L’utilisateur privilégié d’un réseau est ainsi appelé parce qu’il peut accéder à des ressources sensibles et souvent hautement confidentielles. Si un cybercriminel parvient à compromettre le compte d’un utilisateur privilégié, il détient les clés du château de l’entreprise.

Une étude menée par FINN Partners et Centrify a révélé que dans 74 % des cas de violation de données, l’attaque a commencé par la porte d’un utilisateur privilégié. Le cabinet d’analystes Forrester estime que ce taux est encore plus élevé : 80 % des violations de données sont associées à des informations d’identification privilégiées.

Quelle que soit la statistique la plus précise, le fait est que l’accès privilégié conduit à des violations de données. Il est donc essentiel que les utilisateurs privilégiés suivent une formation de sensibilisation à la sécurité.

Voici les meilleures pratiques pour garantir la réussite de cette formation.

Pourquoi l’accès des utilisateurs privilégiés doit-il être protégé par une formation de sensibilisation à la sécurité ?

Les utilisateurs privilégiés présentent un niveau de risque unique pour une organisation. Ce niveau de risque justifie que l’on se concentre sur ce groupe et que l’on mette en place une campagne de sensibilisation à la sécurité qui prenne en compte le rôle de l’utilisateur privilégié dans une cyberattaque.

Les cybercriminels ciblent les utilisateurs privilégiés en raison de leurs droits d’accès. Mais les utilisateurs privilégiés ont besoin de ces droits d’accès pour effectuer leur travail : cette énigme est un scénario parfait qui permet le spear-phishing et d’autres escroqueries d’ingénierie sociale.

Une seule erreur de la part d’un utilisateur privilégié, et hop ! Le pirate est dans le système. Une fois dans le réseau de l’entreprise, les attaquants peuvent utiliser diverses techniques et technologies pour se déplacer sur le réseau, même en améliorant les droits d’accès(mouvement latéral), pour localiser des données et/ou installer des logiciels malveillants tels que des logiciels rançonneurs (ransomware).

Les attaques contre les comptes d’utilisateurs privilégiés impliquent souvent une surveillance importante. Les renseignements recueillis sont utilisés pour créer des courriels de spear-phishing personnalisés et très crédibles. Le travail hybride a exacerbé le problème, selon le FBI dans un avis récent. L’avis contient des détails sur des escroqueries qui impliquent des cyberattaques en plusieurs parties contre des utilisateurs privilégiés, des cybercriminels utilisant la reconnaissance, l’hameçonnage vocal par téléphone (Vishing) et des pages web falsifiées qui sont ensuite utilisées pour voler des codes d’authentification à deuxième facteur et contourner des mesures de sécurité telles que les réseaux privés virtuels (VPN).

Ce mélange complexe de tactiques cybercriminelles astucieuses signifie que la technologie seule ne peut pas empêcher une cyberattaque contre un utilisateur de compte privilégié. La sensibilisation à la sécurité est indispensable pour s’assurer que ces utilisateurs ne remettent pas par inadvertance les clés de l’entreprise.

Trois bonnes pratiques importantes pour la formation de sensibilisation à la sécurité des utilisateurs privilégiés

Les trois lignes de base suivantes sont utilisées lors de l’élaboration d’un programme de formation à la sensibilisation à la sécurité pour les utilisateurs privilégiés :

1. Reconnaître les utilisateurs privilégiés comme un rôle de superutilisateur

La formation à la sensibilisation à la sécurité basée sur les rôles est un cadre permettant de fournir une formation sur mesure basée sur un type de rôle au sein d’une organisation. Pourquoi la formation basée sur les rôles est-elle une bonne idée ? Les cybercriminels adaptent leurs tactiques en fonction du rôle de l’entreprise ou ciblent certaines fonctions de l’entreprise pour certains types de cyberattaques et d’escroqueries.

Par exemple, un employé de la comptabilité fournisseurs est une proposition attrayante pour un cybercriminel qui souhaite réaliser une escroquerie de type Business Email Compromise (BEC) en incitant un employé à transférer de l’argent sur le compte bancaire de l’escroc. Une personne disposant d’un accès privilégié aux ressources humaines peut être ciblée pour obtenir des informations sur les employés à des fins d’escroquerie fiscale.

