Une nouvelle attaque de phishing SharePoint a été détectée. Elle consiste à tenter de voler des justificatifs d’identité de Microsoft Office 365. Cette plate-forme est désormais populaire auprès des petites, moyennes et grandes entreprises, si populaire qu’elle a suscité l’attention des cybercriminels pour voler des données confidentielles comme des noms d’utilisateur et des mots de passe.
Les e-mails frauduleux envoyés dans le cadre de cette campagne sont semblables à ceux utilisés dans d’innombrables attaques de phishing de Google Docs. À première vue, ils ressemblent à des propositions de collaboration par le biais du partage de fichiers. Pourtant, ces e-mails sont souvent utilisés pour diffuser des malwares, des documents contenant des macros malveillantes ou des liens qui pointent vers des sites web où des malwares peuvent être téléchargés par l’utilisateur et à son insu.
Cette attaque d’usurpation d’identité de marque utilise un format d’e-mail identique à celui utilisé dans les messages authentiques. Les e-mails de phishing utilisent un format bien défini, contiennent des logos et des liens qui rendent les messages identiques aux messages légitimes demandant une collaboration sur un projet.
Utiliser des messages non sollicités pour lancer une attaque de phishing
Nous recevons souvent des messages non sollicités ou indésirables que nous appelons généralement des spams. Il peut s’agir d’e-mails que nous n’avons pas demandés, de messages qui proviennent d’une personne ou d’une entreprise dont nous n’avons jamais entendu parler et qui essaient de nous vendre des produits qui ne nous intéressent même pas, etc.
Cela dit, la plupart des spams ne sont pas des courriers indésirables. Ils peuvent également être dangereux. Certains contiennent non seulement des pièces jointes ou des liens dont vous ne voulez pas, mais aussi des contenus malveillants.
Les types d’e-mails malveillants les plus répandus sont ceux utilisés pour le phishing. Ce mot anglais est utilisé lorsqu’un escroc tente d’envoyer une sorte de message électronique qui semble légitime pour inciter ses victimes à faire quelque chose de peu sûr, comme le fait de divulguer leurs informations personnelles sensibles.
Le terme phishing renvoie à sa variante orthographique « fishing » qui signifie « pêcher », d’où vient la métaphore d’un pêcheur – ou d’un cybercriminel – qui lance sa ligne pour vous inciter à mordre à l’hameçon grâce à un leurre crédible au premier coup d’œil.
Cette fois, le leurre utilisé est un document SharePoint
Cette attaque de phishing SharePoint comprend un hyperlien vers un document SharePoint authentique. Ce document ne peut pas être considéré comme malveillant puisqu’il ne contient pas de malware.
Le fichier SharePoint informe l’utilisateur que le contenu qu’il recherche a été téléchargé sur OneDrive for Business et un clic supplémentaire est nécessaire pour accéder au fichier. Un hyperlien nommé « Access Document » est inclus dans ce fichier SharePoint avec le logo authentique OneDrive for Business et les graphiques appropriés.
Au premier abord, le document ne semble pas malveillant, mais la vérification de l’URL de destination du lien peut révéler qu’il dirige l’utilisateur vers un site web suspect.
C’est sur ce site web que se déroule la tentative de phishing.
Après avoir cliqué sur le lien, l’utilisateur reçoit une fenêtre de connexion pour Office 365 – vers laquelle les criminels voulaient vous attirer depuis le début – et doit saisir ses informations de connexion Microsoft. Si à ce stade, il saisit ses informations d’identification, celles-ci seront transmises aux cybercriminels qui sont à l’origine de la campagne de phishing.
Il est peu probable que l’utilisateur se rende compte qu’il a été victime d’un phishing réussi, car après avoir entré ses identifiants, il sera dirigé vers un véritable site de Microsoft Office. Dans d’autre cas de phishing, les cybercriminels préfèrent présenter un faux message d’erreur, en supposant peut-être que leurs victimes aient essayé d’autres comptes et en espérant qu’elles leur donnent d’autres mots de passe.
Les entreprises comme principale cible
Cette forme de phishing cible essentiellement les entreprises, car les utilisateurs professionnels d’Office ont souvent l’habitude de collaborer à l’aide de SharePoint. Ils sont donc plus susceptibles de répondre aux e-mails des pirates informatiques.
Avant 2011, le système de collaboration basé sur site web SharePoint était réservé aux moyennes et grandes entreprises à cause de son coût élevé. Mais lorsque Microsoft a regroupé SharePoint et sa version dans le cloud (SharePoint Online) dans la licence Office 365, un changement s’est produit. La plateforme est devenue accessibles aux petites entreprises.
SharePoint fonctionne comme une option personnalisable flexible de stockage et de récupération des données. Il fonctionne tel qu’un intranet, permettant au personnel de télécharger et d’accéder à des fichiers, des données et bien d’autres contenus. L’équipe de direction peut par exemple créer des flux de nouvelles afin de partager des informations à l’échelle de l’entreprise, ou personnaliser des portails pour chaque service. Les contenus peuvent être partagés avec d’autres collaborateurs et sont accessibles par des URL, plutôt que par des solutions de gestion de documents basées sur des dossiers.
Lorsqu’il est utilisé avec Office 365, SharePoint permet de construire des solutions abordables et riches en fonctionnalités pour la gestion des documents, des contrats et pour la collaboration interne et externe, quels que soient la taille de l’organisation et le secteur dans lequel elle intervient.
L’accès à un compte d’entreprise Office 365 est plus lucratif pour les cybercriminels, car cela leur permet d’accéder à des comptes de messagerie dans le but de les utiliser lors de campagnes de phishing ultérieures. Les informations qu’ils obtiennent leur permettent également d’accéder aux données stockées dans ces comptes de messagerie et à d’autres données sensibles.
Attaque de phishing SharePoint : même Microsoft ne l’a pas vue venir
C’est ce qui rend cette attaque pertinente.
Bien qu’elles soient susceptibles d’analyser les e-mails à la recherche de liens et de pièces jointes suspects, les victimes de l’arnaque ne seraient pas capables de considérer le lien vers leur propre SharePoint Online comme malveillant.
De plus, Microsoft n’analyse pas les fichiers hébergés sur SharePoint. Les pirates informatiques disposent donc d’un moyen facile d’utiliser la plate-forme même sur laquelle ils peuvent escroquer les utilisateurs qui saisissent leurs informations d’identification pour s’y connecter.
Pour se protéger contre les menaces potentielles en ligne, le logiciel Office 365 analyse les liens dans le corps des messages électroniques pour rechercher les liens et domaines suspects. Par contre, il n’analyse pas les liens dans les fichiers hébergés sur ses autres services, comme SharePoint. Etant donné que le lien intégré au message malveillant mène à un document SharePoint réel, Microsoft ne pouvait donc pas l’identifier comme une menace. Cela représente une vulnérabilité évidente dont les cybercriminels n’hésiteraient pas à tirer parti pour propager des attaques de phishing.
Et même si Office 365 devait analyser les liens contenus dans les fichiers, le logiciel serait encore confronté à un autre défi : il n’est pas capable de bloquer une URL considérée comme suspect sans bloquer les liens vers tous les fichiers SharePoint. S’il bloque l’URL complète du fichier SharePoint, les escrocs pourraient encore télécharger un nouveau fichier au contenu similaire sur SharePoint et créer facilement une nouvelle URL malveillante.
Méfiez-vous des autres attaques de phishing utilisant les outils collaboratifs en ligne
Les attaques de phishing SharePoint, les attaques de phishing Google Docs et les campagnes similaires d’usurpation de Dropbox sont courantes et très efficaces. En fait, les adresses e-mail des utilisateurs professionnels peuvent facilement être trouvées sur des sites en ligne tels que LinkedIn. Les pirates peuvent aussi les chercher dans des listes d’adresses e-mail professionnelles achetées sur le marché noir du web et sur les forums de piratage.
En dépit du fait qu’il existe quelques signes qui sont souvent clairs pour tous pour identifier un e-mail malveillant, de nombreux utilisateurs tombent encore dans des escroqueries aussi évidentes et finissent par payer cher leur erreur. Voici deux exemples d’une escroquerie par phishing par Dropbox et Google Docs.
En 2014, des cybercriminels ont par exemple envoyé des e-mails contenant des liens malveillants pointant vers un fichier ZIP sur Dropbox. Les messages contenaient un économiseur d’écran qui était un ransomware ressemblant à CryptoLocker. Le but des escrocs étant d’inciter les destinataires des e-mails à cliquer sur le lien par diverses tactiques, notamment en déguisant le message pour que le lien semble pointer vers un rapport, une facture ou un message de fax.
Lorsque les victimes ont cliqué sur le lien vers le fichier compressé, puis sur le fichier économiseur d’écran, ils exécutaient le ransomware qui chiffrait ensuite les fichiers sur leurs disques durs. Une fois exécuté, le malware lançait une page sur leurs navigateurs par défaut et exigeait le paiement d’une rançon de 500 dollars en bitcoins – à déposer dans le portefeuille électronique des cybercriminels – pour déchiffrer leurs fichiers. Ce montant était doublé si les victimes ne le fait pas au bout d’un certain temps.
