur méthodes au fur et à mesure, et la qualité de leur mails est bien plus élevée qu'elle ne l'était il y a quelques années.

Ces simulations d'attaques permettent ensuite de former un public ciblé. Mieux former les personnes ayant eu des comportements à risque plutôt que de former indifféremment tous les utilisateurs.

N'hésitez pas à nous solliciter pour discuter de ces simulations de pishing et de tous les enjeux de sécurité et consulter le dossier dédié sur cybermalveillance.gouv.fr

 

Auteur: Christophe DEBOUDT

Actualités liées

actualités informatiques

Panne informatique mondiale. Les contrevérités

Ce vendredi 19 juillet 2024 a été marqué par une "panne informatique mondiale".

De nombreux services tels que le transport aérien, banques, sociétés de livraisons, chaines télé, etc... ont été affectés. La presse, y compris...

Lire la suite
actualités informatiques

Caméra de surveillance, tout n'est pas permis

Les particuliers craignent les cambriolages et sont de plus en plus nombreux à se laisser tenter par l'installation d'une caméra de surveillance, désormais accessible. Mais ce type d'équipement n'a rien d'anodin et la plupart des caméras que l'on aperçoit sont en fait hors la...

Lire la suite
actualités informatiques

Vol de données de sécurité des JO: concentré d'usages à risques

 Nous apprenons dans la presse qu'un employé de la mairie de Paris s'est vu dérober dans le train son PC portable ainsi que des clés USB contenant des données sensibles liées à la sécurité des Jeux Olympiques.

Ce fait divers est un concentré de ce qu'il...

Lire la suite
Nous écrire
CD-Systems Lille:
03.20.82.69.15