Formation en sécurité informatique : les avantages d’une formation de sensibilisation à la cybersécurité basée sur les rôles

La sensibilisation et la formation en sécurité informatique basées sur les rôles au sein d'une entreprise permettent d'adapter le matériel de formation et les mécanismes de diffusion en fonction du rôle de chaque employé, réduisant ainsi le risque cybernétique associé à ce rôle.

Le monde est complexe et diversifié, et les individus qui le composent possèdent des capacités, des compétences et des attitudes variées. Au sein d'une entreprise, cette diversité est souvent mise à profit en créant des rôles spécifiques qui capitalisent sur ces différentes capacités et compétences.

Les cybercriminels sont conscients que les individus occupent des rôles spécifiques au sein d'une organisation. Les fraudeurs adaptent fréquemment leurs attaques en fonction de leur cible. Par exemple, les attaques de type "Business Email Compromise" (BEC) ciblent généralement les employés occupant des postes de direction et de comptabilité.

Les fraudeurs adaptent leurs campagnes d'hameçonnage ou autres formes d'ingénierie sociale en fonction du titre de poste d'une personne, exploitant ainsi des traits humains intrinsèques tels que la confiance pour augmenter leurs chances de succès. Cependant, si les fraudeurs utilisent l'ingénierie sociale basée sur les rôles et le phishing pour accroître le succès de leurs cyberattaques, alors les individus concernés peuvent également jouer ce jeu.

Une formation de sensibilisation à la cybersécurité basée sur les rôles pour contrer le phishing ciblé en fonction des rôles

Les cybercriminels sont experts pour s'assurer que les campagnes qu'ils déploient connaîtront un certain succès. Ils savent que plus un e-mail de spear-phishing est personnalisé, plus la cible est susceptible de le considérer comme légitime et de cliquer sur un lien malveillant ou de répondre à une demande urgente de changement de compte bancaire et de transfert d'argent, par exemple.

Le spear-phishing est souvent l'arme de choix lorsque les cybercriminels ciblent des postes spécifiques au sein d'une organisation. Cette forme d'hameçonnage utilise des messages hautement personnalisés pour manipuler certains types d'employés. Les rôles typiques qui font l'objet d'attaques par spear-phishing sont les services suivants :

• Cadres supérieurs et assistants de direction
• Service de la paie
• RH
• Finances et comptes créditeurs
• Utilisateurs privilégiés

Sensibilisation et formation en sécurité informatique pour cadres supérieurs et assistants de direction

Les fraudes de type "Whaling" et BEC (Business Email Compromise) ciblent spécifiquement les cadres supérieurs d'une organisation. Les fraudeurs peuvent également viser les assistants de direction en utilisant des techniques d'ingénierie sociale et de spear-phishing pour accéder aux comptes de messagerie des PDG ou obtenir d'autres informations personnelles. Les courriels compromis ou usurpés provenant des cadres supérieurs sont utilisés pour initier les fraudes BEC.

Service de la paie

Les fraudeurs ciblent spécifiquement les employés du service de la paie qui sont responsables du paiement des salaires des employés, dans le but de rediriger les fonds vers le compte bancaire du fraudeur. Par exemple, le fraudeur peut usurper l'adresse électronique d'un employé et lui demander de modifier ses coordonnées bancaires.

Sensibilisation et formation en sécurité informatique pour les ressources humaines (RH)

Les ressources humaines (RH) sont en possession d'informations hautement confidentielles et personnelles. Par conséquent, cette fonction est exposée au risque de campagnes de spear-phishing visant à obtenir l'accès à ces données, qui peuvent ensuite être exploitées dans le cadre d'autres attaques. Les RH deviennent ainsi impliquées dans des tentatives de fraude plus complexes, telles que la fraude BEC (Business Email Compromise) et la fraude salariale. Il est possible qu'un employé des RH soit sollicité afin de divulguer des informations sur un cadre supérieur ou un autre employé, dans le but d'obtenir les renseignements nécessaires pour mener à bien la fraude.

