Cybersécurité : Salariés, attention danger !


Les salariés représentent la première source d’incidents en sécurité informatique dans les entreprises. Mais le savent-ils ?

À la une, Bonnes Pratiques, Cybersécurité // 10/11/2015

Première source d’incidents en sécurité

L’étude PWC a révélé que 33 % des salariés actuels et 28 % d’anciens salariés seraient la première cause d’incidents de sécurité.

Deux techniques sont très utilisées pour piéger les salariés actuels et représentent 80% d’attaques réussies.

  • L’ingénierie sociale serait le maillon faible de la chaîne de sécurité : les cyber-attaquants glanent énormément d’informations sur les entreprises et leurs salariés sur le web, les réseaux sociaux pour envoyer des messages plus vrais que nature et soutirer des informations. La démarche peut se doubler d’un hameçonnage ciblé (spearphishing).
  • Le hameçonnage ciblé : le pirate va inciter le salarié à ouvrir une pièce jointe dans un mail ou à cliquer sur un lien pointant vers un site malveillant, lui permettant ainsi d’installer des backdoors (portes dérobées) et d’infiltrer le réseau en prenant possession de la session du salarié. A partir de là, l’attaquant va chercher à acquérir les droits d’administration pour atteindre les postes de travail et serveurs où se trouvent les informations convoitées en effaçant les traces de son exfiltration.

Concernant la part d’anciens salariés impliqués, il faut y voir pour principale cause la mauvaise gestion des accès : beaucoup ont encore des sessions leur permettant d’accéder aux applications ou aux informations confidentielles, comme cela a été le cas dans l’affaire Sony Pictures.

Ces actes malveillants peuvent être motivés par la vengeance – dans ce cas le but sera avant tout de nuire, divulguer ou supprimer des informations – par l’appât du gain ou la volonté d’espionner une fois passés à la concurrence.

Une confiance trop importante

Ce qui explique en partie ce manque de vigilance est le fait que les salariés ne perçoivent pas la menace extérieure.

Capgemini et Opinionway ont mené un sondage portant sur la cybersécurité vue par les collaborateurs, Cybersécurité, Objets connectés et Systèmes industriels. Celui-ci montre que seulement 36% des salariés interrogés pensent que leur entreprise a déjà connu une cyberattaque alors qu’en réalité 90 % des entreprises l’ont déjà éprouvé. Ce sentiment de sécurité se traduit également par le fait que 65 % se sentent bien protégés et 20% très bien protégés.

Pourtant, l’erreur humaine paraît tout de même présente dans l’esprit des salariés : après les virus informatiques (48%), le vol de données (43%), la perte de données liée à une erreur humaine (38%) apparaît comme source principale de menace.

Et cela peut coûter très cher… rappelez-vous de l’opération Carbanak dévoilée en février 2015 qui a détourné près d’un milliard de dollars depuis 2013 auprès d’une centaine de banques dans une trentaine de pays différents. Le point de départ de ce casse savamment orchestré était une attaque ciblée !

Un manque de formation

Il est donc urgent pour les entreprises d’insuffler en interne une véritable culture de la cybersécurité car les infrastructures de sécurité gérées par les DSI ne peuvent pas à elle seules – bien qu’elles soient indispensables – contrer la menace extérieure. Les dirigeants doivent prendre conscience de ces enjeux, former et sensibiliser leurs salariés.

Un exemple de sensibilisation a parfaitement révélé les failles aux employés : celui de PMU qui a simulé une attaque par phishing. Un mail alléchant proposant de gagner un Ipad a été envoyé à l’ensemble des services : 120 collaborateurs ont été piégés, 22% ont cliqué sur la pièce jointe et 6% ont donné leurs coordonnées !

Quelques conseils à délivrer à vos salariés :

Règles générales de sécurité

  • Ne pas connecter de clé USB ou de smartphone à son poste de travail
  • Changer régulièrement de mot de passe, celui-ci devant être complexe
  • Ne jamais noter un mot de passe sur un post-it
  • Lire les communications faites sur la sécurité informatique
  • Ne pas utiliser de logiciels cloud sans l’autorisation de la DSI

Le phishing

  • Evitez d’en dire trop sur vous et sur votre entreprise sur les réseaux sociaux
  • Ne pas ajouter de parfaits inconnus sur Linkedin
  • Faire attention aux emails étrangers suspects : vérifier l’adresse complète de l’expéditeur, ne pas cliquer sur les fichiers joints ou les liens. Ces consignes s’appliquent également sur mobile pour éviter les ransomwares.

Supports mobiles

  • Attention à ne pas laisser sans surveillance son téléphone portable ou ordinateur portable dans les déplacements
  • BYOD : déclarer son matériel à la DSI pour que celui-ci soit protégé

Si un de vos salariés a enfreint une de ces règles ou s’il constate une anomalie sur son poste de travail, il ne doit surtout pas hésiter à contacter la DSI.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s