{"id":116699,"date":"2022-09-14T08:00:00","date_gmt":"2022-09-14T06:00:00","guid":{"rendered":"http:\/\/e3mag.com\/?p=116699"},"modified":"2024-01-19T12:58:19","modified_gmt":"2024-01-19T11:58:19","slug":"spear-phishing-point-faible-humain","status":"publish","type":"post","link":"https:\/\/e3mag.com\/fr\/spear-phishing-point-faible-humain\/","title":{"rendered":"Le point faible de l'homme dans le collimateur des pirates"},"content":{"rendered":"

Le spear phishing de s\u00e9curit\u00e9 menace la s\u00e9curit\u00e9 de SAP<\/h2>\n\n\n\n

Les donn\u00e9es SAP comptent parmi les objets les plus convoit\u00e9s par les cybercriminels. Le vol des donn\u00e9es de vente et des donn\u00e9es personnelles des clients, de la propri\u00e9t\u00e9 intellectuelle et des donn\u00e9es financi\u00e8res, qui constituent un levier pour les d\u00e9lits d'initi\u00e9s, les ententes et les fraudes, semble particuli\u00e8rement rentable. Il n'est donc pas \u00e9tonnant que les pirates imaginent des m\u00e9thodes de plus en plus sophistiqu\u00e9es pour acc\u00e9der aux syst\u00e8mes SAP critiques pour l'entreprise. Ainsi, outre les failles de s\u00e9curit\u00e9 techniques, la vuln\u00e9rabilit\u00e9 humaine est de plus en plus dans le collimateur. Pour l'exploiter, les escrocs envoient aux utilisateurs SAP des e-mails de spear-phishing, pr\u00e9tendument au nom de sup\u00e9rieurs hi\u00e9rarchiques, de collaborateurs ou de coll\u00e8gues. Ils ont pr\u00e9alablement recherch\u00e9 minutieusement les informations sur l'entreprise et les collaborateurs n\u00e9cessaires dans les m\u00e9dias sociaux et autres sources Internet. <\/p>\n\n\n\n

Dans ces e-mails d'hame\u00e7onnage, les pirates placent des demandes qui semblent plausibles pour inciter leurs victimes potentielles \u00e0 divulguer des donn\u00e9es tr\u00e8s sensibles. Pour que les destinataires ouvrent sans r\u00e9fl\u00e9chir les courriels qu'ils re\u00e7oivent et suivent les instructions, les escrocs utilisent des astuces psychologiques \u00e9prouv\u00e9es. Parmi les facteurs d'influence \u00e9motionnels les plus r\u00e9pandus, on trouve : La croyance en l'autorit\u00e9 (les pirates se font passer pour un membre de la direction et demandent \u00e0 l'employ\u00e9 de leur fournir des donn\u00e9es financi\u00e8res afin d'avoir un aper\u00e7u de l'\u00e9volution des affaires), la pression du temps, la peur et la curiosit\u00e9.<\/p>\n\n\n\n

Formations de sensibilisation \u00e0 la s\u00e9curit\u00e9<\/h3>\n\n\n\n

De nombreuses entreprises ont d\u00e9sormais pris conscience du danger que repr\u00e9sentent les attaques de spear phishing pour leur s\u00e9curit\u00e9 SAP. Ainsi, les clients SAP sont de plus en plus demandeurs de formations de sensibilisation \u00e0 la s\u00e9curit\u00e9 visant \u00e0 armer les collaborateurs contre les attaques de phishing. Mais les offres classiques ne suffisent pas. Comme les formations se concentrent sur la transmission de connaissances th\u00e9oriques dans le cadre de formations en salle, de formations en ligne et de webinaires, elles am\u00e9liorent uniquement la capacit\u00e9 de d\u00e9cision rationnelle des participants.<\/p>\n\n\n\n

\"\"
Avec l'indice de s\u00e9curit\u00e9 des employ\u00e9s (ESI), on dispose d'une m\u00e9thode de mesure de la sensibilisation. Plus l'ESI et la sensibilisation sont \u00e9lev\u00e9s, plus la probabilit\u00e9 d'incidents est faible. Source : IT-Seal.<\/em><\/figcaption><\/figure>\n\n\n\n

Les attaques de spear-phishing, en revanche, visent les d\u00e9cisions rapides et intuitives des destinataires d'e-mails. C'est pourquoi les formations de sensibilisation devraient \u00eatre compl\u00e9t\u00e9es par des simulations de spear-phishing qui utilisent des informations r\u00e9elles sur l'entreprise et les employ\u00e9s pour reproduire des attaques authentiques. Mais au lieu d'\u00eatre accroch\u00e9s par les escrocs, les collaborateurs atterrissent directement sur une page d'explication interactive. On leur montre ici \u00e9tape par \u00e9tape comment ils auraient pu reconna\u00eetre les faux e-mails : par exemple, les lettres invers\u00e9es dans la ligne d'adresse, les URL diff\u00e9rentes ou les sous-domaines. <\/p>\n\n\n\n