Sensibilisation et formation en sécurité informatique pour le service financier et les comptes fournisseurs, des cibles privilégiée des cybercriminels

Le service financier, qui gère les fonds de l'entreprise, représente une cible évidente pour les cybercriminels. La fraude BEC (Business Email Compromise), par exemple, se concentre souvent sur les comptes fournisseurs. Cependant, il existe de nombreux types de fraudes qui ciblent ce rôle spécifique. La fraude liée aux comptes fournisseurs est répandue, et selon un rapport, 50 % des petites entreprises au Royaume-Uni sont exposées à ce type de fraude.

Sensibilisation et formation en sécurité informatique pour les utilisateurs privilégiés, ceux qui détiennent les "clés de l'entreprise"

Les utilisateurs privilégiés détiennent des autorisations d'accès aux zones sensibles d'un réseau, ce qui les rend vulnérables à être exploités par les cybercriminels pour divulguer leurs informations d'identification ou télécharger des logiciels malveillants. Selon un rapport, 63 % des organisations considèrent que les utilisateurs privilégiés représentent la menace interne la plus élevée.

Simulation phishing dans le cadre de programmes de sensibilisation à la cybersécurité basés sur les rôles

La simulation d'hameçonnage dans le cadre de programmes de sensibilisation à la sécurité basés sur les rôles est un excellent moyen de sensibiliser les employés à l'hameçonnage et aux cybermenaces. En adaptant les messages de phishing simulés aux rôles de votre personnel, vous pouvez reproduire les mêmes tactiques utilisées par les cybercriminels lorsqu'ils ciblent un groupe spécifique au sein de l'organisation. Cela rend la simulation de phishing plus réaliste et spécifique à chaque individu en fonction de son rôle.

Pour effectuer des simulations phishing basées sur les rôles, une plateforme doit prendre en charge des modèles de phishing pouvant être adaptés en fonction des rôles. Par exemple, les titres de phishing basés sur les rôles sont conçus pour correspondre aux types de postes qui sont généralement ciblés par le spear-phishing.

Formation sécurité informatique : exemples d'attaques de phishing basées sur les rôles

Utilisateurs privilégiés

Le groupe de pirates Lazarus est tristement célèbre pour l'attaque par ransomware WannaCry en 2017. Plus récemment, le groupe a utilisé des campagnes d'hameçonnage ciblées, basées sur de fausses offres d'emploi, qui visent spécifiquement les utilisateurs privilégiés. Parmi leurs dernières actions, ils ont ciblé un administrateur système travaillant pour une plateforme de crypto-monnaies. Ce dernier a reçu un document de phishing sous la forme d'une offre d'emploi via son compte personnel LinkedIn.

Comptes créditeurs

Facebook et Google ont été escroqués de plus de 100 millions de dollars par un fraudeur qui a ciblé les employés des deux géants de la technologie en utilisant des courriels de spear-phishing destinés à des rôles spécifiques d'utilisateurs.

Fraude au mandat salarial

Les campagnes d'hameçonnage visant à dérober les chèques de paie des employés représentent une opportunité idéale pour les escrocs motivés par des gains financiers. Souvent, les fraudeurs envoient des courriels au personnel des ressources humaines ou de la paie, demandant un changement de compte bancaire.

Ces e-mails de phishing usurpent fréquemment l'identité d'un employé légitime, incluant sa signature électronique, et donnent l'apparence d'être envoyés depuis un domaine interne de l'entreprise. Si le changement est effectué, le salaire de l'employé est alors transféré sur le compte bancaire du fraudeur.

Formation sécurité informatique : pourquoi personnaliser la formation à la sensibilisation à la cybersécurité

Le spear-phishing est l'une des méthodes privilégiées des fraudeurs ciblant des rôles spécifiques, et il connaît un grand succès en raison de sa nature ciblée. Selon un rapport de Symantec, le spear-phishing est utilisé comme vecteur principal dans 65 % des cyberattaques.

En ciblant les rôles spécifiques des employés, les cybercriminels peuvent créer des escroqueries complexes en plusieurs étapes qui s'avèrent efficaces. Les programmes de sensibilisation à la sécurité informatique basés sur les rôles, associés à des simulations d'hameçonnage adaptées à ces rôles, offrent un programme de formation sur mesure pour contrer les cybercriminels. En enseignant aux employés la nature précise des escroqueries par hameçonnage et d'ingénierie sociale qui ciblent spécifiquement leur rôle, on leur donne les moyens d'examiner attentivement les courriels et autres communications.