L'utilisateur privilégié d'un réseau est appelé ainsi parce qu'il peut accéder à des ressources sensibles et souvent très confidentielles. Si un cybercriminel parvient à compromettre le compte d'un utilisateur privilégié, il possède les clés du château de l'entreprise.
Une étude menée par FINN Partners et Centrify a révélé que dans 74 % des cas de violation de données, l'attaque a commencé par la porte d'un utilisateur privilégié. Le cabinet d'analystes Forrester estime que 80 % des violations de données sont associées à des informations d'identification privilégiées.
Quelle que soit la statistique la plus précise, le fait est que l'accès privilégié entraîne des violations de données. C'est pourquoi une formation de sensibilisation à la sécurité pour les utilisateurs privilégiés est essentielle.
Voici les meilleures pratiques pour assurer le succès de cette formation.
Pourquoi l'accès des utilisateurs privilégiés doit être protégé par une formation de sensibilisation à la sécurité
Les utilisateurs privilégiés présentent un niveau de risque unique pour une organisation. Ce niveau de risque justifie que l'on se concentre sur ce groupe et que l'on mette en place une campagne de sensibilisation à la sécurité qui tienne compte du rôle de l'utilisateur privilégié dans une cyberattaque.
Lescybercriminels ciblent les utilisateurs privilégiés en raison de leurs droits d'accès. Mais les utilisateurs privilégiés ont besoin de ces droits d'accès pour effectuer leur travail : cette énigme est un scénario parfait qui permet le spear-phishing et d'autres escroqueries d'ingénierie sociale.
Une seule erreur de la part d'un utilisateur privilégié, et bang ! Le pirate est dans le système. Une fois dans le réseau de l'entreprise, les attaquants peuvent utiliser diverses techniques et technologies pour se déplacer sur le réseau, voire améliorer les droits d'accès(mouvement latéral), afin de localiser des données et/ou d'installer des logiciels malveillants tels que des ransomwares.
Les attaques contre les comptes d'utilisateurs privilégiés impliquent souvent une grande quantité de surveillance. Les renseignements recueillis sont utilisés pour créer des courriels de harponnage sur mesure et très crédibles. Le travail hybride a exacerbé le problème, selon le FBI dans un récent avis. L'avis contient des détails sur des escroqueries qui impliquent des cyberattaques en plusieurs parties contre des utilisateurs privilégiés, les cybercriminels utilisant la reconnaissance, le hameçonnage vocal par téléphone (Vishing), et des pages Web usurpées qui sont ensuite utilisées pour voler les codes d'authentification à second facteur, et contourner les mesures de sécurité telles que les VPN.
Ce mélange complexe de tactiques cybercriminelles astucieuses signifie que la technologie seule ne peut empêcher une cyberattaque contre un utilisateur de compte privilégié. La sensibilisation à la sécurité est indispensable pour s'assurer que ces utilisateurs ne remettent pas par inadvertance les clés de l'entreprise.
Trois bonnes pratiques importantes dans la formation de sensibilisation à la sécurité des utilisateurs privilégiés
Les trois lignes de base suivantes pour les meilleures pratiques sont utilisées lors de l'élaboration d'un programme de formation à la sensibilisation à la sécurité pour les utilisateurs privilégiés :
Reconnaître les utilisateurs privilégiés comme un rôle de superutilisateur
Laformation à la sensibilisation à la sécurité basée sur les rôles est un cadre permettant de fournir une formation personnalisée en fonction d'un type de rôle dans une organisation. Pourquoi la formation basée sur les rôles est-elle une bonne idée ? Les cybercriminels adaptent leurs tactiques en fonction du rôle de l'entreprise ou ciblent certains postes de l'entreprise pour certains types de cyberattaques et d'escroqueries.