Au final, les escrocs ont collecté au moins 62 000 dollars via des transactions réalisées sur le réseau Tor.
En 2017, le web était également rempli de nouvelles qui rapportaient une nouvelle arnaque de phishing sophistiquée utilisant Google Docs pour inciter les utilisateurs à divulguer leurs identifiants de connexion lorsqu’ils ouvraient un faux document Google.
Google a pu rapidement mettre fin à l’escroquerie en quelques heures. Il a indiqué qu’en une heure environ, l’attaque aurait touché moins de 0,1 % de ses utilisateurs. Mais la mauvaise nouvelle est que, pendant ces quelques heures, la campagne de phishing a déjà fait beaucoup de dégâts.
Dans un rapport d’ABC News, Christopher Buse, responsable de la sécurité informatique de l’État du Minnesota, a affirmé que 2 500 employés de l’État ont reçu l’e-mail de phishing.
Le traitement de cette attaque aurait coûté environ 90 000 dollars aux contribuables, notamment à cause du temps perdu par les employés de l’État pour traiter l’attaque par rapport à leurs tâches quotidiennes normales.
Ces deux escroqueries ont mis en évidence l’importance d’être toujours vigilent lorsqu’on clique sur un lien inconnu.
En général, ces attaques profitent de la familiarité avec ces services de collaboration, de la confiance des utilisateurs dans les marques, du manque de sensibilisation à la sécurité et des mauvaises habitudes des employés (ceux-ci ne prennent pas le temps de réfléchir avant de cliquer sur un lien quelconque).
Comment se défendre contre une attaque de phishing ?
Les professionnels de la sécurité peuvent aider leurs organisations à se défendre contre une attaque de phishing, y compris celle utilisant Sharepoint, en s’assurant qu’elles adoptent une approche à plusieurs niveaux de la sécurité des e-mails.
Même si, dans de nombreux cas de phishing, les e-mails malveillants sont conçus pour être visuellement impossibles à distinguer des e-mails à caractère professionnel qui semblent sûrs, la formation de sensibilisation à la sécurité peut être très efficace pour inciter les employés à bien réfléchir avant d’agir. De cette manière, ils seront capables de repérer les signes révélateurs de malveillance.
L’essentiel est d’apprendre aux employés de rester toujours vigilant et de remettre en question tout courriel qu’ils ne reconnaissent pas, en particulier s’il intègre des liens qui pointent vers des sites ou des ressources externes.
Votre stratégie devrait également intégrer des simulations de phishing qui permettent d’évaluer la familiarité de vos employés avec les attaques lancées via les e-mails et à proposer une formation continue basée sur les rôles pour les familiariser avec les menaces numériques émergentes. Identifiez ceux qui sont vulnérables avant que les méchants ne le fassent.
Utilisez des solutions technologiques pouvant empêcher la transmission des messages malveillants et un filtre web capable de bloquer ce type d’attaque en empêchant les URL malveillantes d’être visitées.
Une façon pour les entreprises d’éviter les attaques de phishing est la mise en place d’une solution de filtrage web utilisant l’inspection SSL qui permet d’inspecter tout trafic web chiffré ainsi que les services cloud pour détecter les tentatives de vols de données, les attaques de malwares et d’autres menaces avancées.
La solution de sécurité WebTitan de TitanHQ, WebTitan peut par exemple déchiffrer les sites Internet, inspecter leurs contenus, puis les réchiffrer. De cette manière, les sites web malveillants ne pourront plus se cacher derrière un proxy et être identifiés et bloqués. Par ailleurs, WebTitan intègre plusieurs flux intelligents de menaces pour garantir qu’une fois qu’une URL de phishing est détectée, tous les utilisateurs de la solution seront immédiatement protégés. En même temps, il assure une protection contre les URL de phishing émergentes.
Si vous associez WebTitan à une solution avancée de filtrage du spam comme SpamTitan, vous pouvez bloquer les e-mails de phishing à la source et vous assurer qu’ils n’atteignent pas les boîtes de réception de vos employés. Votre entreprise sera donc bien protégée contre les attaques de phishing.
Galway, Irlande & Tampa FL, 11 avril 2019 – TitanHQ, le leader de la sécurité des emails pour les entreprises, a annoncé aujourd’hui avoir été reconnu leader de l’industrie dans le rapport G2 Crowd Grid® Spring 2019 Report for Email Security.
Le G2 Crowd’s User Awards est un classement définitif des meilleurs éditeurs de logiciels et produits dans le monde. Le rapport met l’accent sur les solutions de sécurité de la messagerie les mieux évaluées qui permettent aux entreprises de prévenir les menaces par courrier électronique et sur le web et d’assurer la conformité des employés.
En étant nommé leader dans cette catégorie hautement compétitive, SpamTitan continue de se distinguer avec le plus haut classement de satisfaction client. Dans le rapport du printemps sur la sécurité des emails, SpamTitan a toujours obtenu une note supérieure à la moyenne pour tous les indicateurs clés, y compris « Qualité du support », « Facilité d’utilisation », « Respect des exigences » et « Facilité d’administration ».
97% des utilisateurs ont donné la note de 4 ou 5 étoiles, et 92% d’entre eux ont confirmé qu’ils recommanderaient SpamTitan. Le score « Qualité du support » de 94 % était supérieur de 10 % au score moyen. SpamTitan Email Security a été le leader incontesté sur la grille G2 Crowd devant Proofpoint, Mimecast, Barracuda, Solarwinds & Cisco. Une réalisation incroyable pour un produit nettement moins cher que les leaders du marché.
« Nous sommes honorés que notre solution phare de sécurité des emails SpamTitan ait été nommée leader dans la catégorie des passerelles de sécurité e-mail. Nos clients apprécient la sécurité sans compromis et la détection des menaces en temps réel. Les commentaires extrêmement positifs des utilisateurs de SpamTitan sur G2 Crowd témoignent de notre engagement à assurer le plus haut niveau de succès à nos clients », a déclaré Ronan Kavanagh, CEO, TitanHQ.
Les clients qui ont laissé des commentaires sur G2 Crowd ont déclaré :
« L’expérience dans son ensemble a été très agréable, je considérais SpamTitan comme une alternative moins coûteuse que d’autres produits anti-spam sans perdre aucune fonctionnalité.
« Le degré de personnalisation et de journalisation est incroyable. Vous pouvez rendre compte de tout ce qui entre ou sort de votre organisation et définir des règles de filtrage pour correspondre à n’importe quel scénario. La performance de l’interface web et des fonctions comme la recherche et le reporting sont rapides comme l’éclair. »
« SpamTitan possède l’un des meilleurs filtres que nous ayons vu comparé à d’autres produits, il fait un excellent travail lorsqu’il est configuré correctement pour capturer un grand volume de spam. C’est relativement simple de se déplacer, de l’installer et de l’utiliser dans une application VMware très légère. »
Nous sommes également ravis d’annoncer que notre solution de filtrage web WebTitan a été nommée high performer dans la catégorie Passerelle web sécurisée avec un taux de satisfaction client élevé de 94% (contre une moyenne de 87%).
WebTitan est une solution de filtrage web qui vous permet de surveiller, contrôler et protéger vos utilisateurs et votre entreprise lorsque vous êtes en ligne.
À propos de G2 Crowd Grids
G2 Crowd permet aux visiteurs de laisser des commentaires en temps réel pour aider les entreprises à évaluer objectivement ce qui est le mieux pour leur entreprise. La plate-forme s’appuie sur plus de 500 000 avis d’utilisateurs indépendants, qui sont lus par plus de 1,5 million de visiteurs chaque mois.
Les examens ont porté sur près de 60 000 produits logiciels, chaque examen ayant été examiné par une personne en particulier pour en assurer la légitimité. Chaque trimestre, G2 Crowd publie son rapport, classant les solutions pour déterminer la présence sur le marché, les scores de satisfaction des clients et le leadership du marché.
À propos de G2 Crowd, Inc.
Premier marché mondial pour les logiciels et services professionnels, G2 Crowd permet de prendre de meilleures décisions d’achat. Les professionnels du monde des affaires, les acheteurs, les investisseurs et les analystes utilisent le site pour comparer et sélectionner les meilleurs logiciels et services sur la base de plus de 500 000 évaluations par les pairs et données sociales synthétiques.
Plus de 23 millions d’acheteurs d’entreprises à travers le monde ont fait confiance à G2 Crowd pour obtenir des informations uniques. Cofondée en 2012, G2 Crowd a pour objectif d’apporter authenticité et transparence au marché des affaires.
La plupart d’entre nous ignorent qu’il n’est pas nécessaire de télécharger intentionnellement une pièce jointe infecté de malware ; de visiter un site web connu pour être malveillant ; ou de cliquer sur un lien malveillant dans le contenu d’un e-mail pour compromettre la sécurité de votre ordinateur ou de votre réseau. Les sites de téléchargements par « Drive-by » sont actuellement les principaux moyens utilisés par les pirates pour compromettre votre sécurité en ne faisant rien de plus que visiter un site web malveillant. D’autre part les attaques de phishing sont en forte augmentation et amènent de plus en plus les internautes à visiter par inadvertance des sites web contrôlés par des pirates informatiques.
