Retour aux actualités
Article suivant Article précédent

Revue 174 - Le facteur humain dans les cyberattaques touchant les messageries des entreprises

Articles Revue TELECOM

-

15/10/2014

Le facteur humain dans les cyberattaques touchant les messageries des entreprises

Par Ismet Geri et Laura Peytavin (1990) dans la revue TELECOM n° 174

Cliquer sur un lien malveillant ? Qui, quand, où et pourquoi ? Les techniques de Big Data au service de l’analyse du facteur humain, maillon faible en matière de sécurité.
 

S’il y a un facteur déterminant en matière de protection contre les cyberattaques, c’est bien le facteur humain, considéré comme un maillon faible parce qu’il ne se résout pas par des solutions d’ordre purement techniques, et aussi parce qu’il se prête peu à desétudes précises et détaillées.
 

Le média le plus utilisé par les cyberattaquants est la messagerie et il est aujourd’hui possible pour des acteurs majeurs en cybersécurité de faire des analyses statistiques de grande valeur sur les menaces et les attaques. Encore faut-il pouvoir cartographier, analyseret corréler jusqu’aux gestes de ceux qui cliquent effectivement sur les liens malveillants dans les messages. C’est ce que peut faire la société Proofpoint grâce aux volumes importants de données obtenus lors de l’utilisation de sa solution Targeted Attack Protection™, en conditions réelles, par ses clients au travers le monde.
 

Voici ce que l’analyse nous raconte de nos comportements.

Quelles sont les personnes qui cliquent sur les URL ?

Chaque entreprise est concernée. En moyenne, 10 % des employés sont à l’origine de tous les clics pouvant occasionner des problèmes sérieux. Même les entreprises leader sont concernées  :  le pourcentage excède là 1 %.
 

Certaines entreprises investissent de réels efforts pour organiser des formations ayant pour but de sensibiliser le personnel, et pour mettre en place divers procédés de sécurité, dernier cri et traditionnels. Les sommes et efforts induits débouchent sans conteste surdu positif. Cependant comme il n’est pas possible de savoir précisément comment un utilisateur se comportera, et comme la donne change constamment, certains programmes parviendront toujours à passer entre les mailles du filet et à trouver un employé pour cliquer sur une URL. D’après les données recueillies, aucune entreprise n’est épargnée par cela.


Tout le monde fait des erreurs. Bien que les personnes cliquant de façon répétée sur des liens dangereux soient responsables de la majorité des situations, 40 % des clics sont également dus à des personnes qui auront cliqué une seule fois.

On pense généralement que, pour réduire les risques, il est surtout nécessaire de s’intéresser aux personnes qui cliqueront de manière répétée. Cela ne permet pas de remédier aux 40 % restants.
 


Dans la mesure où le nombre de personnes qui ne cliqueront qu’une seule fois peut varier et induire un risque non négligeable, il est donc fondamental de disposer de solutions permettant de prédire et de détecter, dès que possible, les menaces.

 

Tout le monde est concerné. Les employés non cadres sont ciblés deux fois plus que les cadres, et 1,3 fois plus que le personnel dirigeant. De plus, les employés non cadres sont deux fois plus enclins à cliquer sur des URL douteuses.
 

Les attaques de phishing perpétrées à l’encontre du personnel dirigeant sont particulièrement intéressantes pour les hackers.dans la mesure où celles-ci profitent de l’accès le plus large aux données de l’entreprise. Toutefois, dans la mesure où les hackers peuvent infiltrer les systèmes mis en place depuis n’importe quel endroit, puis ensuite se diriger où ils le souhaitent, ceux-ci préfèrent s’attaquer aux employés non cadres car ils savent ainsi qu’ils ont plus de chance que les URL soient consultées.
 

Les attaques sont dirigées vers tous les secteurs. Bien que les industries les plus ciblées soient celles du secteur pharmaceutique, hospitalier et des assurances, même celles présentant un intérêt plus réduit ont été victimes d’un nombre élevé d’attaques.
 