Les simulations de phishing sont particuli\u00e8rement efficaces parce qu'elles utilisent le \"Most Teachable Moment\" d'un collaborateur et lui font prendre conscience de son mauvais comportement directement lors de l'attaque. Cet \"effet de choc\" fait en sorte qu'il soit plus prudent \u00e0 l'avenir dans le traitement des e-mails entrants. Pour que l'effet d'apprentissage perdure, les simulations de spear phishing doivent \u00eatre r\u00e9p\u00e9t\u00e9es et actualis\u00e9es r\u00e9guli\u00e8rement. Afin d'\u00e9viter que les collaborateurs aient l'impression d'\u00eatre contr\u00f4l\u00e9s ou m\u00eame pi\u00e9g\u00e9s, les entreprises devraient communiquer \u00e0 temps les simulations de phishing pr\u00e9vues. <\/p>\n\n\n\n

Il est \u00e9galement important d'adapter les formations aux besoins d'apprentissage individuels des collaborateurs et de documenter les progr\u00e8s r\u00e9alis\u00e9s. Avec l'indice de s\u00e9curit\u00e9 des employ\u00e9s (ESI), une m\u00e9thode proche de la r\u00e9alit\u00e9 et reproductible est disponible pour mesurer la sensibilisation. L'ESI fournit des chiffres cl\u00e9s tangibles et fiables sur le comportement des employ\u00e9s en mati\u00e8re de s\u00e9curit\u00e9 lors de simulations de phishing de diff\u00e9rents niveaux de difficult\u00e9. Il est ainsi possible pour une entreprise de communiquer les progr\u00e8s d'apprentissage de son personnel et de d\u00e9finir un objectif commun pour lequel les responsables de la s\u00e9curit\u00e9 informatique, la direction et les collaborateurs travaillent de concert.<\/p>","protected":false},"excerpt":{"rendered":"

Les vuln\u00e9rabilit\u00e9s techniques ne sont pas les seules \u00e0 pouvoir compromettre massivement la s\u00e9curit\u00e9 SAP - les erreurs humaines en font \u00e9galement partie. Pourquoi les utilisateurs SAP devraient-ils \u00eatre pr\u00e9par\u00e9s de mani\u00e8re cibl\u00e9e \u00e0 d'\u00e9ventuelles attaques de spear phishing ?<\/p>","protected":false},"author":2596,"featured_media":116701,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[40957],"tags":[637,40960],"coauthors":[41006],"class_list":["post-116699","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-mag-22-07","tag-hacker","tag-mag-22-07","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/08\/shutterstock-2072153111-Diki-Prayogo.jpg",1000,450,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/08\/shutterstock-2072153111-Diki-Prayogo-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/08\/shutterstock-2072153111-Diki-Prayogo.jpg",400,180,false],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/08\/shutterstock-2072153111-Diki-Prayogo-768x346.jpg",768,346,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/08\/shutterstock-2072153111-Diki-Prayogo.jpg",1000,450,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/08\/shutterstock-2072153111-Diki-Prayogo-100x45.jpg",100,45,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/08\/shutterstock-2072153111-Diki-Prayogo-480x216.jpg",480,216,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/08\/shutterstock-2072153111-Diki-Prayogo-640x288.jpg",640,288,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/08\/shutterstock-2072153111-Diki-Prayogo-720x324.jpg",720,324,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/08\/shutterstock-2072153111-Diki-Prayogo-960x432.jpg",960,432,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/08\/shutterstock-2072153111-Diki-Prayogo.jpg",1000,450,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/08\/shutterstock-2072153111-Diki-Prayogo.jpg",1000,450,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/08\/shutterstock-2072153111-Diki-Prayogo.jpg",1000,450,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/08\/shutterstock-2072153111-Diki-Prayogo.jpg",1000,450,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/08\/shutterstock-2072153111-Diki-Prayogo.jpg",1000,450,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/08\/shutterstock-2072153111-Diki-Prayogo.jpg",18,8,false],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/08\/shutterstock-2072153111-Diki-Prayogo.jpg",1000,450,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/08\/shutterstock-2072153111-Diki-Prayogo.jpg",1000,450,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/08\/shutterstock-2072153111-Diki-Prayogo.jpg",1000,450,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/08\/shutterstock-2072153111-Diki-Prayogo.jpg",600,270,false],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/08\/shutterstock-2072153111-Diki-Prayogo.jpg",600,270,false],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/08\/shutterstock-2072153111-Diki-Prayogo-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/08\/shutterstock-2072153111-Diki-Prayogo-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/08\/shutterstock-2072153111-Diki-Prayogo-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/08\/shutterstock-2072153111-Diki-Prayogo-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/08\/shutterstock-2072153111-Diki-Prayogo-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"

Nicht nur technische Schwachstellen k\u00f6nnen die SAP-Sicherheit massiv beeintr\u00e4chtigen \u2013 auch menschliches Fehlverhalten geh\u00f6rt dazu. Warum SAP-Anwender gezielt auf m\u00f6gliche Spear-Phishing-Angriffe vorbereitet werden sollten.<\/p>\n","category_list_v2":"Mag 22-07<\/a>","author_info_v2":{"name":"David Kelm, IT-Seal","url":"https:\/\/e3mag.com\/fr\/author\/david-kelm\/"},"comments_num_v2":"0 commentaire","_links":{"self":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/116699","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/users\/2596"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/comments?post=116699"}],"version-history":[{"count":1,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/116699\/revisions"}],"predecessor-version":[{"id":137704,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/116699\/revisions\/137704"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media\/116701"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media?parent=116699"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/categories?post=116699"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/tags?post=116699"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/coauthors?post=116699"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}