Vers le haut
Thèmes Thèmes de l'industrie 4.0
Retour

CEO-Fraud - l'un des types d'attaque les plus fréquents sur la place industrielle suisse

Elija Boss 8. July 2024
La transformation numérique progresse et les opportunités et possibilités qui en découlent sont nombreuses et variées. Malheureusement, cela crée aussi de nombreux nouveaux vecteurs d'attaque pour les pirates informatiques. Les cadres sont souvent des personnes de la vie publique et donc une cible privilégiée dans le cadre de l'ingénierie sociale. Des techniques de tromperie ciblées - notamment la "fraude au CEO" - sont utilisées pour tenter d'obtenir de l'argent ou des données et infrastructures sensibles.

La "CEO Fraud" est une forme de "Spear Phishing". En général, le "spear phishing" vise des personnes ou des organisations sélectionnées et, contrairement aux campagnes de phishing à grande échelle, n'envoie pas de mailings en masse. Comme son nom l'indique, la "fraude au PDG" est une escroquerie dans laquelle les cybercriminels se font passer pour des dirigeants, voire pour le PDG lui-même. Ils le font généralement par e-mail et donnent souvent un sentiment d'urgence, demandent un paiement immédiat ou exigent un accès immédiat à certaines données, répertoires ou systèmes. De nos jours, ces tentatives d'escroquerie peuvent également se faire par téléphone (hameçonnage vocal), les escrocs imitant la voix du dirigeant concerné au cours des appels et à l'aide de l'IA. Cela donne une crédibilité supplémentaire à la demande et met une pression supplémentaire sur les collaborateurs hésitants en leur faisant croire qu'ils pourraient entraver des processus commerciaux importants ou même risquer leur propre position.

 

Niveau de menace

Rien qu'entre 2015 et 2020, les pertes dues à la "CEO Fraud" ont été multipliées par dix et le préjudice mondial s'est élevé à plus de 2 milliards de francs. Selon le FBI, près de 20 000 cas ont été enregistrés rien qu'aux États-Unis en 2020, au plus fort de la pandémie COVID-19. Comme de nombreux cas ne sont pas déclarés, voire ne sont pas détectés, le nombre de cas non déclarés sera encore plusieurs fois supérieur. Il est toutefois incontestable que dans au moins 8 cas sur 10, le phishing et surtout le spear phishing sont à l'origine d'une cyberattaque réussie. Si l'on se réfère à l'environnement des clients de Selution AG, il s'avère qu'en moyenne environ 35% des collaborateurs cliquent sur un e-mail d'hameçonnage fictif initial et que le taux de clics peut être réduit à moins de 5% en l'espace d'un an grâce à une sensibilisation. Ainsi, les campagnes de sensibilisation et les formations continues sont parfois les moyens les plus efficaces pour augmenter immédiatement le niveau de sécurité au sein d'une organisation.

 

Recommandations d'action

Les circonstances décrites ci-dessus permettent de formuler quelques recommandations d'action claires, qui peuvent essentiellement prendre les formes suivantes

Formations de sensibilisation à la sécurité

  • On parle souvent d'erreur humaine après une attaque de phishing réussie. Mais ce n'est que si le thème est pris au sérieux au niveau de la direction et que les collaborateurs sont habilités par des mesures de formation récurrentes que l'on peut aiguiser durablement la conscience de la sécurité. Les collaborateurs formés deviennent ainsi la dernière chance de stopper l'attaque après que les mesures techniques ont échoué.

Directives de sécurité

  • Le paysage des menaces est en constante évolution et seuls ceux qui s'informent régulièrement et s'adaptent aux circonstances peuvent suivre le rythme. En outre, les processus tels que les instructions de paiement doivent être soumis à des procédures strictes et doivent par exemple toujours être vérifiés par plusieurs personnes.

Solutions d'authentification

  • Une authentification à plusieurs niveaux peut fortement augmenter la sécurité. Différentes solutions s'offrent à cet effet sous la forme d'applications pour smartphones, de jetons ou de cartes à puce qui, outre la saisie d'un mot de passe, protègent d'un accès non autorisé par au moins un deuxième facteur.