Toutes ces raisons soulignent l’importance de former vos employés pour qu’ils sachent comment identifier les sites web malveillants et de trouver des moyens fiables de protéger votre ordinateur à l’aide d’un programme de sécurité Internet solide pour protéger vos ordinateurs et vos réseaux contre les malwares.
Vous devriez également installer une puissante solution de filtrage web pour vous assurer que les compétences de vos employés en matière d’identification de sites web malveillants ne sont jamais mises à l’épreuve.
Qu’est-ce qu’un site web malveillant ?
Les sites web malveillants hébergent des malwares ou sont utilisés pour soutirer des informations sensibles. Dans ce dernier cas, les utilisateurs sont amenés à révéler des données sensibles comme les identifiants de connexion aux sites de leurs banques en ligne.
Les malwares peuvent nécessiter une certaine interaction de l’utilisateur avant d’être installés. La tactique des cybercriminels consiste à solliciter les visiteurs à télécharger un programme de sécurité, en les informant que leur ordinateur est infecté par un autre malware, ce qui n’est pas vraiment le cas. D’autres pirates informatiques peuvent, quant à eux, proposer d’autres fonctionnalités comme un économiseur d’écran gratuit, ou demander aux utilisateurs de télécharger une fausse facture sous un format PDF.
Les cybercriminels mettent au point des moyens ingénieux pour compromettre vos réseaux. Les escrocs et les cybercriminels envoyaient principalement des courriels contenant des pièces jointes infectées. En double-cliquant sur la pièce jointe, l’ordinateur et le réseau pourront être infectés par un malware. Souvent, cette action n’était pas détectée par les logiciels antivirus. Une analyse complète du système devait alors être effectuée avant que le malware ne soit identifié.
Les utilisateurs d’ordinateurs sont maintenant beaucoup plus prudents et savent qu’il ne faut jamais ouvrir les pièces jointes qui leur sont envoyées par des expéditeurs inconnues et ne jamais double-cliquer sur un fichier exécutable. Les pirates informatiques et autres cybercriminels ont donc dû chercher d’autres moyens de plus en plus sophistiqués pour obtenir les identifiants des utilisateurs et les inciter à installer manuellement des malwares. L’un des moyens qu’ils utilisent actuellement est le développement de sites web malveillants.
Pour ce faire, ils contactent les utilisateurs en leur envoyant un courriel contenant des liens pointant vers des sites web, ainsi qu’une raison valable et pertinente pour visiter ces sites. Ce genre de lien est également envoyé fréquemment dans des messages en provenance de réseaux sociaux ou placés dans des publicités de sites web tiers. En cliquant sur ces liens, les utilisateurs vont ainsi être redirigés automatiquement vers de faux sites. Cela se fait souvent par le biais du phishing.
Les sites de phishing
Les attaques de phishing sont généralement basées sur le principe de déguisement. Les pirates informatiques usurpent les adresses électroniques de leurs victimes et envoient des messages malveillants à leurs contacts, en donnant l’impression que l’e-mail est légitime ; créent de faux sites web malveillants ressemblant à ceux auxquels leurs victimes font confiance et utilisent des jeux de caractères pour masquer les URL.
Il existe actuellement de nombreux kits de phishing, ce qui permet aux cybercriminels – même ceux qui n’ont que peu de compétences techniques – de lancer facilement des campagnes de phishing. Un kit de phishing regroupe des ressources et des outils de sites web malveillants qui ne doivent être installés que sur un serveur. Une fois installé, le pirate n’a plus qu’à envoyer des e-mails frauduleux à ses victimes potentielles.
Des kits de phishing et des listes de diffusion sont désormais disponibles sur le dark web. Quelques sites comme Phishtank et OpenPhish tiennent les listes de kits de phishing les plus connus. Certains de ces kits permettent aux pirates d’usurper des marques de confiance, ce qui augmente les chances que quelqu’un clique sur un lien frauduleux et atterrisse sur un site web malveillant.
A noter que 96 % des attaques de phishing sont lancées via les e-mails. Mais le phishing peut également se faire via le téléphone, les médias sociaux, le téléphone, les SMS et éventuellement les sites web malveillants.
Le téléchargement par « Drive-by »
Les sites web malveillants sont de plus en plus utilisés par les pirates informatiques pour héberger des « Exploit kits ». Ces kits d’exploitation sondent les navigateurs des visiteurs pour identifier les vulnérabilités de sécurité. Si une vulnérabilité est détectée, un malware peut s’installer automatiquement sur l’ordinateur ou le réseau, sans aucune interaction de l’utilisateur. Une simple visite d’un site web peut donc impliquer l’installation de malwares sur le disque dur d’un ordinateur ou sur un lecteur réseau.
Cette méthode de cyberattaque s’appelle « Drive-by Download ». On utilise le terme téléchargement « Drive-by » parce que l’utilisateur n’a pas besoin de s’arrêter ni de cliquer n’importe où sur la page malveillante pour que son appareil ou son réseau soit compromis. Le simple fait de visualiser la page web malveillante suffit à provoquer l’infection. Celle-ci se produit en arrière-plan, sans que l’utilisateur le sache ou y consente.
Lors d’une attaque par « Drive-by », les criminels compromettent un site web légitime en y injectant ou en y intégrant des objets malveillants. Les infections sont invisibles pour l’utilisateur et vont du code JavaScript malveillant aux iFrames, en passant par les malversations, les liens, les redirections, les scripts intersites et bien d’autres éléments malveillants.
Lorsqu’un utilisateur ouvre la page infectée, son navigateur charge automatiquement le code malveillant. Celui-ci analyse immédiatement son ordinateur à la recherche de failles de sécurité dans le système d’exploitation et les applications. La triste réalité est que presque toutes les applications présentent des failles de sécurité.
Bien entendu, les éditeurs de logiciels réputés publient des mises à jour afin de corriger les vulnérabilités connues, mais elles ne sont pas souvent installées. Selon les statistiques fournies par Google, seuls 38 % des utilisateurs mettent à jour immédiatement ou automatiquement leurs applications lorsqu’une nouvelle version est disponible. De plus, les pirates informatiques savent découvrir les failles de sécurité avant les fournisseurs de logiciels. Il y a donc un risque qu’un cybercriminel trouve et exploite une quelconque faiblesse, même pour ceux qui appliquent immédiatement les mises à jour de leurs systèmes d’exploitation ou applications.
Voici quelques-unes des méthodes que les pirates informatiques utilisent souvent pour attaquer un système :
Installation de keyloggers dans le but de capturer et d’enregistrer les frappes de la victime.
Utilisation de ransomwares pour chiffrer des données ou fichiers sur un appareil et exiger le paiement d’une rançon en échange de la clé de déchiffrement.
Déploiement de réseaux de botnets qui transmettent secrètement des spams ou des malwares à d’autres ordinateurs et réseaux.
Installation de malwares conçus pour charger d’autres malwares sans les détecter.
Recherche d’identifiants, de mots de passe, d’informations sur les comptes d’utilisateurs. Le malware parvient souvent à collecter des identifiants de connexion et d’autres informations sensibles stockées dans des fichiers, navigateurs ou autres applications.
Installation d’un malware du type « man-in-the browser » pour capturer, insérer ou modifier des données dans des formulaires web en vue d’effectuer des transactions non autorisées à l’insu de la victime.
Renvoi de fichiers de données sensibles ou d’autres documents au pirate.
Création d’une porte dérobée, permettant au cybercriminel d’installer des malwares supplémentaires, de modifier et d’ajouter des comptes d’utilisateurs, ou bien d’augmenter les niveaux de privilège.
Si vous voulez que votre système d’information ne soit pas infecté par des malwares, alors, tous vos collaborateurs doivent apprendre à identifier les sites web malveillants. Il incombe à vos administrateurs système et aux autres professionnels de l’informatique de les former à ce sujet.
Comment identifier un site web malveillant ?
Il existe des moyens simples de reconnaître un site web qui tente d’installer un malware :
Le site web vous demande de télécharger un logiciel, d’enregistrer un fichier ou d’exécuter un programme
La visite du site web lance automatiquement une fenêtre de téléchargement
Vous êtes invité à télécharger une facture ou un reçu, sous un format PDF, ZIP ou RAR, ou sous forme d’un fichier exécutable ou un fichier économiseur d’écran (.scr).
Un site web malveillant peut également vous dire que :
Votre ordinateur est déjà infecté par des malwares
Votre plug-in ou votre navigateur n’est plus à jour
Vous avez gagné un concours ou un tirage au sort gratuit. Les cybercriminels peuvent aussi vous offrir de l’argent gratuit ou des coupons qui vous obligent à entrer votre carte de crédit ou vos coordonnées bancaires.
Si l’on vous demande de télécharger des fichiers ou de mettre à jour votre logiciel, effectuez une vérification du site via Google et essayez de déterminer s’il est authentique. En cas de doute, ne téléchargez aucun fichier.
