« Les attaques sont plus ciblées, plus massives, plus sophistiquées et protéiformes. Il faut savoir également que l’humain est ciblé avant les systèmes informatiques. » Ce sont les mots prononcés il y a quelques mois par David Boucher, Directeur de Pôle d’expertise Cyber sécurité chez Adista. Et c’est évidement d’autant plus vrai dans le contexte que nous vivons actuellement. Mylène Jarossay, Présidente du Club des Experts de la Sécurité de l’Information et du Numérique (CESIN), le souligne, « comme dans toute période troublée, nous savons que les cybercriminels profitent de cette situation pour redoubler d’imagination en préparant leurs attaques. » Les experts du CESIN ont d’ailleurs identifié un logiciel malveillant des plus vicieux, Corona-virus-Map.com.exe, caché dans des sites Internet ou des applications pour smartphones qui font état de la diffusion du virus. Et c’est un exemple parmi d’autres. Nous sommes donc appelés à renforcer notre vigilance.
Comment mieux traduire cette obligation de vigilance et de sensibilisation des utilisateurs alors que les entreprises ont perdu cette unité de lieu et parfois de réseau ?
Dans un contexte étendu de télétravail, les tentatives de phishing ciblé vont s’intensifier. Les pièges sont multiples : des messages invitant à se connecter sur des espaces partagés online frauduleux, des mails malveillants semblant venir du ministère de la Santé et d’autres usurpant l’identité du helpdesk de l’entreprise, des fausses demandes du service RH liées à l’organisation du travail à domicile, des apps et sites malveillants supposés donner des renseignements sur la crise, des faux appels téléphoniques du helpdesk… Il s’agit donc de faire preuve du plus grand discernement.
Le site étatique cybermalveillance.gouv.fr nous sensibilise également face aux risques de fraude. En particulier les fausses commandes ou les modifications de virements bancaires frauduleux en usurpant l’identité d’un employé pour récupérer son salaire ou d’un fournisseur pour régler des factures. « Avant toute prise en compte de commande suspecte, de demande de changement de RIB ou de demande de virement exceptionnel, faites confirmer en contactant directement le demandeur et faites valider l’opération par votre hiérarchie« , conseillent les experts du site. Vous pouvez consulter l’ensemble de leurs recommandations en suivant ce lien.
Et ces recommandations valent aussi pour la sphère privée ! Le hameçonnage (phishing) reste le premier vecteur d’attaque et cela ne vaut pas que pour les professionnels. « Les criminels utilisent les moyens traditionnels pour tromper leurs victimes mais le contexte actuel facilite leurs arnaques », souligne Loïc Guézo, secrétaire général du Club de la sécurité de l’information français (Clusif). En attirant les internautes sur de faux sites officiels, en promettant des bonnes affaires, des remboursements… ils peuvent chercher à s’approprier leurs données bancaires ou à prendre le contrôle de leurs réseaux sociaux…
L’Agence Nationale de Sécurité des Systèmes d’Informations (ANSSI) a également publié un certain nombre de recommandations concernant le nomadisme et le télétravail. L’Agence propose en effet un guide qui rappelle dans un premier temps les définitions et les risques liés au nomadisme, puis les différents éléments d’une infrastructure de connexion nomade sont étudiés, afin d’en faire ressortir les bonnes pratiques. Vous pouvez le télécharger gratuitement en suivant ce lien.
Alerte maximale donc, clairement expliquée par les professionnels et experts du domaine. Mais quel regard portent les entreprises, et leurs responsables de la sécurité des systèmes d’information, face à ce risque ? Une étude très récente menée par le CESIN procure un instantané de leur prise de conscience et des craintes exprimées. Menée entre septembre 2019 et janvier 2020, sans corrélation possible avec le sujet coronavirus, cette étude permet notamment de classer les types de scénarios d’attaque jugés les plus probables pour 2020 !
1 er : Attaques par rebond exploitant les vulnérabilités des fournisseurs
2eme : Ransomwares
3eme : Compromission des emails (Business Email Compromission) suivies par une arnaque
4eme : Combinaison de ransomwares et d’exfiltration de données donnant lieu à des extorsions.
5eme : Attaques sur les solutions Cloud suite à une expertise insuffisante en interne
6eme : Attaques via les objets connectés
7eme : Introduction de codes malveillants dans les chaînes de développement
8eme : Attaques de sites, Web Apps et services par Credential Stuffing
9eme : Attaques par phishing SMS ou phishing par téléphone
10eme : Arnaques utilisant de la voix contrefaite ou des deepfakes
Soyons tous vigilants !