MetaBlog

Restez informé des sujets de formation à la cyber-sensibilisation et atténuez les risques dans votre organisation.

Les avantages de la formation à la sensibilisation à la sécurité basée sur les rôles

Formation de sensibilisation à la sécurité basée sur les rôles

sur l auteur

Partager sur linkedin
Partager sur Twitter
Partager sur facebook

La formation de sensibilisation à la sécurité basée sur les rôles adapte les supports de formation et les mécanismes de diffusion au rôle d'un employé et réduit le cyberrisque associé à ce rôle.

Le monde est complexe et diversifié et les personnes qui le composent sont un melting-pot de capacités, de compétences et d'attitudes. Au sein d'une entreprise, cette diversité est souvent mise à profit en créant des rôles spécifiques qui tirent parti de ces différentes capacités et compétences.

Les cybercriminels savent que les personnes occupent des rôles spécifiques au sein d'une organisation. Les fraudeurs adaptent souvent leurs attaques en fonction de la cible. Par exemple, les attaques de Business Email Compromise (BEC) se concentrent généralement sur les employés occupant des postes à responsabilité et sur les employés chargés de la comptabilité fournisseurs. Les fraudeurs adaptent les campagnes de phishing ou d'autres attaques d'ingénierie sociale pour refléter l'intitulé du poste d'une personne. Ce faisant, ils tirent parti de caractéristiques humaines intrinsèques, telles que la confiance, pour assurer leur succès.

Toutefois, si les fraudeurs utilisent l'ingénierie sociale et le phishing basés sur les rôles pour améliorer le succès de leurs cyberattaques, alors deux personnes peuvent jouer ce jeu.

Formation de sensibilisation à la sécurité basée sur les rôles pour mettre fin au phishing basé sur les rôles

Les cybercriminels aiment s'assurer que toute campagne qu'ils conçoivent sera un succès : ils savent que plus un courriel de phishing est adapté, plus il y a de chances que la cible croie que le courriel est réel et clique ensuite sur un lien malveillant ou donne suite à la demande par courriel de changer de banque et d'envoyer de l'argent de toute urgence, etc.

Le spear-phishing est souvent l'arme de choix lorsqu'un cybercriminel cible un rôle spécifique dans une organisation. Cette forme d'hameçonnage se caractérise par des messages très personnalisés destinés à manipuler certains types d'employés. Les rôles typiques qui font l'objet d'attaques de spear-phishing sont les suivants :

  • Cadres de niveau C et assistants de direction
  • Paie
  • RH
  • Finances et comptes créditeurs
  • Utilisateurs privilégiés

Les cadres de niveau C et les assistants de direction : Les fraudes de type "whaling" et BEC(Business Email Compromise) se concentrent sur les cadres de niveau C d'une organisation cible. Les fraudeurs peuvent également viser les assistants de direction, en utilisant l'ingénierie sociale et le spear-phishing pour accéder au compte de messagerie du PDG ou à d'autres informations personnelles. Des courriels de CXO compromis ou usurpés sont utilisés pour lancer la fraude BEC.

Service de la paie: les fraudeurs ciblent les employés du service de la paie qui gèrent les paiements des salaires des employés, pour rediriger l'argent vers le compte bancaire d'un fraudeur. Par exemple, le fraudeur peut usurper le courriel d'un employé demandant à la paie de modifier ses coordonnées bancaires.

Ressources humaines (RH) : les RH gèrent des informations hautement confidentielles et personnelles. Cette fonction est donc exposée aux campagnes de harponnage (spear-phishing) visant à obtenir l'accès à des données qui peuvent ensuite être exploitées dans d'autres attaques. Les RH font alors partie d'une tentative de fraude plus complexe, en plusieurs étapes, telle que la BEC et la fraude à la paie ; un employé des RH peut être amené à révéler des informations sur un cadre de niveau C ou un autre employé afin d'obtenir les renseignements nécessaires pour réaliser la fraude.