Généralement, on estime que le secteur financier et le secteur de la santé sont les plus touchés. Cependant, les recherches que nous avons effectuées révèlent qu’en termes de volume, les autres industries semblent également faire l’expérience d’un nombre élevé d’attaques. L’écart comparatif est minimal lorsque la taille de l’entreprise est prise en compte. En particulier, le fait que l’entreprise soit plus grande n’implique pas obligatoirement un nombre d’attaques plus élevé.

Sur quoi les personnes cliquent-elles ?

La connectivité sociale est un bon appât. 
Les courriers électroniques se 
rapportant aux réseaux sociaux, à des commandes, ou mettant les utilisateurs en garde contre des sommes d’argent prétendument dues, se révèlent particulièrement attrayants. LinkedIn décroche la palme avec 2 fois plus de clics induits lorsque celui-ci est mentionné dans de fausses invitations à se connecter.



Les utilisateurs sont généralement ca
pables de distinguer un courrier électronique douteux d’un message légitime. 

Cependant, il devient de plus en plus difficile pour eux de le faire maintenant que des services populaires sont utilisés comme prétexte, comme par exemple les réseaux sociaux. C’est notamment le cas de LinkedIn, qui est fréquemment évoqué dans les courriers électroniques qui encouragent les utilisateurs à cliquer sur les URL, car celui-ci est considéré comme digne de confiance.






Quand les personnes cliquent-elles ?

La plupart des messages dangereux sont envoyés pendant les heures de travail. En outre, un utilisateur sur 15 clique sur une URL douteuse plus d’un mois après la réception du message.


On pense généralement que les hackers 
effectuent leurs opérations à des moments bien précis, comme tard le soir, juste avant le week-end, voire même pendant. En effet, les utilisateurs sont alors censés être moins vigilants, ou consulteront plus probablement leursmessages alors qu’ils ne seront plus protégés par les outils de sécurité de leur entreprise. Le résultat de l’analyse démontre toutefois le contraire : les attaques sont perpétrées à tout moment pendant les heures de travail. À cela s’ajoute l’aspect latent des risques, dans la mesure où les employés peuvent encore cliquer sur les URL plus de 30 jours après réception du message concerné.

Clic une fois le courrier reçu


Depuis quel endroit les personnes cliquent-elles ?

Bien que la mobilité soit une notion centrale aujourd’hui, les appareils mobiles ne sont pas nécessairement concernés. 90 % des clics sur des URL dangereuses ont été effectués depuis un ordinateur (non protégé par le pare-feu de l’entreprise dans 20 % des cas). Seuls 10 % le sont sur des appareils mobiles.
 

D’après de récentes estimations, 65 % des courriers électroniques sont consultés d’abord sur un appareil mobile. On suppose donc que les clics se produiront en grand nombre sur ces derniers également. Mais cela ne semble toutefois pas se vérifier dans les entreprises. De plus, le risque encouru par les utilisateurs d’appareils mobiles est bien moindre en comparaison, à l’heure actuelle.

Enfin, 1 clic sur 5 se produisant sur des équipements situés hors de réseaux VPN, le casse-tête se révèle encore plus ardu.

Pourquoi les personnes cliquent-elles ?

Le volume de courriers électroniques a une importance pour les utilisateurs. Le fait de recevoir peu de courriers douteux est aussi dangereux que le fait d’en recevoir en grand nombre. Une fois 100 messages dangereux reçus, la probabilité de cliquer sur des URL se stabilise à un niveau de 60%.
 

Les équipes informatiques partent du principe que les employés reproduisent toujours certaines erreurs : les mauvaises habitudes ont la vie dure. Cependant, les données recueillies révèlent qu’il existe en réalité un lien clair entre le nombre de messages dangereux reçus par un utilisateur et le nombre d’URL qui seront effectivement consultées.

