Les risques liés à l'erreur humaine : dans quelle mesure votre entreprise est-elle à l'abri d'une attaque de hameçonnage de nouvelle génération ?

Mais une série récente d'attaques par hameçonnage visant des entreprises de premier plan telles que Cisco, Twilio et Uber a mis en lumière une réalité alarmante :

• Les auteurs d'attaques par hameçonnage ont recours à des méthodes plus sophistiquées que jamais, notamment des messages et des e-mails générés par l'IA, afin de rendre leurs manœuvres encore plus crédibles.
• En tant que vecteur de logiciels malveillants et de ransomware, le phishing représente un risque extrême pour toute entreprise.
• Même avec les normes de sécurité les plus strictes en vigueur, aucune entreprise n'est totalement à l'abri du risque d'erreur humaine, sur lequel repose le phishing.
• Les auteurs d'attaques de phishing modernes exploitent les faiblesses humaines pour contourner même les mesures de sécurité les plus avancées, telles que l'authentification multifactorielle (MFA).
• Les mauvaises habitudes et le manque de sensibilisation des employés créent les conditions idéales pour une attaque par hameçonnage d'un niveau supérieur.

Votre entreprise met-elle tout en œuvre pour protéger ses données sensibles et éviter de devenir la prochaine victime d'une attaque par hameçonnage ? Disposez-vous des formations et des technologies adaptées ? Réalisez-vous régulièrement des évaluations des risques liés à l'hameçonnage afin d'identifier les menaces potentielles ? Et même si c'est le cas, êtes-vous à l'abri ? Dans cet article, nous examinons les dangers de l'hameçonnage et nous vous expliquons comment minimiser le risque d'erreur humaine afin de renforcer la sécurité de vos systèmes internes.
 

La mise est de plus en plus haute : le phishing passe à la vitesse supérieure
Nous avons parcouru un long chemin depuis que la pratique du phishing a commencé à faire parler d’elle à la fin des années 1990. À l’époque, les pirates contactaient généralement les particuliers par e-mail, en se faisant passer pour une entreprise de confiance et en leur demandant des informations sensibles, telles que des identifiants de connexion ou des données de carte bancaire. Si ces attaques avaient déjà des conséquences dévastatrices pour les victimes, les auteurs d’attaques de phishing d’aujourd’hui, bien plus sophistiqués, visent désormais un objectif bien plus ambitieux : les vastes ensembles de données sensibles sur les clients détenus par les entreprises.

La violation de données subie par Twilio en 2022 en est un exemple typique. Des cybercriminels ont envoyé des SMS aux employés de Twilio, en se faisant passer pour le service informatique de l’entreprise, pour leur demander de modifier leurs mots de passe. Ils ont redirigé les employés vers une fausse page de connexion de l’entreprise, où ils ont récupéré leurs identifiants et ont finalement pu accéder aux données de 125 clients de Twilio.
 

La montée en puissance des attaques par « fatigue MFA »
Les attaques par « fatigue MFA » (également appelées « MFA bombing ») constituent un mode d’hameçonnage de plus en plus courant. Dans le cadre de cette tactique, les cybercriminels se procurent illicitement les identifiants d’une victime (par exemple, en les achetant sur le dark web). Ils utilisent ces identifiants pour déclencher de multiples demandes d’authentification multifactorielle (MFA). Déroutée ou submergée par un flot de notifications MFA, la victime peut simplement approuver la demande, pensant peut-être qu’elle l’a déclenchée elle-même par inadvertance.

Cependant, comme de nombreuses personnes se méfient immédiatement lorsqu’elles reçoivent une série de demandes d’authentification multifactorielle (MFA) non sollicitées, elles peuvent refuser de s’authentifier. Conscients de cela, les attaquants mettent en place un scénario d’ingénierie sociale dans lequel la demande de MFA semble légitime. Par exemple, ils appellent ou envoient un e-mail à la victime en se faisant passer pour une entité de confiance, telle que le service informatique d’une entreprise, et lui indiquent qu’elle doit authentifier son identité dans le cadre d’une procédure de sécurité de routine. En jouant sur le sentiment de confiance de la victime, l’acteur malveillant obtient l’authentification et accède ainsi à des systèmes à accès restreint.
 