Finances et comptes fournisseurs: le service qui tient les cordons de la bourse constitue une cible évidente pour les cybercriminels. La fraude BEC, par exemple, aboutit souvent à la porte des comptes fournisseurs. Mais il existe de nombreux types de fraude qui se concentrent sur ce rôle. La fraude aux comptes fournisseurs est très répandue et un rapport a révélé que 50 % des petites entreprises du Royaume-Uni étaient exposées à ce type de fraude, qu'il s'agisse de menaces internes ou externes.

Utilisateurs privilégiés : les cybercriminels ciblent les utilisateurs privilégiés car ils possèdent les "clés du château de l'entreprise". Les utilisateurs privilégiés disposent de droits d'accès aux zones sensibles d'un réseau et, à ce titre, ils offrent une voie d'accès directe à ce réseau à tout cybercriminel qui parvient à les inciter à donner leurs informations d'identification ou à télécharger des logiciels malveillants. Selon un rapport, 63 % des organisations estiment que les utilisateurs privilégiés présentent le risque le plus élevé de menace interne.

Hameçonnage simulé dans le cadre des programmes de formation à la sensibilisation à la sécurité basés sur les rôles

La simulation de phishing est un excellent moyen de sensibiliser les employés au phishing et aux cybermenaces. En adaptant les messages de phishing simulés aux rôles de vos employés, vous pouvez simuler les mêmes tactiques que celles utilisées par les cybercriminels pour cibler un groupe spécifique au sein d'une organisation. La simulation de phishing devient ainsi plus réelle et spécifique au rôle de l'individu concerné.

Pour effectuer des simulations de phishing basées sur les rôles, une plate-forme doit prendre en charge des modèles de phishing qui peuvent être adaptés en fonction des rôles. Par exemple, les titres de phishing basés sur les rôles reflètent les types de rôles qui sont souvent ciblés par le spear-phishing.

Exemples d'attaques de phishing basées sur les rôles

Cible des utilisateurs privilégiés : Le groupe de pirates Lazarus est tristement célèbre pour l'attaque par ransomware WannaCry en 2017. Plus récemment, le groupe a utilisé des campagnes de phishing ciblées, basées sur des offres d'emploi usurpées, qui se concentrent sur les utilisateurs privilégiés. L'une des plus récentes a visé l'administrateur système d'une plateforme de crypto-monnaies. L'administrateur système a reçu un document de phishing sous la forme d'une offre d'emploi via son compte personnel LinkedIn.

Comptes créditeurs: Facebook et Google ont été escroqués de plus de 100 millions de dollars par un fraudeur qui a ciblé les employés des deux géants de la technologie en utilisant des courriels de harponnage visant certains rôles d'utilisateurs.

Fraude au mandat salarialLes campagnes de phishing qui impliquent le vol des chèques de salaire des employés constituent un terrain idéal pour les escrocs motivés par des raisons financières. Souvent, les fraudeurs envoient des courriels au personnel des RH ou de la paie avec une demande de changement de compte bancaire. L'e-mail de phishing usurpe souvent le nom d'un véritable employé, inclut sa signature et semble provenir d'un domaine interne de l'entreprise. Si le changement est effectué, le salaire de l'employé est versé sur le compte bancaire du fraudeur.

Les raisons de personnaliser la formation à la sensibilisation à la sécurité

Le spear-phishing est le favori des fraudeurs axés sur les rôles et connaît un grand succès en raison de la nature ciblée de ce type de phishing. Selon un rapport de Symantec, le spear-phishing est utilisé comme vecteur principal dans 65 % des cyberattaques. En ciblant des rôles spécifiques d'employés, les cybercriminels peuvent créer des escroqueries complexes à plusieurs étapes qui fonctionnent.

Les programmes de formation basés sur les rôles et les simulations d'hameçonnage basées sur les rôles constituent un programme d'éducation sur mesure qui permet de battre les cybercriminels à leur propre jeu. En apprenant aux employés la nature exacte du phishing et des escroqueries d'ingénierie sociale qui ciblent spécifiquement leur rôle, on leur donne les moyens d'examiner attentivement les e-mails et autres communications.  

Formation de sensibilisation à la sécurité pour les fournisseurs tiers

vous pourriez apprécier de lire ces