Si on vous dit que votre navigateur n’est plus à jour, visitez le site web officiel du navigateur et vérifiez son numéro de version. Ne téléchargez que des mises à jour à partir de sites web officiels.
Vous avez accidentellement visité sur un site de téléchargement par « drive by » et entré vos identifiants ? A ce stade, il se peut qu’il soit trop tard pour empêcher le téléchargement de malwares. Pour mieux vous protéger, assurez-vous donc que votre navigateur, vos add-ons et vos plug-ins sont à jour à 100%.
Pensez également à utiliser une solution logicielle qui permet de bloquer l’accès aux ce genre de faux site web.
Autres indications techniques qui peuvent indiquer qu’un site web est faux
L’adresse URL semble suspecte
Vous devez toujours être très attentif à l’orthographe de l’adresse URL d’un site web. En fait, pour faire croire aux utilisateurs qu’ils se trouvent sur un site légitime, les pirates informatiques s’en tiendront autant que possible à la véritable adresse en apportant de légères modifications à l’orthographe.
Par exemple, vous savez très bien que l’adresse https://google.com est sûre. Par contre, l’adresse https://google.[quelque chose].com ne l’est pas. Il s’agit d’un sous-domaine de [quelque chose].com, lequel pourrait être un site web malveillant. Pour éviter ce type d’escroquerie, il importe d’examiner de près l’URL ou l’adresse du site web.
En général, nous lisons les choses de gauche à droite, mais pour ce cas précis, vous devriez les lire de droite à gauche. Cela vous permettra de savoir d’où vient le site web et si c’est bien celui que vous voulez vraiment consulter.
Le protocole utilisé est HTTP
Si le site utilise le protocole http, cela devrait également attirer votre attention car il peut s’agir d’un site malveillant. L’URL d’un site web sécurisé doit commencer par « https » plutôt que « http ». Le « s » à la fin du terme « http » signifie « sécurisé », c’est-à-dire que le site utilise une connexion SSL (« Secure Sockets Layer »). Autrement dit, vos informations sont chiffrées avant d’être envoyées à un serveur.
Malheureusement, certains sites légitimes n’ont pas encore mis à niveau leurs URL vers https. Il faut également faire attention, car toutes les URL commençant pas https ne sont pas sûres. De plus, ce système n’est pas infaillible. Au cours de l’année dernière, le nombre de sites de phishing utilisant des certificats SSL a fortement augmenté. Le conseil à donner aux utilisateurs est d’être particulièrement prudents et de rechercher des preuves supplémentaires pour identifier la légitimité du site qu’ils souhaitent visiter.
L’icône de verrouillage ne s’affiche pas
L’icone de verrouillage est aussi un autre signe à rechercher lorsque vous allez consulter une page web. Une icône sous forme de cadenas devrait s’afficher quelque part dans la fenêtre de votre navigateur web. Elle peut être placée à différents endroits.
N’oubliez pas de cliquer sur l’icône pour vérifier que le site web en question est digne de confiance. Ne vous contentez pas de la chercher et de supposer que la plate-forme est sécurisée. Si vous cliquez dessus, votre navigateur web vous donnera des informations détaillées concernant l’authenticité du site. N’oubliez donc pas de lire attentivement ces informations.
La présentation du site en général est mal conçue
La création d’un site web officiel nécessite beaucoup de travail et de réflexion. Les graphismes doivent être nets, la grammaire et l’orthographe doivent être parfaites, et l’ensemble de l’expérience de navigation doit être impeccable.
Si vous vous trouvez sur un site malveillant ou un site de phishing, malgré sa similitude avec le site légitime, l’expérience sera inférieure à la norme. Cela pourrait indiquer que vous vous êtes égaré sur un site malveillant. De simples fautes d’orthographe, des erreurs grammaticales ou des images en basse résolution devraient susciter votre curiosité et vous signaler que vous vous êtes égaré sur un site de phishing et que vous devez vérifier les autres indications susmentionnées immédiatement.
Le propriétaire du site semble louche
Tout propriétaire d’un site web devra enregistrer le domaine de son adresse web. Pour savoir à qui appartient un site Internet, il est recommandé de faire une recherche WHOIS. C’est un service gratuit qui vous permettra de vérifier qui est le propriétaire du site web lors de sa création, ainsi que ses coordonnées. Il convient par exemple d’éveiller les soupçons si vous pensez être sur le site d’une marque internationale basée à Paris, mais que l’adresse web est enregistrée au nom d’une personne en Australie.
Un autre élément d’un site web qui pourrait indiquer qu’il s’agit d’un site de phishing est l’absence de la section « Contactez-nous ». Tout site officiel dispose généralement d’une page dédiée à la fourniture des coordonnées complètes de leur entreprise. Il peut s’agit d’une adresse postale, d’un numéro de téléphone, d’une adresse électronique ou encore des liens de réseaux sociaux. Si aucune de ces informations n’est fournie, vous devriez considérer le site comme suspect.
Comment empêcher les utilisateurs finaux de visiter un site web malveillant ?
N’oubliez pas, même les sites web légitimes peuvent être piratés et utilisés par les pirates pour héberger un code malveillant. Dans ce cas, ils peuvent contenir des publicités qui peuvent ensuite être utilisées pour diriger leurs visiteurs vers de faux sites web contenant des malwares. La meilleure défense est donc de bloquer ces publicités et ces sites web malveillants.
Voici quelques mesures que vous pouvez adopter facilement :
Supprimez les plug-ins et les logiciels inutiles. Vos ordinateurs ont tendance à se remplir d’applications et de plug-ins de navigateur qui ne sont ni utiles ni entretenus par les développeurs. Si vous les supprimez, vous réduisez considérablement vos risques de violation des données et de consulter des sites malveillants.
Mettez votre logiciel à jour constamment et rapidement. Lorsqu’un fournisseur de logiciels publie une mise à jour, les pirates s’empressent de faire de l’ingénierie inverse et de cibler les internautes qui n’ont pas appliqué la mise à jour. Configurez vos navigateurs, votre système d’exploitation, et toutes les applications pour qu’ils se mettent à jour automatiquement.
N’utilisez pas un compte privilégié pour le travail quotidien. Chaque fois que vous naviguez sur le web en utilisant un compte privilégié, des téléchargements par « Drive-by » et d’autres malwares peuvent avoir lieu sans votre autorisation explicite. Conservez deux comptes distincts sur votre ordinateur. Utilisez un compte non privilégié pour votre travail quotidien et toutes vos activités en ligne. Utilisez un compte administrateur différent pour l’installation de applications, et uniquement à cette fin. L’utilisation de l’Internet sans droits d’administration réduit considérablement le risque de visite d’un site web malveillant et le téléchargement réussi de différentes sortes de malwares.
Dans la mesure du possible, désactivez les applications Java et JavaScript. Si nécessaire, n’hésitez pas à inscrire les sites de confiance qui le nécessitent sur une liste blanche.
Installez un bloqueur de publicité. Les attaques par téléchargement en voiture utilisent fréquemment les publicités comme vecteurs d’infection. L’installation d’un bloqueur de publicités contribuera à réduire l’exposition à ces types d’attaques.
Utilisez un pare-feu. Bien qu’un pare-feu n’arrête pas nécessairement les malwares sophistiqués, un pare-feu peut être efficace pour détecter les sites web malveillants et bloquer les menaces connues.
En fin de compte, le blocage de l’accès à des sites web est un processus simple
Tout ce que vous devez faire, c’est d’installer une puissante solution de filtrage web. Les solutions de filtrage WebTitan vous aideront à sécuriser votre réseau en empêchant les utilisateurs de visiter des sites connus pour héberger des malwares.
WebTitan utilise deux puissantes solutions antimalwares et antiphishing (Bitdefender et Clam AV) qui permettent de détecter les sites hébergeant des malwares. Une fois que les sites malveillants sont détectés, ils sont bloqués.
WebTitan peut également être paramétré pour empêcher l’accès à des contenus douteux ou illégaux.
Si vos employés sont formés sur l’identification d’un site web malveillant ; et si vous installez un logiciel de filtrage web fiable, vos réseaux seront certainement mieux protégés contre les attaques par des malwares.
Ces dernières années, les actes de piratage informatique et le vol de données sensibles des entreprises ne cessent de faire la une des journaux.
Comme n’importe quelle organisation peut devenir une cible pour les cybercriminels, il est donc vital de prendre dès maintenant le temps d’examiner si votre organisation est vulnérable ou non.
Il existe différents types d’attaques, mais en général, les pirates visent le maillon le plus faible de votre chaine de cybersécurité : vos employés.
Même si vous disposez de nombreuses ressources pour protéger vos biens numériques, comme le département informatique, les pirates continuent à développer de nouvelles tactiques pour les contourner, comme le phishing, le spear phishing et l’ingénierie sociale.
En réalité, le paysage numérique évolue constamment et les entreprises peuvent avoir du mal à suivre les dernières tendances technologiques pour protéger leurs données. Heureusement, il existe des solutions que vous et vos collaborateurs pouvez adopter pour minimiser les risques.
