Rapport de marché semestriel du Hub de la cybersécurité Mid-Year Market Report 2022 a révélé que 75 % des répondants ont cité l'ingénierie sociale et le phishing comme la principale menace pour leur organisation. Ces résultats font suite aux avertissements de chercheurs tels que Check Point Research sur la façon dont les technologies basées sur l'IA, telles que ChatGPT, peuvent être utilisées pour créer des e-mails de phishing convaincants.
L'ingénierie sociale est une technique d'escroquerie insidieuse utilisée parce qu'elle fonctionne. Être victime d'ingénierie sociale, c'est être exploité en utilisant le comportement exact que vous utilisez quotidiennement. Comme les pirates comprennent comment manipuler les gens à un niveau élémentaire, il peut être difficile d'identifier les attaques. MetaCompliance présente ici le processus nécessaire pour que vos employés ne soient pas victimes d'une attaque par ingénierie sociale.
Trois étapes pour éviter les attaques d'ingénierie sociale
Les attaques d'ingénierie sociale La prévention, sous toutes ses formes, nécessite des processus et des outils et doit être considérée comme une approche à plusieurs volets. Il existe trois éléments fondamentaux qui, utilisés ensemble, permettent de garantir que votre organisation et vos employés sont prêts à faire face à toute forme d'ingénierie sociale utilisée pour mener une attaque de cybersécurité :
- Stratégies: intégrez l'ingénierie sociale dans votre stratégie de sécurité.
- Personnalisez : Formez les employés aux menaces d'ingénierie sociale qu'ils sont le plus susceptibles de rencontrer.
- Rapport: Encouragez le signalement des incidents afin d'améliorer votre réponse à une attaque faisant appel à l'ingénierie sociale.
Stratégies : veillez à ce que votre stratégie de sécurité reflète les attaques du monde réel
Les attaques d'ingénierie sociale couvrent de nombreux scénarios, de l'hameçonnage à la manipulation des relations, en passant par les versions physiques de l'ingénierie sociale, telles que le "tailgating".filature'. Souvent, les pirates utilisent un mélange d'astuces réelles et numériques dans le cadre d'une attaque de sécurité sophistiquée.
Les courriels de spear phishing, par exemple, peuvent être très difficiles à détecter et sont souvent utilisés comme un moyen populaire d'accéder à des identifiants de mot de passe ou à des informations personnelles. Ces attaques en plusieurs étapes peuvent souvent impliquer le téléchargement de logiciels malveillants et créent un sentiment d'urgence pour inciter le destinataire à agir sans réfléchir.
Pour vous assurer que votre organisation couvre tous ces scénarios, élaborez une stratégie de sécurité qui comprend des mesures de détection, des procédures de signalement des incidents de sécurité, des plans de réponse aux incidents et la manière de réaliser des audits de sécurité et de confidentialité.
Votre planification stratégique doit inclure la manière d'atténuer l'impact de l'ingénierie sociale ; il s'agira d'une formation de sensibilisation à la sécurité comprenant un jeu de rôle d'ingénierie sociale. Une fois en place, votre stratégie de sécurité et vos plans d'intervention doivent être régulièrement révisés et mis à jour en fonction de l'évolution du paysage des menaces et des nouvelles possibilités offertes par la technologie et les modes de travail, comme le travail à distance.
Personnaliser la formation à la sensibilisation à la sécurité
Organisez des séances de formation à la sensibilisation à la sécurité avec les employés en fonction de menaces spécifiques. Cela signifie que ces sessions de formation sont réalisées en fonction du rôle de l'employé ; différents rôles d'employés attirent généralement différents types d'attaques d'ingénierie sociale.
Par exemple, les escroqueries de type "Business Email Compromise" (BEC) ont tendance à utiliser l'ingénierie sociale pour cibler le personnel travaillant dans les comptes fournisseurs ou les cadres de niveau C, car ces rôles contrôlent les finances de l'entreprise.
Un rapport récent de Abnormal Security qui s'est penché sur les menaces par courrier électronique, a révélé qu'environ 28 % des employés ciblés ouvraient un message texte lié à la BEC. Parmi ceux qui ouvraient ces messages, 15 % y répondaient, s'engageant ainsi avec le fraudeur et ouvrant la porte à une ingénierie sociale plus poussée.
Adaptez votre formation de sensibilisation à la sécurité afin de dispenser une formation basée sur les rôles et axée sur les principales menaces. Utilisez une plateforme qui offre modèles basés sur les rôles à utiliser pour les exercices de simulation de phishing. Créez des simulations de phishing et des sessions de formation axées sur le type de menaces auxquelles un employé ou un service est susceptible d'être confronté.
Encourager le signalement des incidents de sécurité
Le rapport sur la sécurité anormale a également révélé que seuls 2,1 % des incidents de sécurité étaient signalés à l'équipe de sécurité de l'organisation. Cela laisse un trou béant dans la capacité à répondre rapidement à une attaque en cours.
Comme l'ingénierie sociale fait souvent partie d'une chaîne d'événements menant à des résultats tels que le vol d'argent ou l'infection par un ransomware, le fait d'être averti rapidement d'un incident en cours peut fournir les renseignements nécessaires pour stopper l'attaque dans son élan et en atténuer les dommages.
Il est essentiel de fournir un moyen de signaler facilement les incidents et de cultiver un environnement sans reproche pour encourager les employés à signaler les incidents. Les organisations ne doivent pas compter uniquement sur les pare-feu ou les filtres anti-spam pour prévenir ces types d'attaques.
Donnez plutôt à vos employés la possibilité de signaler un cyberincident. Le signalement d'un incident peut contribuer à en atténuer l'impact en confiant la réponse à un employé bien informé. Il est important d'offrir aux employés un endroit sûr pour enregistrer les détails de l'incident, comme un portail dédié au signalement des incidents de sécurité.
À l'aide des informations sur l'incident saisies par l'employé, l'équipe de sécurité peut trier l'incident, établir des priorités de réponse et lancer des protocoles de sécurité. Par exemple, l'outil MetaCompliance MetaIncident est un système de gestion du cycle de vie des incidents qui comprend un registre des incidents pour gérer les problèmes. La possibilité d'auditer les rapports et les réponses aux incidents et de générer des rapports à partir des données d'un incident de sécurité est également utile pour prouver la conformité aux réglementations.
L'ingénierie sociale continuera probablement à poser des problèmes aux organisations. Les nouvelles technologies, telles que les interfaces dotées d'intelligence artificielle, permettront aux fraudeurs de créer des outils d'ingénierie sociale encore plus sophistiqués. Cependant, une entreprise peut mettre fin à cette menace insidieuse en développant des programmes d'éducation ciblés et en intégrant le signalement des incidents dans le travail quotidien.
