La première faille de sécurité dans nos entreprises est… humaine. Ce constat n’est pas nouveau, mais se retrouve confirmé par une étude mené conjointement par McAfee Labs, filiale d’Intel Security, et le centre de cybercriminalité européen d’Europol (EC3). « Notre rapport conjoint avec EC3 a montré que le facteur humain est toujours le point faible en matière de cybersécurité, a expliqué à l’AFP Raj Samani, directeur technique d’Intel Security. Les entreprises de tous les secteurs industriels, toutes les tailles et toutes les régions du monde sont en danger en raison du facteur social. » En France, 92% des salariés sont ainsi incapables de détecter les tentatives d’hameçonnage (phishing) les plus courantes et les plus fréquemment utilisées, selon l’étude.
Pour arriver à leurs fins, les pirates sont prêts à rentrer par n’importe quel moyen. Sites web infectés et emails piégés sont les plus courants, mais ce ne sont pas les seuls. Téléphones, fax, courrier et rendez-vous en face à face font également partie des techniques pour obtenir à des informations et manipuler les salariés. « Il est important de comprendre que les cybercriminels s’avèrent souvent être de bons psychologues et que le facteur humain est souvent utilisé comme un point d’entrée pour les cyberattaques », souligne Raj Samani.
Les pirates jouent notamment sur la séduction, le respect de l’autorité, le conformisme social et le besoin de rembourser une faveur. Ils comptent également sur la loyauté ou la peur de rater une opportunité. Intel Security recommande donc aux entreprises d’éduquer leurs employés sur ces six leviers d’influence, qui forment « l’ingénierie sociale » des cybercriminels.
Augmentation spectaculaire
Alors que des deux-tiers des mails envoyés dans le monde sont des spams destinés à extorquer de l’information ou de l’argent, à fin 2014, McAfee Labs a identifié 30 millions d’adresses web suspectes, « une augmentation spectaculaire » attribuée au recours à des URLs courtes ou de hameçonnage. Ces URLs sont souvent falsifiées afin de cacher la véritable destination du lien et utilisées dans les emails pour tromper les employés.
Cette tendance est particulièrement inquiétante, note le rapport, car 18% des utilisateurs visés par un email de hameçonnage en sont finalement victimes après avoir cliqué sur un lien frauduleux. « Afin de prévenir les attaques et protéger les employés, il est crucial pour les entreprises d’éduquer leurs employés sur la cybersécurité en plus des mesures prises sur les niveaux opérationnels et techniques », assure M. Samani.
Lire aussi:
Plongée au coeur d’une cyberattaque, le 21/10/2014
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.