L’un des meilleurs moyens est de former vos employés sur les attaques cybercriminelles. Si vous avez besoin de conseils pour assurer la réussite de vos séances de formation de sensibilisation à la sécurité, voici quelques bonnes pratiques à adopter.
L’importance de la formation de sensibilisation à la sécurité
Peu importe à quel point vos défenses de sécurité sont complètes et combien vous avez investi dans des produits de cybersécurité, ces défenses peuvent toutes être contournées avec un seul e-mail de phishing. Si un e-mail arrive dans la boite de réception d’un utilisateur qui n’a pas une compréhension de base de la sécurité et que ce dernier répond à ce message, des malwares peuvent s’installer, ou bien le cybercriminel peut autrement prendre pied dans votre réseau.
C’est le risque d’une telle attaque qui a incité de nombreuses organisations à élaborer un programme de sensibilisation à la sécurité. En enseignant à tous les employés les meilleures pratiques en matière de cybersécurité – du chef de la direction aux employés du niveau le plus bas – cela renforce grandement la sécurité et réduit la vulnérabilité de leur infrastructure informatique face à de nombreuses cyberattaques comme le phishing.
Cependant, il ne suffit pas d’offrir aux employés une séance de formation lorsqu’ils se joignent à l’entreprise. Il ne suffit pas non plus de donner une initiation à la cybersécurité suivie d’une session annuelle. On ne peut pas s’attendre à ce que les employés conservent leurs connaissances pendant 12 mois à moins que des séances fréquentes ne soient offertes. De plus, les cybercriminels développent constamment de nouvelles tactiques pour tromper les utilisateurs finaux. Les programmes de formation doivent donc suivre l’évolution de ces tactiques.
Les principaux types d’attaques cybercriminelles
On assiste actuellement à une épidémie de menaces cybercriminelles. Quels que soient vos données et ceux de vos collaborateurs, celles-ci ne sont plus en sécurité.
Mais ce qui pose vraiment problème, c’est que vos propres employés peuvent devenir des pions dans la prochaine menace d’un pirate hautement qualifié, d’un groupe de cybercriminels voire d’un État-nation.
Il importe donc de connaître les principaux types d’attaques cybercriminelles auxquelles vous et vos employés pourriez vous exposer.
Les attaques de phishing
Le phishing est une pratique courante utilisée par les pirates pour s’attaquer à une large cible d’utilisateurs avec des e-mails qui semblent authentiques.
Pourtant, ces messages sont destinés à amener leurs destinataires non avertis à cliquer sur des liens malveillants pour qu’ils divulguent différentes sortes d’informations sensibles (noms d’utilisateurs, mots de passe, informations financières, etc.).
Le phishing est l’une des menaces les plus dangereuses pour votre entreprise, car les pirates se cachent souvent derrière l’apparence d’une entreprise ou d’une personne de bonne réputation. Ils utilisent des tactiques d’ingénierie sociale pour rendre leurs victimes beaucoup plus susceptibles de tomber dans l’escroquerie.
Les attaques de spear phishing
Si le phishing consiste en quelque sorte au fait de jeter un large filet rempli d’appâts et de faire rentrer tout ce que les pirates informatiques peuvent attraper, le spear phishing, quant à lui, utilise une approche très ciblée pour attaquer des individus spécifiques.
Les victimes sont souvent des personnes ayant de grandes responsabilités ou qui ont accès à des biens numériques précieux.
L’e-mail de spear phishing est rédigé de façon personnalisée, c’est-à-dire que le pirate utilise toutes les informations disponibles pour faire en sorte que le message semble provenir d’un ami ou d’un collègue de travail. Ceci augmente les chances qu’il soit lu par son destinataire.
L’ingénierie sociale, ou social engineering
Le terme « ingénierie sociale » peut vous déconcerter, mais en réalité, il est facile de comprendre sa signification.
C’est un vecteur d’attaque cybercriminelle que les pirates peuvent utiliser pour accéder à des réseaux et des systèmes ou pour obtenir un gain financier en faisant appel à la psychologie humaine plutôt qu’à des méthodes de piratage technique.
Elle s’appuie sur l’interaction sociale pour manipuler les victimes afin que celles-ci contournent les meilleures pratiques et protocoles de sécurité mise en place au sein de leur entreprise.
Cette nouvelle tactique est très prisée par la communauté des pirates informatiques, car elle permet d’exploiter les failles des utilisateurs avec plus d’efficacité.
Quel est le coût d’une attaque de phishing ?
Avez-vous l’impression d’entendre souvent parler de phishing lorsqu’on évoque le terme de piratage informatique ?
Ce n’est pas le fruit de votre imagination, car au cours des cinq dernières années, le nombre de violations de données sensibles liées au phishing a augmenté de 67 %, et il ne montre aucun signe de ralentissement.
La grande majorité des cyberattaques commencent par des e-mails de phishing. Qu’il s’agisse d’inciter quelqu’un à cliquer sur un lien malveillant, de lui faire divulguer ses identifiants de connexion ou d’ouvrir une voie d’accès à votre réseau, les pirates peuvent causer des problèmes majeurs à votre entreprise en utilisant cette technique.
De nombreuses tentatives de phishing visent également à voler des données dans le but de les chiffrer puis de les échanger contre une rançon. À moins que vous ne payiez, vous n’obtiendrez pas la clé permettant de déchiffrer et donc de récupérer vos données.
Statistiques sur les attaques de phishing
Selon les estimations du FBI, les cybercriminels ont jusqu’alors volé plus de 11 milliards d’euros aux entreprises sur une période de cinq ans, et ce, en utilisant le phishing et la compromission de e-mails d’affaires (Business Email Compromise – BEC).
Une étude de l’université du Maryland a également révélé qu’une attaque de phishing se produit en moyenne toutes les 39 secondes, soit plus de 156 millions d’e-mails de phishing chaque jour.
Pire encore, plus de 16 millions de ces messages malveillants passent par les filtres des entreprises et la moitié d’entre eux sont ouverts par leurs destinataires.
C’est notamment ce qui est arrivé à certains des plus grandes enseignes comme Facebook et Google.
Ces géants du numérique se sont fait voler près de 92,5 millions d’euros lors d’une attaque de phishing ciblant les cadres du niveau C. La banque Crelan a, quant à elle, perdu plus de 69 millions d’euros, tandis que l’enseigne Upsher-Smith a perdu près de 46 millions d’euros suite à une attaque de phishing.
Les grandes entreprises ne sont pas les seules cibles du phishing. Près de la moitié des PME ont été attaquées et les résultats ont souvent été désastreux. Le fait est que plus 60 % des PME ayant été piratées ont fait faillite six mois après l’attaque.
Le coût moyen d’une fuite de données
Les statistiques sur les attaques de phishing montrent que le coût moyen d’une violation de données en 2018 était de 3,6 millions d’euros. Selon le rapport d’IBM en 2019, le coût d’une violation de données revient à environ 138 euros pour chaque enregistrement compromis.
Une fois que les pirates informatiques parviennent à pénétrer dans votre système, il peut s’écouler des mois avant que vos employés ne se rendent compte qu’ils sont victimes d’une attaque.
En moyenne, il faut 279 jours pour identifier et en contenir une. Entre le moment où une brèche se produit et celui où la menace est éliminée, il peut s’écouler environ 10 mois.
Une autre étude, menée par Accenture sur près d’un millier de cyberattaques, a révélé que le coût de la lutte contre les cyberattaques, le phishing et les malwares et les attaques a augmenté de 12 % par rapport à l’année précédente. En cinq ans, cela a augmenté de 72 %.
Pour faire face à l’augmentation de ces menaces cybercriminelles et pour protéger votre entreprise, il est donc important de former vos collaborateurs pour qu’ils comprennent les différents types d’attaques.
Dans ce qui suit, nous avons dressé une liste des meilleures pratiques à suivre. L’adoption de ces pratiques exemplaires vous permettra de faire évoluer la culture de sécurité au sein de votre organisation.
Bonnes pratiques en matière de formation de sensibilisation à la sécurité
Quand on parle des processus et des solutions de cybersécurité, les salariés sont souvent considérés comme les clés d’une protection performante contre les principales menaces en ligne. Mais ils doivent aussi être guidés par les équipes informatiques, les directeurs et hauts responsables. Ces derniers doivent insuffler les bonnes pratiques à leurs collaborateurs, que ce soit à travers la mise en place des systèmes de défense efficaces ; via la participation à des formations de sensibilisation ou à travers des actions quotidiennes simples.
Vous trouverez ci-dessous une liste de pratiques exemplaires en matière de sensibilisation à la sécurité qui vous aideront à élaborer un programme de formation efficace. Au final, elles vous aideront à prévenir les atteintes à la protection des données.
L’implication de la direction est un must
On dit souvent que le maillon le plus faible de la chaîne de sécurité d’une organisation est les employés.
