L’importance de préparer les employés à l’ingénierie sociale dans le secteur financier
Fortinet|Mis à jour le 12 juin 2024Par David Ferland
En multipliant leurs initiatives numériques, les institutions financières élargissent aussi leur surface d’attaque potentielle. Chaque connexion, application mobile ou intégration de service pour le travail en tout lieu crée une vulnérabilité potentielle, mais un récent sondage de Fortinet sur les rançongiciels mené auprès de chefs de file de la cybersécurité révèle que l’une des grandes difficultés de la lutte contre les attaques est liée au personnel et aux processus.
Malheureusement, les cybercriminels perçoivent le personnel comme une cible de choix et le plus faible maillon de la chaîne. Par exemple, l’année dernière, l’effectif de plusieurs institutions bancaires américaines a utilisé des applications de messagerie personnelles à des fins professionnelles, ce qui aurait pu entraîner des conséquences dévastatrices pour la clientèle.
Cependant, les rançongiciels ne sont pas la seule menace dont les entreprises doivent se soucier : l’ingénierie sociale est aussi omniprésente. Les malfaiteurs se servent des outils d’interaction sociale d’usage quotidien de l’effectif, comme les courriels ou les messages textes, pour le manipuler afin d’obtenir des renseignements confidentiels, le plus souvent, en prétendant être une personne de confiance ou en position d’autorité.
Comme il ne suffit que d’une toute petite erreur de jugement pour qu’un cybercriminel puisse s’introduire dans le réseau de l’entreprise, le personnel sans formation pose un risque important. Toutefois, une main-d’œuvre bien formée et cybervigilante peut agir comme première ligne de défense contre les attaques potentielles. Un programme de formation complet pour le personnel équivaut à de l’argent en banque.
Investir dans une main-d’œuvre cybervigilante
Une formation de base sur la cyberhygiène et la sensibilisation à la cybersécurité est un élément essentiel de la stratégie de cyberdéfense d’une organisation, surtout en ce qui concerne les attaques par piratage psychologique. Pour se protéger contre les menaces changeantes, les organisations doivent investir dans la formation pour tout le personnel, et pas seulement celui des opérations de sécurité (SOC). Les stratégies de sécurité doivent comprendre une approche programmatique de la cybervigilance pour aider l’effectif à modifier ses comportements à risque et à cerner les menaces plus tôt dans la chaîne d’attaque.
Pour améliorer le profil de risque d’une organisation, il est nécessaire de mobiliser le personnel et de lui fournir de la formation, des outils et des procédures utiles. Pour commencer, il faut assurer l’adhésion de la direction et adopter de bonnes pratiques de cyberhygiène comme l’utilisation de noms d’utilisateurs uniques, de mots de passe forts et de l’authentification multifacteur.
Le personnel qui bénéficie d’une formation générale de sensibilisation à la cybersécurité a plus de facilité à cerner les menaces et à protéger l’organisation. La formation doit comprendre des scénarios et des contextes en situation réelle, surtout pour l’ingénierie sociale. Les services de simulation d’hameçonnage sont une autre façon d’utiliser des situations réelles pour évaluer le degré de vigilance et renforcer les bonnes pratiques d’hygiène, car les tentatives d’hameçonnage sont souvent le point de départ des fraudes.
Si votre organisation ne peut pas offrir de formation à l’interne, il existe d’autres possibilités. Par exemple, l’Institut de formation Fortinet propose un service de formation et de conscientisation en matière de sécurité qui aide à développer une culture de cybersécurité et à respecter les exigences de formation réglementaires et sectorielles.
Endiguez la vague et lancez-vous dès aujourd’hui
Les organisations doivent aussi porter attention à la façon dont les cyberadversaires abordent le personnel. Dans le cas des attaques par hameçonnage ou ingénierie sociale, le courriel est souvent le point d’entrée. En se dotant de passerelles de courriel sécurisées avancées et d’outils de désinfection et de reconstruction du contenu, votre organisation peut éliminer les pièces jointes et les liens malveillants avant qu’ils ne causent des problèmes.
La navigation Web pose également des risques. Le déploiement d’un pare-feu de nouvelle génération (NGFW) pour les utilisateurs sur place ou d’un service d’accès sécurisé en périphérie (Secure Access Service Edge, ou SASE) pour les utilisateurs à distance, combiné à l’inspection SSL approfondie, permet de cerner et de désactiver le contenu malveillant provenant d’un site Web. Les outils de détection des menaces et d’intervention aux terminaux (EDR) sont aussi indispensables pour protéger les terminaux d’entreprise : serveurs, postes de travail, ordinateurs portables et appareils mobiles. Avec la fonction Zero Trust Network Access (ZTNA), les entreprises peuvent renforcer leur posture de sécurité en vérifiant la conformité des utilisateurs et des appareils aux politiques organisationnelles avant chaque session.
Les équipes de sécurité d’entreprise et des TI seront toujours une composante essentielle de votre effectif de cybersécurité, mais la participation du personnel en entier vous permet de constituer une armée. Avec une formation, des outils et des processus efficaces, chaque personne peut protéger les appareils et les données d’entreprise.
Les attaques par piratage psychologique, y compris la fraude par ingénierie sociale sont insidieuses, de plus en plus sophistiquées et fréquentes. Par conséquent, les entreprises – en particulier, celles des secteurs essentiels comme celui des finances – doivent commencer à investir dans la formation de base sur la cybersécurité. En donnant les outils requis au personnel de tout échelon, elles peuvent réduire les risques pour les données et les réseaux d’entreprise.
David Ferland est directeur des préventes et expert en sécurité, Est du Canada pour Fortinet