Segmentation & autorisation

  • L'infrastructure doit être conçue de manière à ce que seules les personnes autorisées et ayant impérativement besoin de cette autorisation aient accès aux systèmes critiques. En outre, les couches du système doivent si possible être séparées les unes des autres et sécurisées individuellement.

Surveillance et alerte

  • Si tout se passe mal et pour pouvoir réagir en cas d'attaque, des systèmes complets de surveillance et d'alarme sont un grand avantage. Ainsi, dans la plupart des cas, une attaque peut être stoppée en temps réel.

 

Entretien avec Daniel von Büren, Swiss Security Officer @ Microsoft Schweiz AG

Comment évalues-tu le thème de la formation à la sécurité chez tes clients ?

Daniel von Büren : Chez les grands clients, cela fait aujourd'hui souvent partie intégrante du concept de sécurité. Malheureusement, le facteur humain est encore trop souvent négligé dans de trop nombreuses organisations. Au lieu de cela, on essaie de mettre en œuvre la sécurité par le biais d'outils techniques et on rate ainsi une grande opportunité.

 

Pourquoi les collaborateurs sont-ils particulièrement importants à tes yeux ?

Daniel von Büren : Il est intéressant de constater que dans l'informatique, nous cherchons toujours des solutions techniques pour aborder les problèmes. Dans ce contexte, l'homme est toujours considéré comme le maillon le plus faible de la chaîne. Il semble presque que nous fassions plus confiance à la technologie qu'à nos collègues de travail*...

Je pense que nous devons changer notre façon de penser. Les solutions techniques sont bonnes, car elles peuvent nous décharger d'une grande partie du travail. Mais en matière de phishing notamment, il arrivera toujours que certains e-mails ne soient pas reconnus par la technologie. Dans ce cas, le collaborateur formé devient la dernière ligne de défense.

 

Quelles sont les conditions nécessaires à une formation réussie dans le domaine de la sécurité ?

Daniel von Büren : La première condition importante est le soutien de la direction. Il faut comprendre que des campagnes de sensibilisation bien menées apportent une valeur ajoutée. Mais comme une telle campagne coûte aussi de l'argent, il faut aussi définir des critères de mesure clairs et les contrôler en permanence. En outre, il est important d'impliquer les collaborateurs en tant que parties prenantes. Ils doivent être motivés à signaler les incidents afin de limiter ou d'éviter les dommages.

 

Quelle est, selon toi, l'une des plus grandes erreurs commises lors de la mise en œuvre de telles mesures ?

Daniel von Büren : De nombreuses entreprises assimilent la sensibilisation à des simulations d'attaques de phishing. Cela peut être un élément, mais ne sera certainement pas suffisant. Il faut plutôt mettre en place un programme de sécurité qui tienne compte de différents aspects et qui combine une formation ciblée et des formations de sensibilisation. Ce programme doit être adapté aux besoins et aux possibilités de l'organisation. Des partenaires comme Selution ou Microsoft peuvent apporter leur soutien dans ce domaine.

 

Quelle conclusion souhaites-tu donner en guise de conclusion ?

Daniel von Büren : Je pense que le plus important est que les directeurs et les responsables de la sécurité considèrent la cybersécurité dans son ensemble et fassent de la protection contre les cyberattaques un objectif primaire. Dans ce sens, il est indispensable de donner aux collaborateurs les moyens de devenir un élément essentiel de la stratégie de cybersécurité d'une entreprise grâce à des formations de sensibilisation.

Selution AG

Selution est experte dans la sécurité globale et les solutions informatiques à l’échelon national. Elle accompagne les entreprises dans la transformation numérique et les protège grâce aux Managed Security Services contre les menaces et les cyberattaques les plus modernes.

www.selution.ch

Elija Boss

Account Manager, Selution AG

Notre site web utilise des cookies afin de pouvoir améliorer notre page en permanence et vous offrir une expérience optimale en tant que visiteurs. En continuant à consulter ce site web, vous déclarez accepter l’utilisation de cookies. Vous trouverez de plus amples informations concernant les cookies dans notre déclaration de protection des données.

Si vous désirez interdire l’utilisation de cookies, par ex. par le biais de Google Analytics, vous pouvez installer ce dernier au moyen des modules complémentaires du présent navigateur.