L'imprudence favorise les cyberattaques

Les attaques de phishing sont particulièrement appréciées des cybercriminels. Ils tentent d'obtenir des données confidentielles et sensibles en trompant leurs victimes ou en les induisant en erreur. Ce type d'attaque est classé dans la catégorie "ingénierie sociale". En font partie, outre les attaques par e-mail, le "USB dropping", les messages textuels falsifiés via SMS ou les appels téléphoniques fictifs. Lors d'un échange d'e-mails, le courrier contient une pièce jointe malveillante ou un lien vers un "faux" site. Des gains ou des héritages sont promis, mais cela peut également ressembler à une offre sérieuse d'un fournisseur ou d'un client connu, de sorte que le seuil d'inhibition pour une interaction par la victime potentielle soit le plus bas possible.

Maillon faible

En fin de compte, le facteur humain est le point décisif. Si les collaborateurs, supposés être la dernière ligne de défense, ne remettent pas en question l'adresse ou le contenu du courriel, mais interagissent avec lui, le risque d'une attaque réussie est extrêmement élevé.

De telles attaques peuvent en fin de compte entraîner d'énormes dommages financiers et de réputation pour les entreprises. La perte de confiance des clients et des partenaires, les coûts liés à la fuite des données et des connaissances, la réparation des dommages consécutifs, les éventuelles pertes de production ou l'annulation de commandes ne sont que quelques-unes des conséquences possibles d'une cyberattaque réussie. 

Dans le cas d'un cryptage, la technique de cryptage utilisée et adaptée en permanence ne peut généralement pas être facilement supprimée pour accéder à nouveau aux données. Les entreprises qui n'ont pas sauvegardé et protégé explicitement leurs propres données par des sauvegardes régulières ne devraient toutefois en aucun cas payer la rançon demandée et demander conseil à des experts sur la manière de gérer la situation. En effet, il n'est pas certain que les systèmes soient décryptés après le paiement de la rançon. 

Les cybercriminels continueront à l'avenir à recourir à des attaques de phishing, car la sécurité technique déjà existante de nombreux systèmes réduit leurs possibilités d'attaque et, par conséquent, l'homme peut désormais être considéré comme le maillon le plus faible de la chaîne. De plus, ces attaques peuvent être menées avec beaucoup moins de savoir-faire et à plus grande échelle que les attaques classiques de piratage. Enfin, le taux de réussite est décisif : quelle que soit la taille de l'entreprise, il suffit d'un employé distrait ou imprudent pour que l'entreprise subisse des conséquences graves. En termes de pourcentage, une personne suffit par exemple à
1000 employés (= 0,1 pour cent) qui tombe dans le piège du mail d'hameçonnage. Une telle probabilité de réussite n'existe pratiquement dans aucun autre scénario d'attaque et est par conséquent sous-estimée - en particulier dans le secteur des PME, où les moyens et les ressources pour la sécurité informatique sont souvent limités et où le savoir-faire n'est pas suffisant.

Formations régulières

Le mot clé est la sensibilisation. Des mesures de sensibilisation des employés répétées, bien structurées et adaptées à la situation actuelle en matière de sécurité sont la clé pour couper l'herbe sous le pied des attaquants de phishing. En effet, sans interaction humaine avec les e-mails compromis, il n'y a généralement pas non plus de danger accru - à condition que les mesures techniques de l'entreprise correspondent à un niveau de sécurité actuellement nécessaire. De plus, les formations de sensibilisation sont peu coûteuses si on les compare aux coûts de restauration après une cyber-attaque. Toutefois, ce type de sensibilisation doit avoir lieu régulièrement et doit toujours s'adapter à la situation actuelle en matière de sécurité.