Qui sont les collaborateurs ciblés par les cybercriminels dans les entreprises ?

3
139

Les principales victimes des cyberattaques sont les utilisateurs finaux. Les cybercriminels utilisent des techniques d’ingénierie sociale de plus en plus affinées pour amener les internautes à cliquer sur leurs liens corrompus. La question principale est : votre entreprise contribue-t-elle au problème ?

Identifiez vos VIP et vos VAP (Very Attacked People)

Tribune par Charles Rami, Sales Engineering Manager, Europe du Sud chez Proofpoint – Les cadres supérieurs et les membres du conseil d’administration sont naturellement des cibles de choix : leur statut de « VIP », leurs droits d’accès et leur connaissance de l’entreprise attirent les cybercriminels. Pourtant, et contrairement à ce que l’on pourrait penser, ces personnes ne sont pas nécessairement les plus fréquemment ciblées au sein de votre entreprise.

Les VAP ciblés par les cybercriminels incluent de nombreux membres du personnel à des niveaux parfois plus bas dans la hiérarchie, ainsi que des contacts extérieurs et des adresses e-mails plus générales. Il n’est pas rare que les attaques par ransomware soient dirigées vers l’alias RH général qui est une boîte de réception susceptible de recevoir régulièrement des pièces jointes légitimes.

Que faut-il en retenir ? Que l’hypothèse selon laquelle les VIP sont les seules cibles de choix au sein de votre société est dangereuse.

Interrogez-vous : quelles informations sur votre entreprise donnez-vous aux cybercriminels par inadvertance ?

Les réseaux sociaux sont un outil formidable pour les clients qui souhaitent contacter votre société, mais aussi une mine d’information pour les cybercriminels. Il peut donc être difficile de déterminer le meilleur comportement à adopter pour partager des informations sur votre entreprise via des canaux grand public. En fin de compte, les entreprises doivent évaluer cette décision individuellement, selon leurs objectifs de communication et de la vision de leur marque. Il existe néanmoins des réflexions fondamentales et de bonnes pratiques à appliquer dans ce domaine :

– Se renseigner sur les informations diffusées et en informer les personnes concernées : Les équipes en charge de la sécurité des systèmes d’information sont tenues de protéger les entreprises contre les attaques, elles doivent avoir connaissance des informations diffusées sur les canaux publics telles que :

  • Les alias ​​de messageries électroniques,
  • Les noms, les fonctions et les informations personnelles sur les membres du personnel,
  • Les informations sur les déplacements et la participation de certaines personnes à des événements,
  • Les membres du personnel présents activement sur des canaux sociaux.

Les cybercriminels utilisent ces informations pour lancer des attaques par phishing et d’autres types d’ingénierie sociale. Tous les canaux de messagerie entrants (même les alias) doivent être surveillés, et les utilisateurs doivent être formés à traiter ces communications avec la plus grande attention. En outre, toute personne dont les informations sont diffusées sur un canal public doit être avertie que des cybercriminels sont susceptibles d’utiliser ces informations pour lancer des cyberattaques plus personnelles.

– Encourager la confidentialité des données : Collaborez avec l’équipe marketing, les ressources humaines, le service juridique, les cadres dirigeants et d’autres équipes pour déterminer le niveau de détail des informations qu’il convient de diffuser sur les canaux publics. Il est fréquent qu’une marque souhaite ajouter une touche personnelle dans sa communication avec les clients. Mais jusqu’où aller ?

Trouvez un juste milieu entre les informations qui doivent être fournies (du point de vue de l’entreprise) et les informations strictement destinées à favoriser un sentiment de connexion avec les clients. Est-il nécessaire que toutes les personnes naviguant sur un site Internet puissent contacter directement des personnes spécifiques au sein de l’entreprise ? Lorsque les coordonnées d’une personne spécifique (adresse électronique, numéro de téléphone ou autre) sont rendues publiques, il est nécessaire de limiter le niveau d’information. Par exemple, au lieu de publier une adresse de messagerie professionnelle, utilisez un alias ne correspondant pas aux conventions de messagerie internes (PaulDupont@entreprise.com plutôt que pdupont@entreprise.com, par exemple) et sensibilisez votre personnel à ce sujet. Cette approche peut aider les destinataires à mieux évaluer les messages entrants et, étant donné que la construction normale des adresses de
messagerie n’est pas respectée, une usurpation d’identité sera plus susceptible de déclencher une alerte.

– Informer les utilisateurs sur les méthodes des cybercriminels : Les personnes ciblées varient d’un secteur à l’autre et d’une entreprise à l’autre. Tout le monde peut faire partie des personnes les plus ciblées ou le devenir. Il est primordial de sensibiliser votre personnel au fait que les cybercriminels utilisent des canaux tels que LinkedIn, Google, Facebook et d’autres sources publiques d’informations personnelles. Les collaborateurs doivent connaître les bonnes pratiques en matière de partage des données et être capable d’identifier et d’éviter les attaques qui exploitent ces informations d’identification.

Adoptez une approche véritablement centrée sur les individus en matière de cybersécurité en identifiant les personnes les plus ciblées au sein de votre société, étudiez vos données de formation anti-phishing pour identifier les utilisateurs les plus vulnérables et utilisez ces indicateurs pour maîtriser la situation. Il ne faut pas rater l’opportunité de dispenser la bonne formation aux bonnes personnes au bon moment.

Les commentaires sont fermés.