Par exemple, un employé de la comptabilité fournisseurs est une proposition attrayante pour un cybercriminel souhaitant réaliser une escroquerie par compromission de courrier électronique professionnel (Business Email Compromise - BEC) qui incite un employé à transférer de l'argent sur le compte bancaire du fraudeur. Une personne disposant d'un accès privilégié dans les RH peut être ciblée pour obtenir des informations sur les employés dans le cadre d'escroqueries fiscales.
Les utilisateurs privilégiés doivent être considérés comme des "super-utilisateurs" et les campagnes de sensibilisation à la sécurité doivent être conçues en conséquence. À partir de là, vous pouvez ensuite élaborer un programme de sensibilisation au phishing et à l'ingénierie sociale adapté aux types d'attaques qui visent les utilisateurs à accès privilégié.
Inclure l'ingénierie sociale dans votre formation de sensibilisation à la sécurité
L'ingénierie sociale est utilisée pour dresser le profil d'une organisation et d'un utilisateur privilégié ciblé afin de réussir une cyberattaque. Les récentes attaques par ransomware du groupe Lapsus$ contre plusieurs entreprises ont utilisé l'ingénierie sociale. Un article de Microsoft qui analyse ces attaques explique l'importance de l'ingénierie sociale :
"(Le groupe Lapsus$) a concentré ses efforts d'ingénierie sociale sur la collecte de connaissances sur les opérations commerciales de sa cible. Ces informations comprennent une connaissance intime des employés, des structures d'équipe, des services d'assistance, des flux de travail de réponse aux crises et des relations dans la chaîne d'approvisionnement. Parmi les exemples de ces tactiques d'ingénierie sociale, citons le fait de spammer un utilisateur cible avec des invites d'authentification multifactorielle (MFA) et d'appeler le service d'assistance de l'organisation pour réinitialiser les informations d'identification d'une cible."
Les escroqueries par ingénierie sociale prennent toutes les formes dont le cybercriminel a besoin pour recueillir ces renseignements. Il peut s'agir de l'utilisation des médias sociaux, d'appels à un service d'assistance et d'appels généraux au bureau qui permettent d'établir une relation ; même les visites au bureau peuvent être utilisées pour rassembler les informations nécessaires à la réalisation d'une attaque. Les tentatives d'ingénierie sociale peuvent nécessiter des mois de travail pour établir le profil d'un utilisateur privilégié, afin d'être prêt à mener à bien une attaque.
Assurez-vous que vos utilisateurs privilégiés comprennent les niveaux qu'un cybercriminel est prêt à atteindre pour rendre crédibles ses courriels de harponnage et ses sites Web frauduleux.
Sensibilisation au Spear-Phishing
Sachez quels types de menaces se concentreront sur le rôle de superutilisateur. En général, les personnes disposant d'un accès privilégié seront ciblées pour cet accès. Cependant, cela peut aussi signifier qu'ils font partie d'une chaîne d'attaque plus large et plus complexe.
En général, le spear-phishing ou spear-vishing (hameçonnage vocal) est utilisé pour voler les identifiants de connexion de ce groupe d'utilisateurs. Les informations recueillies par les cybercriminels au cours de l'ingénierie sociale permettent de créer des scénarios, des courriels et des sites Web fictifs crédibles pour tromper l'utilisateur privilégié.
Proposez des exercices de simulation de phishing adaptés et basés sur les rôles afin de sensibiliser les employés aux astuces utilisées par les escrocs.
Fermer la porte à la compromission de comptes privilégiés
Une organisation doit accorder à certains utilisateurs un accès privilégié ; en fait, la création d'une hiérarchie d'accès est un élément important de la gestion des identités et des accès. Mais les privilèges constituent également une vulnérabilité potentielle dans l'armure d'une organisation, ce qui n'échappe pas aux cybercriminels. En utilisant une base de meilleures pratiques dans la formation de sensibilisation à la sécurité pour les utilisateurs privilégiés, vous pouvez renforcer cette armure et contrôler les privilèges.