La « fatigue de l’authentification à plusieurs facteurs » en action
Les cybercriminels à l’origine de l’attaque contre Cisco en 2022 avaient mis la main sur les identifiants du compte Google de la victime, qui contenaient les identifiants synchronisés de ses comptes professionnels. Les attaquants ont déclenché des demandes d’authentification à plusieurs facteurs, puis ont appelé la victime par téléphone en se faisant passer pour une organisation de confiance. Au cours de la conversation, ils ont convaincu l’employé d’accepter une demande d’authentification à plusieurs facteurs, ce qui leur a permis d’accéder aux systèmes internes de Cisco, où ils ont déployé des charges utiles de logiciels malveillants et compromis serveurs.

Lors d’un incident similaire survenu en 2022, Uber a été victime d’une attaque par « fatigue de l’authentification multifactorielle » (MFA) menée par le célèbre groupe de hackers Lapsus$. Les pirates ont mis la main sur les identifiants VPN d’un prestataire externe travaillant pour Uber (probablement achetés sur le dark web) et les ont utilisés pour déclencher des demandes d’authentification multifactorielle. Lorsque le prestataire a d’abord ignoré ces demandes, les pirates l’ont contacté via WhatsApp, se faisant passer pour le service d’assistance d’Uber et lui ordonnant de s’authentifier. En un rien de temps, les pirates ont eu accès à plusieurs systèmes internes, obtenant finalement des droits d'accès privilégiés à des outils tels que G-Suite et Slack.
 

Lutter contre les attaques de hameçonnage grâce à la technologie et à la formation
Le hameçonnage constitue un défi complexe qui nécessite une collaboration entre les services informatiques et les ressources humaines de votre entreprise, car il se situe à la croisée de la technologie et du comportement humain. Les DSI/RSI et les responsables des ressources humaines doivent adopter une approche globale dans laquelle les personnes, les processus et la technologie sont alignés. Voici les piliers d’une telle approche :

Formation à la sensibilisation à la sécurité
Les employés ont besoin d'une formation continue sur les dernières techniques de hameçonnage et les meilleures pratiques afin de savoir reconnaître les activités suspectes et y réagir. Dans le cas des attaques par « fatigue de l'authentification multifactorielle » (MFA) subies par Uber et Cisco, par exemple, ces entreprises auraient pu éviter ces failles de sécurité en formant spécifiquement leurs employés et leurs partenaires externes à repérer une tentative d'hameçonnage liée à l'authentification multifactorielle.

Pratiques d'authentification multifactorielle (MFA) résistantes aux attaques de phishing
Les méthodes d'authentification multifactorielle (MFA) de nouvelle génération, telles que l'authentification FIDO2/WebAuthn, les codes QR et les jetons physiques, contribuent à réduire la surface d'attaque de votre entreprise. Le fait d'exiger de l'utilisateur qu'il effectue une action pour confirmer son intention de se connecter réduit également le risque d'attaques par « fatigue MFA », dans lesquelles l'utilisateur peut accepter une demande simplement pour mettre fin à un flot de notifications push déclenchées par un attaquant.

Pratiques de sécurité relatives aux mots de passe
Appliquez des politiques strictes en matière de mots de passe qui interdisent les modifications progressives (un caractère à la fois) et exigent des mots de passe forts et uniques.

Évaluations des risques liés au phishing
Faites appel à un partenaire spécialisé en cybersécurité pour évaluer régulièrement les risques liés au phishing au sein de votre entreprise et mener des simulations d’attaques de phishing. Cela vous permettra d’identifier les maillons faibles et de corriger les vulnérabilités.

Cadre « Zero Trust »
Mettez en œuvre une approche « Zero Trust » qui exige une vérification à chaque étape, réduisant ainsi au minimum la surface d'attaque.
Ne laissez pas les auteurs d'attaques par hameçonnage prendre le dessus. Assurez-vous que vos collaborateurs sont bien informés et protégez votre entreprise.
 

La protection de votre entreprise contre une attaque par hameçonnage dépend de
La protection de votre entreprise contre une attaque par hameçonnage dépend de votre capacité à sensibiliser vos collaborateurs, à promouvoir les bons comportements et à mettre en œuvre des technologies sécurisées.

Les entreprises devront toujours composer avec le risque que représente cette petite minorité de collaborateurs qui ne respectent pas les politiques de sécurité. Cela signifie que protéger votre entreprise contre le phishing revient à minimiser les risques plutôt qu’à les éliminer complètement. Néanmoins, grâce à une évaluation rigoureuse des risques liés au phishing et à la mise en place de mesures de prévention adéquates, vous mettez votre organisation sur la voie d’un avenir bien plus sûr. Découvrez comment Getronics Security Services peut vous aider à protéger votre entreprise.