Le facteur humain face aux nouvelles menaces

Au cours des 12 derniers mois, 76 % des employés en charge de la sécurité et des opérations informatiques ont indiqué que leur entreprise avait été victime de logiciels malveillants, logiciels qui n’ont pas pu être bloqués par les solutions déjà à leur portée (entre autres, les anti-virus). Selon les données d’un autre rapport, 95 % des attaques ciblées et de type APT (« Advanced Persistent Threat ) ont été perpétrées via l’envoi de courriers électroniques de phishing à des entreprises. Le nombre de ces mêmes attaques, sophistiquées et très courantes en cette ère d’ingénierie sociale, n’a de cesse d’augmenter.
 

Les attaques les plus avancées tirent parti aussi bien des failles humaines que des failles système. Celles-ci réussissent parce que le personnel clique sur les URL douteuses, et que les équipes en charge de la sécurité ne disposent généralement pas de suffisamment de temps pour déterminer clairement qui est ciblé, ni de quelle manière. Pour cette raison, il leur est impossible d’implémenter des procédés de protection de niveau suffisant au sein de l’entreprise.
 

Un certain pourcentage de ces attaques seront contrecarrées grâce à des passerelles, au sandboxing1 et à d’autres technologies. Cependant, grâce à leur précision et à leur profusion, certaines techniques modernes (comme les attaques de type « longlining2 ») qui sont relayées par des réseaux d’objets connectés piratés « thing bots » (par exemple les frigidaires ou les télévisions) parviennent à porter leurs fruits. Être familier de tous les rouages induits par les logiciels malveillants ne suffit toutefois pas à protéger une entreprise.
 

En cas d’attaque de type « longlining », il est crucial de savoir qui est réellement ciblé, qui clique sur les URL et quelles sont ces dernières, et à quelle fréquence. Ce qui permet le développement de stratégies de protection particulièrement puissantes. 



1/ Mécanisme qui permet l’exécution de logiciel(s) avec moins de risques pour le système d’exploitation. Ces derniers sont souvent utilisés pour exécuter du code non testé ou de provenance douteuse. 

2/ Ce terme de pêche industrielle (palangre en français) désigne une pratique consistant à déployer des lignes de pêche de plusieurs kilomètres de long équipées de milliers d’hameçons pour piéger le poisson. En cybersécurité, ce sont des attaques de type phishing qui se distinguent par de forts volumes globaux d’envoi de mail, mais discrets pour chaque cible attaquée, avec une personnalisation de masse du contenu par rotation rapides des IP, inclusion de divers sujets et corps de texte ainsi que des dizaines d’URL uniques – ce qui ne facilite pas leur repérage, alors que les URLs amènent à des charges utiles virales non encore identifiées.



Source images :  Proofpoint



Les auteurs


Ismet 
Geri, est directeur Europe du sud chez Proofpoint depuis septembre 2009. Diplômé de l’Ecole Supérieur d’Ingénieurs en Génie Electrique puis Doctorant à l’Université de Rouen. Ismet a été directeur Europe du Sud chez Infoblox, et a auparavant exercé des fonctions commerciales pour Netscreen Technologies, Juniper Networks et Ascend (Lucent).


 










Laura Peytavin (1990), est Senior Technical Support Engineer chez Proofpoint en charge du support niveau 2 sur tous les produits et solutions de sécurité sur site ou dans le cloud.

Diplômée de Télécom ParisTech en 1990, Laura a exercé plusieurs métiers en développement, avant vente et support technique pour des grands acteurs de la communication numérique (EADS, Alcatel Lucent) comme des startups américaines ou françaises innovantes (Streamezzo, Sendmail, …)

 


 

437 vues Visites

J'aime

Commentaires0

Veuillez vous connecter pour lire ou ajouter un commentaire

Articles suggérés

Articles Revue TELECOM

Revue TELECOM 195 - 5G : une révolution numérique des télécoms ?

photo de profil d'un membre

Melina LAURICELLA

16 janvier

Articles Revue TELECOM

Revue TELECOM 195 - Dans la lumière Brune

photo de profil d'un membre

Rédaction Revue TELECOM

15 janvier

Articles Revue TELECOM

Revue TELECOM 195 - Onboarding, intégration, rétention... what for ?

photo de profil d'un membre

Rédaction Revue TELECOM

15 janvier