Il n’est pas non plus surprenant que les cadres supérieurs soient moins enthousiastes à l’idée de participer à une formation sur la sensibilisation à la sécurité web. Beaucoup d’entre eux considèrent que cela fait perdre leur temps et empiète sur la productivité de leurs employés. Bien que cela puisse être vrai dans de rares cas, il faut savoir que la direction peut aussi devenir le maillon faible d’un système d’information.
Si la direction ne s’intéresse pas activement à la cybersécurité et ne se rend pas compte de l’importance de l’élément humain dans la sécurité, il est peu probable qu’un soutien suffisant soit fourni et que des ressources appropriées soient disponibles.
Bref, il faut une bonne implication de la direction pour créer une culture de sécurité au sein d’une organisation.
Un effort à l’échelle de l’organisation est nécessaire
Un seul département se verra probablement confier la responsabilité d’élaborer et de mettre en œuvre un programme de sensibilisation à la sécurité, mais ce ne sera pas facile à réaliser s’il travaille en vase clos. L’aide d’autres départements sera nécessaire.
Les chefs des différents départements doivent également apporter leur contribution et faire en sorte que le programme de formation de sensibilisation à la sécurité soit considéré comme l’une des priorités.
Afin d’alléger le fardeau du service IT, les membres d’autres services peuvent soutenir, voire participer aux efforts de formation. D’autres services, comme le marketing, peuvent par exemple les aider dans l’élaboration du contenu des documents de formation. Quant au service des ressources humaines, il peut contribuer dans la définition des politiques et des procédures de sécurité informatique.
Création d’un contenu de formation sur la sensibilisation à la sécurité
Il n’est pas nécessaire d’élaborer un contenu de formation pour les employés à partir de zéro, car il existe de nombreuses ressources gratuites qui peuvent vous donner une longueur d’avance.
De nombreuses entreprises offrent du matériel de formation de haute qualité à un prix qui est probablement inférieur au coût d’élaboration du matériel de formation interne. Vous pouvez donc tirer parti de ces ressources, mais assurez-vous d’élaborer un programme de formation adapté aux menaces qui pèsent sur votre organisation et le secteur dans lequel vous évoluez.
Votre programme de formation doit être complet : s’il existe des lacunes, il est certain que les cybercriminels vont les exploiter tôt ou tard.
L’importance d’une formation à la cybersécurité diverse
L’adoption d’une formation basée sur une approche unique est vouée à l’échec, car les gens réagissent différemment aux différentes méthodes de formation.
Certains peuvent conserver davantage de connaissances grâce à une formation en classe, tandis que d’autres peuvent avoir besoin d’une formation individuelle ; et beaucoup d’entre eux apprécieront davantage des séances de formation sur la TCC.
Votre programme de formation doit donc inclure un large éventail de méthodes et différents styles d’apprentissage. Plus votre programme est engageant, plus les connaissances seront conservées. Utilisez des affiches, des bulletins d’information, des alertes de sécurité par email, des jeux et des séries de jeux-questionnaires et vous constaterez certainement d’importantes améliorations en matière de sensibilisation de vos employés à la sécurité.
Mesurez toujours vos efforts en matière de cybersécurité
La mise en place des mesures d’évaluation des efforts est essentielle pour vous permettre de connaître l’impact de votre programme de formation et de démontrer son retour sur investissement.
Sur ce point, vous ne devez pas vous contenter de vous concentrer sur la sympathie. Ce qui compte, c’est le changement de comportement de vos employés. Heureusement, ce changement de comportement est mesurable grâce à des contrôles techniques correctement configurés qui favorisent le suivi des résultats et la création de rapports.
Les contrôles de sécurité des points finaux vous permettent par exemple de mesurer les taux d’infection par des malwares. Vous pouvez également procéder à des tests du niveau de connaissance de vos employés pour identifier les domaines à améliorer ou bien les employés qui pourraient avoir besoin d’une formation supplémentaire.
Vous pouvez par exemple élaborer un programme de formation qui semble très impressionnant pour vos employés. Pourtant, si ces derniers ne réussissent à conserver que 20 % du contenu, alors votre programme de formation ne sera pas très efficace.
L’une des meilleures façons de déterminer l’efficacité de votre programme est de simuler des attaques cybercriminelles. Des exercices de simulation d’attaque de phishing et d’autres scénarios d’attaques informatiques devraient alors être effectués avant, pendant et après la formation.
Ainsi, vous serez en mesure d’évaluer l’efficacité de tous les éléments du programme et d’obtenir les commentaires dont vous avez besoin pour identifier les points faibles. Grâce à cela, vous pourrez aussi prendre des mesures dans le but d’améliorer votre programme de formation.
La formation de sensibilisation à la sécurité doit être un processus continu
N’oubliez pas qu’un programme de formation de sensibilisation à la sécurité ne doit pas être considéré comme une case à cocher et une tâche à oublier une fois qu’elle est achevée.
Votre programme doit se dérouler de façon continue et comprendre une séance de formation annuelle pour tous les employés, des séances de formation semestrielles et d’autres activités de formation réparties tout au long de l’année.
L’objectif étant toujours de s’assurer que tous les dirigeants et employés sont toujours conscients de l’importance de la sécurité informatique, quel que soit le type d’organisation dans laquelle ils travaillent.
Ne blâmez pas vos employés
Lorsqu’une attaque se produit au sein d’une entreprise, les responsables de la sécurité ou les membres de la direction concluent souvent que c’est la faute d’un employé malchanceux qui a cliqué sur un lien malveillant, ouvert une pièce jointe ou visité un site compromis.
Même si c’est vrai, ce n’est pas une raison de blâmer l’un de vos employés de ne pas avoir les bonnes connaissances et pris les mesures adéquates au bon moment.
C’est n’est qu’un moyen d’éviter la responsabilité de l’organisation de s’assurer que ses employés obtiennent une formation adaptée pour mieux sécuriser son réseau et ses données.
Il incombe à votre entreprise de mettre au point un plan pour s’assurer que chacun dispose des connaissances nécessaires pour que chaque employé puisse prendre la bonne décision et s’adresser à la bonne personne en cas de besoin.
Autrement dit, il faut être clair sur ce que vos collaborateurs doivent faire si quelqu’un reçoit des e-mails de phishing, divulgue des informations confidentielles ou télécharge par inadvertance des malwares.
Pour ce faire, vous devez adopter plusieurs approches et changer de mentalité. Vous ne devriez pas considérer la personne qui a ouvert la mauvaise pièce joute comme le point d’échec.
Au contraire, vous devriez reconnaître que les solutions de sécurité utilisées par cette personne ou la formation qu’elle a reçue ont échoué.
N’oubliez pas les travailleurs distants
Les travailleurs distants peuvent représenter des menaces pour la sécurité de votre système d’information. Comme le déconfinement est encore loin d’avoir mis fin au télétravail, cette pratique nécessite l’adoption de mesures de sécurité renforcées.
En tant qu’employeur, les ordinateurs vos collaborateurs peuvent déjà disposer de pare-feux, de logiciels antivirus et antimalwares, et d’autres systèmes de sécurité informatique (messagerie instantanée sécurisée, système de partage de fichiers, système d’authentification multifacteurs, etc.). Mais vous devez aussi leur apprendre à sécuriser leurs activités professionnelles afin d’éviter les cyberattaques.
Lors des séances de formations, apprenez donc à vos employés distants à séparer leurs activités personnelles de leurs tâches professionnelles. Vous devez aussi les inciter à utiliser un réseau privé virtuel ou un VPN pour sécuriser leurs données professionnelles, à créer et utiliser des mots de passe sécurisés et à faire une sauvegarde régulière de leurs données, entre autres.
Conclusion
L’argument en faveur de la formation de sensibilisation à la sécurité des employés est simple : si vos employés ne savent pas comment reconnaître une menace, ne vous attendez pas à ce qu’ils puissent les éviter, les signaler ou les bloquer.
En sensibilisant vos employés aux menaces cybercriminelles ; à la manière dont elles peuvent se présenter et évoluer ; et aux procédures à suivre si une attaque se produit, vous renforcez les maillons les plus vulnérables de votre chaîne de sécurité.
Mais malgré tous efforts répétés en matière de formation, n’oubliez pas que vos employés sont des êtres humains. Un jour ou l’autre, ils pourront encore faire des erreurs. C’est pour cela que vous aurez besoin de déployer des logiciels anti-phishing fiables qui s’intègrent aux systèmes d’exploitation que vous utilisez.
Spécialiste dans la fourniture de solution de sécurité contre les attaques de phishing, de spear phishing, de malwares et d’ingénierie sociale, TitanHQ propose des solutions adaptées aux besoins des entreprises et des fournisseurs de services gérés. Pour plus d’informations à propos de nos solutions SpamTitan et WebTitan, contactez notre équipe dès aujourd’hui.
Les données que les entreprises collectent et traitent doivent être archivées, car cela déterminera dans quelle mesure elles pourront être accessibles, retrouvées, réutilisables et interopérables.
L’archivage des données est également essentiel pour vous éviter les pertes de données qui peuvent résulter de différentes situations, des pannes de disques durs à l’erreur humaine, en passant par le vol physique et surtout les attaques de ransomware.
