Un programme de sensibilisation à la sécurité utilisant l’authentification multifacteur (MFA) ou l’authentification à deux facteurs (2FA) peut aider à protéger les actifs informationnels critiques selon le rapport de la compagnie NordVPN Teams publié début novembre 2010.
Aujourd’hui l’outil le plus efficace utilisé par les cybercriminels n’est pas de nature technique et n’est même pas sophistiqué : L’ingénierie sociale. Il s’agit de manipuler les utilisateurs et de les convaincre à communiquer des informations sensibles. Le rapport de NordVPN Teams examine trois types différents d’attaques d’ingénierie sociale et propose des conseils sur la façon de les contrer. Les attaques d’ingénierie sociale ont connu une nette progression les années précédentes et en particulier au cours du premier semestre 2020. Au cours de cette année, un rapport du FBI a rapporté que de janvier à mai 2020 il y a eu plus attaques d’ingénierie sociale que pour l’ensemble de l’année 2019. Le rapport d’enquête de Verizon Data Breach a révélé que l’ingénierie sociale représente désormais plus de deux tiers de tous les types de cyberattaques et que le phishing représente 96% des attaques de l’ingénierie sociale. Dans son rapport, NordVPN a identifié trois vecteurs d’attaques différents impliquant l’ingénierie sociale :
Le Phishing ou Hameçonnage
C’est le type d’attaque le plus courant de l’’ingénierie sociale. Les campagnes de phishing utilisent des e-mails, des SMS et des sites Web pour arnaquer leurs victimes. Ces campagnes commencent généralement par convaincre le destinataire de cliquer sur un lien malveillant contenu dans un email ou message sensé être envoyé par une institution, une entreprise ou une agence gouvernementale connue.
Pretexting
Dans ce type d’attaque, les cybercriminels créent et utilisent une fausse identité pour convaincre les utilisateurs à fournir des informations. À titre d’exemple, un attaquant peut se faire passer pour un fournisseur de services informatiques qui demande les détails du compte et les mots de passe afin d’aider à résoudre un problème technique.
Baiting ou appâtage
Lors de cette attaque à l’appât, les cybercriminels tentent leurs victimes en promettant quelque chose comme un téléchargement gratuit, une de mise à niveau ou d’installation de logiciel. En réalité, le téléchargement est probablement un fichier malveillant conçu pour infecter le système ou et de le compromettre.
Pour se protéger contre l’ingénierie sociale, NordVPN Teams offre plusieurs conseils :
La Sensibilisation des utilisateurs sur les cybermenaces en ligne : Les campagnes de sensibilisation sont une façon de réduire considérablement la menace d’attaques d’ingénierie sociale et doivent être placées en tête de liste des actions à entreprendre. Sans programme de sensibilisation des utilisateurs, les stratégies de gestion des risques ne seront pas aussi efficaces qu’attendu ;
Authentification multifacteur (MFA) : Même avec des mesures de sécurité telles qu’un logiciel antivirus, des pares-feux, une technologie de cryptage et des tests de vulnérabilité réguliers, un attaquant peut toujours compromettre les comptes et les données s’il n’y a aucun type d’authentification multifacteur en place ;
Aucun privilège permanent : Les compagnies NordVPN et Gartner recommandent d’adopter une politique zéro tolérance en ce qui concerne l’octroi de façon permanente des privilèges dans le cadre d’une posture de sécurité. Avec cette approche, un utilisateur reçoit des droits d’accès à un certain système, fichier ou autre actif informationnel uniquement pour une tâche spécifique et aussi longtemps que nécessaire pour terminer cette tâche. Par la suite, ces droits sont révoqués. Même si un cybercriminel compromet les informations d’identification de l’utilisateur, il n’aura pas accès à des actifs sensibles.
En conclusion, le rapport considère que l’ingénierie sociale et les vulnérabilités logicielles connues et non corrigées resteront les deux principales causes des attaques réussies depuis plus de 30 ans. Les cybercriminels capitalisent sur l’instabilité, ce qui est l’une des raisons pour lesquelles les attaques d’ingénierie sociale sont en augmentation en cette période de COVID-19.