DIGITAL SOLUTIONS
Un quart des cyber-attaques sont la conséquence d’une négligence d’un employé
Stefaan Van Hoornick, directeur pré-ventes BeNeLux chez Trend Micro
June 11, 2019
Une étude européenne récente menée à la demande du spécialiste en sécurité Trend Micro révèle que l’hameçonnage (“phishing”) est considéré comme le principal danger par les experts en sécurité des entreprises au Benelux. Pas moins de 38% des entreprises européennes y ont été confrontées, au cours des deux années qui précèdent, dans le cadre de leur travail. L’étude confirme par ailleurs une allégation fréquemment exprimée. A savoir que pas moins d’un quart (27%) des cyber-attaques sont la conséquence d’une erreur humaine.
Formation, formation, formation
L’étude démontre qu’un quart des cyber-attaques sont la conséquence d’une erreur ou d’une négligence commise par un employé. Seules des formations supplémentaires sont en mesure d’éradiquer ce problème.
Ce dont on a besoin, ce n’est pas tant de formations technologiques que de mesures de sensibilisation. Il s’agit en effet de faire prendre conscience aux collaborateurs des dangers que représente la cyber-criminalité et de leur enseigner en quelque sorte une certaine forme de cyber-hygiène.
Comparez cela à votre habitation : lorsque vous la quittez, vous refermez automatiquement la porte derrière vous et vous la fermez à clé. De même, chaque employé qui quitte son bureau devrait verrouiller son PC. Ce faisant, d’autres personnes ne pourront pas consulter des documents (confidentiels). De la même manière que vous ne divulguez pas le code PIN de votre carte bancaire, vous devez avoir le même réflexe pour la gestion de votre mot de passe : ne le confiez jamais à quiconque.
Autre aspect des choses : ce genre de formations ne peut pas être ponctuel. Il s’agit plutôt d’un processus continu qu’il vous faut répéter sans cesse. En effet, si vous laissez un peu de “liberté” aux employés, ils retomberont rapidement dans leurs anciennes habitudes.
Pourquoi s’intéresseraient-ils à nous ?
Au Benelux, un quart des personnes interrogées indiquent qu’une attaque visant le fonctionnement de l’entreprise – ce qu’on appelle un Business Process Compromise (BPC) – serait en mesure de paralyser toutes les lignes de production de leur entreprise. J’ai l’impression qu’au Benelux, les entreprises ne s’inquiètent guère d’attaques BPC. Elles les considèrent encore beaucoup trop comme de la science-fiction, comme un phénomène éloigné de leur réalité quotidienne. Il arrive bien trop souvent aux entreprises de raisonner comme suit : que pourraient-ils bien voler chez nous ? pourquoi s’intéresseraient-ils à nous ?
Il existe pourtant suffisamment d’exemples prouvant que les choses peuvent tourner au vinaigre. Pensez par exemple aux hôpitaux. Ils envoient des milliers de factures chaque mois. Si un hacker parvenait à pirater le processus d’impression de ces factures, il pourrait modifier le numéro de compte sur lequel les patients sont invités à payer. La modification n’est pas d’office flagrante et les hackers malins ne modifieront pas toutes les factures afin d’échapper le plus longtemps possible au radar. Voilà un exemple de petite “intrusion” qui peut avoir d’énormes conséquences.
La Belgique a récemment été le théâtre d’un exemple très concret de BPC. Des revendeurs de drogue avaient recruté une poignée de pointures informatiques afin de s’infiltrer dans de grandes entreprises du port d’Anvers et de pirater le système de conteneurs. Cela leur a permis de prendre livraison plus rapidement et sans se faire remarquer de conteneurs dans lesquels des drogues avaient été dissimulées. Le 2 mai, les enquêteurs sont venus expliquer, lors du procès, comment la bande a procédé. Un tel motus operandi n’a évidemment aucun impact direct sur le chiffre d’affaires de la société de conteneurs mais est par contre un exemple éloquent de BPC.
Un secteur craint tout particulièrement les attaques BPC, à savoir le secteur pharmaceutique. Imaginez qu’un hacker puisse influencer le processus de production d’un médicament en modifiant les composantes ou les proportions. Il en résulterait une réelle catastrophe. Raison pour laquelle ce secteur prend la sécurité nettement plus au sérieux et, très logiquement, adopte le principe de segmentation de manière généralisée.