Dans ce dossier, nous allons parler particulièrement de la solution adaptée pour contrer les attaques de ransomwares, étant donné que celles-ci ont récemment causé beaucoup de chaos et de dommages dans de nombreux réseaux à travers le monde.
Quel que soit le malheur qui pourrait être causé par un ransomware, une sauvegarde de données vous procurera le répit que vous recherchez. En fait, elle vous permet de sécuriser vos informations sensibles et de les restaurer en cas de besoin, à condition que celles-ci soient stockées dans un endroit sécurisé, en local ou dans le cloud.
La question est de savoir où est-ce que vous devez archiver vos données pour qu’elles soient protégées contre les menaces de ransomwares ?
La mesure la plus appropriée est actuellement l’utilisation de la règle de sauvegarde 3-2-1 qui associe stockage physique et virtuelle.
Comment fonctionne cette fameuse règle et pourquoi est-elle si importante ?
Dans ce dossier, nous allons répondre à cette question.
La règle de sauvegarde 3-2-1 : la meilleure pratique pour sauvegarder et restaurer vos données
Qu’on se le dise, aucune stratégie de sauvegarde n’est infaillible à 100 %, mais adopter la règle de sauvegarde 3-2-1 s’avère encore l’approche la plus fiable.
Pour protéger vos données et les récupérer après l’attaque d’un ransomware, vous devez disposer d’un système de sauvegarde fiable. Voici donc quelques conseils qui vous aideront à éviter que les ransomwares ne détruisent votre réseau et ne verrouillent vos données :
Utiliser le meilleur filtre antispam que vous puissiez obtenir pour protéger les utilisateurs contre les liens et les pièces jointes contenant des malwares
Mettre en œuvre des couches de filtrage de contenu pour protéger les utilisateurs et les sessions automatisées des sites web qui servent de centres de téléchargement
Utiliser une protection antivirus et un antimalware réputés sur les périphériques d’extrémité, c’est-à-dire les périphériques matériel connectés au réseau LAN ou WAN
Mettre à jour régulièrement tous vos appareils et apporter les modifications nécessaires
Installer un antivirus de passerelle qui analyse toutes les sessions Internet actives et supprime les paquets de code infectés par des malwares
Désactiver le protocole de bureau à distance sur tous les ordinateurs qui sont directement exposés à Internet
Désactiver les fichiers s’exécutant depuis les dossiers AppData ou LocalAppData si possible
Former et éduquer les utilisateurs pour qu’ils deviennent plus prudents et proactifs face aux attaques de ransomware.
Le patching
La dernière attaque ransomware Petya/ExPetr a démontré à quel point la mise à jour des systèmes est cruciale pour contrer les attaques de ransomware.
Souvent, les entreprises ne peuvent pas toujours déployer les mises à jour lorsqu’elles sont disponibles, car elles doivent tout d’abord tester les modifications et s’assurer que celles-ci ne créent aucun problème. Les équipes informatiques doivent également intégrer la redondance dans l’infrastructure, de sorte que si le système tombe en panne lorsqu’elles apportent les correctifs, un autre système puisse conserver les données pendant cette période.
Désormais, la protection des périphériques d’extrémité ne doit plus être assurée par un seul outil ou une seule entité. Elle doit être constituée d’une série d’outils bien coordonnés, qui fonctionnent conjointement et qui se complètent mutuellement.
Malheureusement, même la gamme la plus robuste d’outils de protection de sécurité ne peut garantir une protection complète contre les malwares. La raison est que de nombreux utilisateurs transportent constamment des périphériques au-delà du périmètre de sécurité du réseau.
La zone d’incursion des ransomwares est limitée
Il y a un fait réconfortant au sujet des ransomwares : leur zone d’infestation est limitée.
Ce ne sont pas des vers qui se propagent intelligemment pour se répandre à la fois sur les réseaux locaux et les réseaux étendus. Son incursion est limitée aux volumes locaux et aux lecteurs cartographiés, lesquels peuvent inclure les éléments suivants :
Un lecteur mappé pointant vers un partage réseau ou un serveur de stockage en réseau (NAS).
Un lecteur externe connecté à la machine infectée, incluant le périphérique de stockage USB.
Un stockage Cloud installé localement, tel que Dropbox.
La bonne nouvelle, si l’on peut dire, c’est que dans le cas où un ransomware est capable d’établir une tête de pont sur l’un de vos appareils, malgré la fiabilité de votre réseau de sécurité, les dommages seront limités à la portée physique de cet appareil.
La solution pour la protection contre les ransomwares
Et voici l’autre bonne nouvelle.
Il existe une seule solution pour lutter contre ces malwares et qui fonctionnera toujours quoiqu’en fassent les utilisateurs. Cette solution vous évitera de perdre toutes vos données, peu importe la panne technique qui survient dans votre périmètre de sécurité.
Si votre entreprise est victime d’une attaque de ransomware, vous n’aurez aucunement besoin de payer la rançon si vous effectuez des sauvegardes régulières et planifiées. Bien entendu, une telle sauvegarde sera inutile si le moyen utilisé a un lien physique avec l’appareil infecté.
La règle de sauvegarde 3-2-1 : comment ça marche ?
Afin de sauvegarder efficacement vos données, vous aurez besoin d’une redondance. C’est le but de la règle de sauvegarde 3-2-1 traditionnelle.
Elle fonctionne de la manière suivante :
Ayez au moins 3 copies de vos données
Utiliser 2 formats différents pour chaque copie
Que l’une des copies soit sauvegardée hors site.
Vous avez besoin de trois copies de vos données. Ainsi, l’original pourra être supporté par deux copies sauvegardées séparément.
Vos données doivent résider sur deux supports distincts, par exemple sur un partage réseau, sur les baies de stockage SSD, etc. Il peut également s’agir d’un support traditionnel qui semble si ancien aujourd’hui, mais qui est suffisamment mobile pour être transporté hors site, dans un endroit sûr. Cela peut être un site séparé et déjà utilisé par votre entreprise, voire un coffret de sûreté à la banque locale.
Sachez toutefois qu’il existe une autre solution qui satisfait à la fois aux conditions de conservation sur deux formats et à l’emplacement distant. Il s’agit de mutualisation des ressources de stockage.
Pour ce faire, vous pouvez archiver vos données à des intervalles réguliers, tout au long de la journée et dans un environnement identique, dans un site de sauvegarde, d’archivage et de reprise après sinistre. Ceci vous permet de récupérer facilement vos données après une attaque sur le serveur hôte.
Conseils pour l’archivage des données sur site
Lorsque vous allez adopter la règle de sauvegarde 3-2-1, la première solution que nous avons évoquée est de conserver vos archives en interne, plus précisément dans votre serveur local. Pour ce faire, vous n’aurez besoin que d’utiliser votre infrastructure informatique existante.
Cette option est nécessaire pour faciliter l’accès aux données, avec une faible latence. De cette manière, votre service informatique pourra également avoir le contrôle de vos données.
Si votre organisation dispose déjà du matériel adapté pour le stockage des informations, n’oubliez pas de tenir compte des coûts de maintenance, telle que la gestion des correctifs, les coûts d’alimentation et de refroidissement des serveurs, la réplication ou la sauvegarde des données ou bien le remplacement périodique des supports de stockage suivant leur temps moyen de défaillance estimé.
Etant donné les différentes menaces qui risquent de porter atteinte à votre serveur, il faut adopter des dispositifs et méthodes de sécurité pour garantir l’accès, la sécurité et l’intégrité de vos données.
Voici une liste non exhaustive des solutions qui sont le plus souvent mises en œuvre par les entreprises.
Les pare-feu
Un pare-feu est considéré comme l’une des premières lignes de défense de votre réseau, en isolant un réseau d’un autre. Il peut s’agir d’un système autonome ou d’un système intégré à d’autres dispositifs d’infrastructure, comme des serveurs ou des routeurs.
Un pare-feu fonctionne en empêchant le trafic indésirable de pénétrer dans votre réseau d’entreprise, ce qui contribue à prévenir la fuite de données vers des serveurs tiers malveillants via des malwares ou des pirates informatiques.
La prévention des pertes de données intégrée (DLP)
Il s’agit d’un ensemble de techniques qui permettent d’identifier, de surveiller et de protéger les postes de travail, les serveurs et les réseaux de votre entreprise pour s’assurer que les données sensibles ne sont pas copiées, retirées, déplacées ou supprimées.
La DPL sert également à surveiller les personnes qui utilisent et transmettent les données sensibles afin de détecter toute utilisation non autorisée.
Le contrôle d’accès au réseau (NAC)
Cette technique consiste à restreindre la disponibilité des ressources de votre réseau local aux dispositifs d’extrémité qui respectent la politique de sécurité que vous avez prédéfinie.
Certaines solutions NAC permettent de corriger automatiquement un nœud de réseau non conforme afin de garantir sa sécurité avant que certains appareils obtiennent l’autorisation d’y accéder. Ceci signifie que les dispositifs non autorisés ne pourront pas accéder à vos données directement depuis votre réseau, ce qui vous protègera de différentes sortes d’attaques cybercriminels.
