Rendre les cyber-attaques contre les dirigeants plus difficiles à détecter

Le niveau de gestion, c'est-à-dire l'ensemble du niveau C d'une entreprise, est particulièrement ciblé par les cyber-attaques. Il y a plusieurs raisons à cela : De par leur fonction et leur domaine de responsabilité, les cadres disposent de plus d'informations sensibles que les collaborateurs "normaux". En ce qui concerne les aspects de sécurité, le fait que des "règles spéciales" avec des privilèges s'appliquent souvent au niveau du management est particulièrement problématique ; ainsi, les directives et les normes de sécurité informatique sont assouplies afin de simplifier la connexion par exemple. De plus, les managers sont souvent moins compétents techniquement et doivent traiter une multitude d'informations sous la pression du temps - ils ne peuvent donc pas non plus examiner chaque e-mail reçu d'un œil critique.

NTT Security (Switzerland) recommande six mesures simples pour prévenir les dangers.

1. Gestion minutieuse des comptes de médias sociaux

Il est aujourd'hui indispensable d'être visible sur les canaux sociaux, mais cela nécessite une gestion minutieuse des comptes et une stratégie de médias sociaux. En effet, les données disponibles sur les plateformes sociales sont souvent utilisées par les cybercriminels pour lancer des attaques dites de phishing afin d'accéder à des données personnelles ou d'entreprise. En règle générale, il convient donc de partager le moins d'informations personnelles possible, d'empêcher le "tagging" sur les images et de ne pas poster de photos privées.

2. Éviter les réseaux publics et libres

Les pirates utilisent souvent des réseaux dans les gares, les aéroports, les hôtels ou les cafés pour obtenir l'accès aux appareils mobiles d'utilisateurs ne se doutant de rien, via ce que l'on appelle des "faux points d'accès". L'utilisation de réseaux publics est donc à proscrire. En outre, il est conseillé de ne pas passer d'appels téléphoniques contenant des informations sensibles dans les lieux publics.

3. Sécurisation du réseau domestique

Les réseaux domestiques mal sécurisés sont une porte d'entrée classique pour des attaques ciblées. C'est pourquoi il convient d'y prendre les mêmes mesures de sécurité que dans les réseaux d'entreprise.

4. Sensibilisation du secrétariat

Les appels téléphoniques fictifs, par exemple en tant que prétendu employé du service d'assistance, pour obtenir des informations ou des mots de passe, sont encore courants. Par conséquent, le secrétariat d'un manager doit également être expressément formé aux dangers de l'ingénierie sociale.

5. Ouverture restrictive des e-mails

Les attaques ciblées consistent à créer des e-mails à l'apparence trompeuse provenant d'"amis", de l'association ou de collaborateurs, afin d'inciter le cadre à ouvrir un fichier ou à cliquer sur un lien. Un cadre ne devrait donc jamais ouvrir un e-mail auquel il ne s'attend pas. En outre, il ne faut en aucun cas ouvrir un fichier ou utiliser un lien sans que la source soit validée.

6. Sécurisation des mots de passe

Enfin, la protection et la sécurité des mots de passe sont d'une importance capitale. Pour la gestion des mots de passe, il est en tout cas recommandé d'utiliser un gestionnaire de mots de passe. Celui-ci permet de créer des mots de passe complexes pour chaque connexion. Si le mot de passe d'un site web est déterminé, seul ce login est concerné et un pirate ne peut pas se connecter à d'autres sites web ou systèmes avec ce mot de passe. De manière générale, il ne faut pas non plus oublier, lors de toute utilisation de mot de passe, que le "shoulder surfing" est encore une méthode très appréciée, c'est-à-dire qu'il faut veiller à ce que personne ne se trouve derrière ou à côté de soi lors de la saisie d'un mot de passe.

"Ces six mesures de sécurité simples sont les premières étapes de la lutte contre les menaces, des étapes qui sont en grande partie entre les mains des managers eux-mêmes", explique Kai Grunwitz, Senior Vice President EMEA chez NTT Security.

Voir aussi l'article de SF "Attention à la fraude du CEO"