Les utilisateurs privilégiés doivent être considérés comme des « super-utilisateurs » et les campagnes de sensibilisation à la sécurité doivent être conçues en conséquence. À partir de là, vous pouvez développer un ensemble personnalisé de sensibilisation au phishing et à l’ingénierie sociale qui correspond aux types d’attaques qui se concentrent sur les utilisateurs à accès privilégié.

2. Inclure l’ingénierie sociale dans votre formation de sensibilisation à la sécurité

L’ingénierie sociale est utilisée pour établir le profil d’une organisation et d’un utilisateur privilégié ciblé afin d’assurer la réussite d’une cyberattaque. Les récentes attaques de ransomware du groupe Lapsus$ contre plusieurs entreprises ont fait appel à l’ingénierie sociale. Un billet de Microsoft analysant les attaques explique l’importance de l’ingénierie sociale :

« (le groupe Lapsus$) ont concentré leurs efforts d’ingénierie sociale sur la collecte d’informations sur les opérations commerciales de leur cible. Ces informations comprennent une connaissance intime des employés, des structures d’équipe, des services d’assistance, des flux de travail en cas de crise et des relations de la chaîne d’approvisionnement. Parmi les exemples de ces tactiques d’ingénierie sociale, citons l’envoi de spams à un utilisateur cible avec des invites d’authentification multifactorielle (MFA) et l’appel au service d’assistance de l’organisation pour réinitialiser les informations d’identification d’une cible ».

Les escroqueries par ingénierie sociale prennent toutes les formes dont le cybercriminel a besoin pour recueillir ces informations. Cela inclut l’utilisation des médias sociaux, les appels à un service d’assistance et les appels généraux au bureau qui aident à établir une relation ; même les visites à un bureau peuvent être utilisées pour rassembler les informations nécessaires pour mener à bien une attaque. Les tentatives d’ingénierie sociale peuvent nécessiter des mois de travail pour établir le profil d’un utilisateur privilégié, en vue d’une attaque réussie.  

Veillez à ce que vos utilisateurs privilégiés comprennent à quels niveaux un cybercriminel est prêt à aller pour rendre crédibles ses courriels de spear-phishing et ses sites web frauduleux.

3. Sensibilisation au Spear-Phishing

Sachez quels types de menaces se concentrent sur le rôle de superutilisateur. En règle générale, les personnes disposant d’un accès privilégié sont ciblées pour cet accès. Toutefois, cela peut également signifier qu’ils font partie d’une chaîne d’attaque plus large et plus complexe.

Généralement, le spear-phishing ou spear-vishing (hameçonnage vocal) est utilisé pour voler les identifiants de connexion de ce groupe d’utilisateurs. Les renseignements recueillis par les cybercriminels au cours de l’ingénierie sociale les aident à créer des scénarios, des courriels et des sites web fictifs crédibles pour tromper l’utilisateur privilégié.

Proposez des exercices de simulation d’hameçonnage adaptés et basés sur les rôles afin de sensibiliser les employés aux astuces utilisées par les escrocs.

Pour en savoir plus sur le spear-phishing, consultez les articles suivants : « Qu’est-ce que le spear-phishing et comment l’éviter » et« Identifier une attaque de spear-phishing« .

Fermer la porte à la compromission des comptes à privilèges

Une organisation doit donner à certains utilisateurs un accès privilégié ; en fait, la création d’une hiérarchie d’accès est un élément important de la gestion des identités et des accès. Mais les privilèges constituent également une faille potentielle dans l’armure d’une organisation, ce qui n’échappe pas aux cybercriminels. En utilisant une base de bonnes pratiques dans la formation de sensibilisation à la sécurité pour les utilisateurs privilégiés, vous pouvez renforcer cette armure et contrôler les privilèges.

Pour renforcer véritablement votre dispositif de sécurité, il est essentiel de reconnaître le rôle vital que jouent les cadres supérieurs dans la création d’une culture de la cybersécurité. Leur leadership, leur engagement et leur participation active aux initiatives de sécurité peuvent donner le ton à l’ensemble de l’organisation. En donnant la priorité à la sécurité au plus haut niveau de la direction, les entreprises peuvent favoriser une culture de la sensibilisation, de la vigilance et de la responsabilité.

Découvrez comment les cadres supérieurs peuvent se faire les champions de la cybersécurité et ouvrir la voie à un environnement organisationnel plus sûr.