Les serveurs proxy
Vous pouvez aussi mettre en place des serveurs proxy ; des dispositifs qui servent de négociateurs pour les demandes des logiciels clients qui tentent d’obtenir des ressources d’autres serveurs.
Lorsqu’un client se connecte à votre serveur proxy afin de demander un service, comme la visite d’un site web, le serveur proxy va évaluer la demande avant d’autoriser ou de refuser l’accès.
Les entreprises utilisent souvent les serveurs proxy utilisés pour filtrer le trafic et améliorer les performances de leur réseau. Mais ils peuvent également restreindre l’accès à des données sensibles depuis le web.
Comment sauvegarder vos données dans un système de stockage physique externe ?
L’application de la règle de sauvegarde 3-2-1 requiert également l’archivage de vos données en externe.
Si vous n’avez pas un grand volume d’informations à protéger, une clé USB pourrait faire l’affaire pour les stocker. Mais ce n’est pas toujours le cas pour les entreprises qui traitent beaucoup de fichiers, d’e-mails et qui doivent garder leur propriété intellectuelle à l’abri des menaces cybercriminelles.
En général, les entreprises utilisent des disques durs pour sauvegarder leurs fichiers. Ils sont parfaits pour l’archivage des données hors site, car vous pouvez les emporter d’un endroit à l’autre, de sorte qu’en cas de sinistre qui affecte votre site principal, vous aurez toujours une copie de vos fichiers.
Vous pouvez utiliser les disques durs portables qui sont à la fois faciles à utiliser et plus rapides, comparés aux disques optiques. Toutefois, ils peuvent nécessiter un rafraîchissement des données qu’ils contiennent tous les deux ou trois ans.
Les disques durs (SSD) sont généralement fiables. S’ils sont mis hors service et stockés en toute sécurité, ils peuvent durer une ou deux décennies avant que leur capacité diminuent et qu’ils commencent à produire des erreurs irrécupérables.
Bien entendu, il existe d’autres solutions de stockage comme les bandes magnétiques qui sont également des supports amovibles. Elles sont toujours d’actualité pour les entreprises et sont désormais disponibles dans de très grandes capacités.
Toutefois, les bandes magnétiques peuvent s’étirer et se casser au fil des années. Les données peuvent également être effacées par les champs magnétiques. De plus, ce type de support est généralement cher à l’achat.
Comme alternative, vous pourriez être tenté d’utiliser des disques optiques. Ce type de support d’archivage est incontestablement le plus résistant et le plus pratique à utiliser. Leur capacité, pouvant aller jusqu’à une centaine de Gigaoctets, peut suffire pour gérer les tâches de sauvegarde et d’archivage à long terme. Pourtant, les disques optiques sont généralement très chers, et l’écriture des donnés sur ce genre de support est relativement lente par rapport à celle des disques SSD et disques durs USB 3.0.
Quel que soit le type de support choisi, il est recommandé de le placer dans un endroit sécurisé, ou même dans un coffre-fort. Pour quelques centaines d’euros, vous pouvez vous en procurer un qui est suffisamment lourd pour ne pas être facile à transporter ; qui peut résister aux incendies et qui est résistant à l’eau. Ainsi, à moins d’un désastre total, vous serez toujours en mesure d’accéder à vos archives.
Comment bien conserver vos disques durs et vos données ?
D’abord, sachez que l’environnement est essentiel pour garder vos disques durs en parfait état le plus longtemps possible. La chaleur, l’humidité, les vibrations et les champs magnétiques peuvent réduire drastiquement leur durée de vie opérationnelle. Le disque dur est également un dispositif mécanique. Il est donc vulnérable aux chocs. Le faire tomber sur un sol dur – par exemple, lorsque vous le sortez du coffre-fort – pourrait causer la perte de vos données.
Il est recommandé de faire tourner le disque au moins une fois par an. Pour ce faire, il suffit de le brancher dans votre ordinateur et de vérifier qu’il fonctionne correctement.
Changez vos disques lorsque vous jugez que c’est nécessaire, car ils ne sont pas éternels. En fait, leur taux de défaillance va augmenter au fil des années. De plus, le fait de remplacer vos disques au bout de deux ou trois ans vous permettra de bénéficier d’une plus grande capacité, souvent pour le même prix, voire moins.
Archivage des données dans le cloud : découvrez les solutions de TitanHQ
De nos jours, de nombreuses entreprises stockent déjà leurs fichiers importants dans le cloud, et c’est une bonne chose. Comme susmentionnée, cette pratique est essentielle lorsque vous voulez conserver une autre copie de vos données dans un autre endroit, tel qu’exigé par la règle de sauvegarde 3-2-1.
Cependant, il faut vous assurer que vos données sont chiffrées. Il existe certains services de stockage cloud qui chiffrent vos données, comme iCloud et Dropbox. Cependant, vous devriez vous méfiez des autres services qui conservent des copies de vos fichiers, car certains d’entre eux ne sont pas forcément sécurisés, ou bien que leur capacité de stockage ou leur flexibilité est limité.
L’idéal est de confier l’archivage de vos informations sensibles à des professionnels de l’archivage dans le cloud, comme TitanHQ.
Afin de protéger votre réseau, vos données et votre entreprise contre les menaces en ligne, la marque vous propose plusieurs solutions, à savoir :
ArcTitan
Une grande partie des données de votre entreprise se trouvent dans les e-mails. Le courrier électronique constitue donc un élément vital de votre organisation, mais il peut aussi être une source importante de risques.
D’une part, vos e-mails peuvent être exposés au risque de cybercriminalité, mais ils ont également un rôle important dans la conformité. ArcTitan est une solution reconnue pour archiver vos messages, ce qui vous permet d’être sûr que vos informations sensibles et vos pièces jointes sont stockées en toute sécurité, tout en étant facilement accessibles.
ArcTitan offre plusieurs fonctionnalités, comme l’accès à distance à vos messages archivés et le chiffrement des e-mails, la protection à 100 % contre la perte de données et la possibilité d’économiser jusqu’à 75 % sur le stockage.
Voici trois solutions fournies par le spécialiste de la sécurité web TitanHQ que votre entreprise devrait adopter lorsque vous voulez archiver et protéger vos données dans le cloud.
WebTitan
Lorsque vos employés utilisent l’Internet, certains d’entre sont susceptibles de consulter des sites malveillants ou des contenus inappropriés pour le travail. Non seulement cela pourrait diminuer leurs productivité, mais les pirates peuvent aussi les utiliser pour mener des attaques de malwares, de phishing, etc.
WebTitan Cloud est une solution de filtrage web basée dans le cloud via laquelle vous pourrez surveiller et contrôler les activités de vos collaborateurs lorsqu’ils utilisent votre réseau. Grâce à la solution de TitanHQ, vous allez pouvoir les protéger grâce à la mise en place de politiques adaptés à vos besoins et des rapports complets concernant leurs activités en ligne.
De cette manière, vos données sur site et celles qui sont stockées dans le cloud seront à l’abri des menaces en ligne.
SpamTitan
Cette solution vous permet de filtrer efficacement les e-mails entrants et sortants de vos entreprises. SpamTitan Cloud peut bloquer les spams qui sont généralement l’outil le plus utilisé par les pirates informatiques pour mener différentes sortes d’attaques en ligne.
Ce filtre de messagerie avancé peut détecter plus de 99,9 % des e-mails non sollicités, des tentatives de phishing et des communications frauduleuses. Il possède également un ensemble de fonctionnalités complètes adaptées aux entreprises de toute taille et évolue en permanence au fur et à mesure que de nouvelles menaces sont détectées.
Conclusion
Si vous prévoyez d’archiver vos données, il est fort probable que vous vous souciez de la possibilité de leur reprise après sinistre et de la continuité des activités après une attaque en ligne.
Ce que vous devez surtout retenir est que le fait de les archiver dans un seul support, dans le même bâtiment ou la même pièce est une mauvaise idée.
Selon la règle de sauvegarde 3-2-1, il est nécessaire d’avoir une copie sécurisée de vos données sur site pour pouvoir y accéder rapidement en cas de besoin. Vous devez aussi créer deux autres copies qui seront stockées dans deux différents supports, à des emplacements éloignés de votre système local, comme dans le cloud.
Quel que soit le plan d’archivage que vous choisissez, les données conservées doivent toujours faire l’objet de tests réguliers de restauration pour s’assurer qu’elles puissent être récupérées intactes en cas de besoin.
Cela dit, vous pourriez penser que conserver vos archives en toute sécurité est une véritable corvée. Pourtant, une fois que vous avez pris l’habitude, vous découvrirez que c’est une tâche très simple à réaliser.
Pour finir, n’oubliez pas que les ransomwares ne cesseront d’évoluer. Ils pourront donc étendre leur zone d’infestation au-delà des connexions physiques directes. Ce qui est certain, c’est qu’une solution de sauvegarde fonctionnelle et bien conçue permettra toujours de lutter contre leurs effets, peu importe leur stratégie d’attaque à l’avenir.
