Colleague phishing
25 janvier 2022 / Approfondissement

Le pirate le plus dangereux : votre collègue

Les pirates chinois ou russes ciblent peut-être vos données, mais ils sont loin d'être la seule, ou même la plus importante menace pour la cybersécurité de votre entreprise. La plupart des organisations sont victimes de techniques beaucoup plus banales, telles que l'ingénierie sociale par le biais du phishing, ou même les fils d'initiés. Dans ce dernier cas, la menace vient de l'intérieur, mais cela ne signifie pas nécessairement que votre entreprise doit faire face à une taupe malveillante. La nonchalance ou l'ignorance sont des risques tout aussi importants. Comment armer votre organisation et vos employés contre cela ?


Une étude d'IBM Security menée par le Ponemon Institute montre la réalité des menaces internes. Les 204 organisations interrogées ont toutes été confrontées à une menace interne au moins une fois en 2019. Depuis 2016, le nombre de cas de menaces d'initiés a triplé et leur coût a doublé.

Trafiquants malveillants et victimes de pirates informatiques

Le terme est très large : une menace interne est toute menace numérique qui provient de l'intérieur de votre entreprise. Vous pouvez être confronté à un employé malhonnête qui veut faire sortir clandestinement des données sensibles, telles que des secrets commerciaux ou des informations confidentielles concernant la propriété intellectuelle. Il n'est pas nécessaire que ce soit un agent secret. Une personne qui rejoint la compétition est plus réaliste. Ou peut-être qu'un collègue entreprenant pourrait se mettre en tête de gagner quelques dollars supplémentaires en minant des crypto-monnaies via le serveur de l'entreprise. Même en laissant de côté les problèmes de sécurité, la facture d'électricité reste un problème en soi.

La réalité est souvent plus ennuyeuse. Pensez à un employé qui se fait prendre par un attaquant externe, et qui envoie de fausses informations ou modifie les données de facturation volontairement, afin que le prochain paiement à un fournisseur aboutisse sur le compte du criminel. Un pirate pourra abuser de la boîte aux lettres de votre collègue en se connectant à l'aide du simple mot de passe qu'il utilise partout depuis 20 ans et qui, entre-temps, circule sans problème sur le dark web. L'attaquant n’a pas besoin d’être un pirate chevronné : un voleur peut s'emparer d'un ordinateur portable de l'entreprise dans le train et causer par la suite des dommages internes.

Les bons outils de sécurité

Malheureusement, il est trop facile d'imaginer des scénarios réalistes où la sécurité de votre entreprise est menacée de l'intérieur. C'est inquiétant, car la sécurité interne de nombreuses entreprises n'est pas conçue pour cela. Du point de vue de la sécurité informatique, la sécurité se situe encore trop souvent au niveau du périmètre : l'entreprise est entourée d'un grand mur numérique, mais quiconque franchit la barrière a pratiquement le champ libre. D'un point de vue humain, les employés sont, pour des raisons compréhensibles, moins méfiants lorsqu'ils reçoivent un courriel provenant d'un collègue.

La solution se trouve également sur deux fronts. Sur le plan technique, il est important de sécuriser, non seulement le périmètre de votre organisation, mais aussi les données sensibles, les terminaux et le réseau. Veillez à ce que les employés aient des rôles clairement définis et ne disposent que des droits d'accès nécessaires. Tout le monde ne devrait pas pouvoir se connecter de chez lui au serveur contenant les secrets de l'entreprise, et le stagiaire qui vient organiser des photos numériques n'a certainement pas besoin d'accéder au superordinateur qui se trouve dans votre sous-sol. Les fichiers importants peuvent être surveillés avec le bon logiciel. De cette manière, une alarme se déclenche lorsque quelqu'un tente d'exfiltrer des données via un disque dur externe ou un e-mail adressé à une adresse personnelle. Divers spécialistes de la sécurité, mais aussi Microsoft lui-même, proposent des logiciels pratiques à cet effet.

Colleague phishing v

Formation et tests

Les solutions techniques permettent surtout de lutter contre les initiés malveillants qui ont vraiment de mauvaises intentions. Pour les autres formes de menaces internes, il est important de sensibiliser vos employés. C'est plus facile à dire qu'à faire. Une menace peut en effet venir de n'importe où, mais une culture de méfiance profondément enracinée envers vos collègues autour de la machine à café apporte ses propres problèmes. Heureusement, il existe une solution intermédiaire.

Vous recevez un courriel de votre collègue vous demandant de mettre à jour les détails de facturation d'un client important ? Ensuite, allez faire un tour à son bureau, ou passez un appel rapide via Teams ou Zoom pour confirmer. Quelqu'un demande-t-il l'accès à certains fichiers ou à un serveur ? Réfléchissez ensuite à la raison de sa demande et vérifiez auprès d'un responsable et du collègue en question. Il peut y avoir une bonne raison pour laquelle la personne n'a pas été autorisée à y accéder par le service informatique.

On ne crée pas une telle prise de conscience par un seul séminaire. Organisez des formations et testez régulièrement les personnes, afin que la double vérification devienne un réflexe dans les cas où de l'argent ou des données sensibles sont en jeu. Chacun doit prendre conscience qu'une information n'est pas nécessairement fiable, simplement parce qu'elle provient d'une adresse électronique fiable. Insistez sur le fait que l'objectif n'est pas de vous méfier de vos collègues, mais de travailler ensemble pour éviter qu'un agresseur sournois ne vole le budget consacré au travail d'équipe, ou les plans d'un nouveau scooter électrique révolutionnaire.