Imaginons une entreprise « A » qui a mis tous les derniers standards de sécurité préconisés : Pare-feu, double authentification, hardening serveur, sauvegarde et j’en passe. Et si je vous disais que tout ça ne sert à rien si vous ne sensibilisez pas vos équipes. Vous me croyez ? Et pourtant…
Le facteur humain est le maillon faible de la cyber sécurité des entreprises. Souvent oublié, il est le plus important de tous. Une seule erreur d’un membre de vos équipes et c’est la porte ouverte aux hackers. Comment s’y prennent-ils pour nous avoir ?
Le phishing
Le plus connu, est le phishing ou hameçonnage en français. Dans vos courriels, vous avez déjà dû en recevoir. Ils ressemblent en tout point de vue à un courriel légitime mais en y regardant de plus près, on peut parfois apercevoir des fautes d’orthographe pour les plus visibles. Mais, les indices ne sont pas toujours perceptibles et c’est ceux-là qui sont le plus dangereux car une fois le ransomware entrer, il va chercher à se propager. Imaginez l’entièreté de vos données chiffrées. Si vous avez une sauvegarde externe vous pourrez restaurer avec un minimum de perte selon la date de la dernière sauvegarde mais cela retardera votre travail ainsi que ceux de vos employés et occasionnera une perte d’argent pour votre entreprise.
Arnaque au président
Celle-ci pourrait vous mettre dans une situation difficile. Pas besoin d’être un génie de l’informatique ou de cybersécurité. Les escrocs sont des personnes qui savent bien parler pour vous amener à leur transférer de l’argent. Pour cela, ils se mettent dans la peau du président de l’entreprise. Les demandes peuvent être écrites ou oral mais elles sont toujours « confidentielles » ou « urgentes » ou faites pour arranger un client. Et si vous êtes réticents, ils peuvent même faire preuve d’une certaine autorité soit dans leur voix ou par un tiers qu’ils auront inventé. Vous communiquerez aussi avec ce tiers qui pourra être un avocat, par exemple. Cette méthode aura pour but de les appuyer dans leurs démarches. Et, cerise sur le gâteau, ils vous demanderont de ne surtout pas venir parler aux CEO si vous le croisez dans le couloir car, rappelez-vous, cette affaire est confidentielle.
Le social engineering
Là aussi, il suffit de parler avec un employé bien situé dans l’organigramme de l’entreprise. Tout passe par la manipulation, comme le ferait un escroc pour une arnaque au président mais, ici, le but n’est pas le même. Pouvez-vous certifier que sur tous les candidats présentés, il n’y avait pas un hacker ? Ou que le nouveau technicien de surface ne pose pas des questions trop techniques à vos employés IT ? Ces scénarios paraissent tirés par les cheveux mais cela peut venir de n’importe où. Pour quelles raisons ? Il peut vouloir voler des plans de construction d’une technologie, voler votre méthode de fabrication d’un produit, connaître les faiblesses de votre réseau ou même, peut-être que vous êtes un sous-traitant et que vous servez simplement d’intermédiaire. Traitez-vous bien vos employés ? Assurez-vous-s’en. Qui ne résisterait pas à l’appât du gain si votre patron ne vous traite pas correctement ? Imaginons qu’on vous propose 1 million pour brancher une clé USB dans votre entreprise, vous accepteriez ?
Écrit par jennifer Bonillo