Administrations et collectivités territoriales / Assurance / BTP / BUP / Cybersécurité / ERP/IGH / Industrie/ICPE
Cybersécurité : les attaques à la lumière des retours d’expérience
La digitalisation et le développement d’Internet attirent un nombre important de cybercriminels. Les techniques qu’ils emploient se multiplient et les attaques ciblent les organisations et les entreprises de toute taille. Cet article, publié dans le numéro 536 de Face au Risque (daté d’octobre 2017) reste encore d’actualité aujourd’hui. État des lieux avec exemples à l’appui.
Si les principales cibles des cybercriminels étaient les grandes entreprises, administrations et États, les pirates se tournent désormais vers des objectifs plus modestes, aux défenses moins impénétrables : les PME et PMI, qui ne disposent pas des mêmes moyens que les grands groupes. Elles pouvaient être autrefois des victimes collatérales par effet de masse. Les voici maintenant en première ligne.
Ingénierie sociale
Parmi les techniques employées par les cybercriminels, on retrouve l’ingénierie sociale. Elle consiste bien souvent à usurper l’identité d’un tiers connu de la cible. Pour y parvenir, le cybercriminel aura effectué un travail d’investigation afin de connaître l’organisation de l’entreprise, les noms et postes de chaque collaborateur, les banques, le nom des fournisseurs… La masse d’informations personnelles et professionnelles publiées sur les réseaux sociaux par les collaborateurs constitue une base de connaissance suffisante pour construire un profil précis de l’utilisateur.
La fraude en elle-même s’effectue via des collaborateurs convaincus. Dans le cas de l’escroquerie dite « fraude au président », les criminels parviennent à faire effectuer un ordre de virement en leur faveur. En août 2017, une entreprise de l’Yonne a été victime de ce type d’escroquerie et deux autres tentatives ont été enregistrées.
La faiblesse des employés
Les salariés sont les premières cibles de ces attaques et constituent l’un des maillons faibles de la chaîne de sécurité. Cela s’avère être également le cas dans la fuite de données, qu’elle soit involontaire ou non.
La fuite de données peut s’effectuer par des pratiques courantes et anodines en apparence. C’est le cas du « Shadow IT » : de nombreux utilisateurs téléchargent des logiciels sans avoir averti au préalable le service informatique. De même, les collaborateurs en situation de mobilité peuvent stocker des informations confidentielles sur une clé USB ou sur leur ordinateur personnel (Byod – Bring Your Own Device). Lorsque la direction des systèmes d’information fournit un outil, celui-ci n’est parfois pas aussi perfo
Les plus lus…
Communiqué commun de l'Afrata (Association française de téléassistance), de la FAS (Fédération des ascenseurs), du GPMSE (Groupement des Métiers…
Dans quelles conditions, un lieu de travail n’est-il pas soumis à l’obligation de disposer de places de stationnement aménagées…
-
Communiqué commun de l'Afrata (Association française de téléassistance), de la FAS (Fédération des ascenseurs), du GPMSE (Groupement des Métiers…
Redoutées par tous, les défaillances de la sécurité privée ne se sont pas produites durant les Jeux olympiques. Bien…
La Dreal Normandie (Direction régionale de l'environnement, de l'aménagement et du logement) a adressé deux mises en demeure le…
