La question peut paraître superflue : en effet, toute faille technique est en quelque sorte « humaine » puisqu’elle provient de ceux qui ont développé l’application ou conçu l’architecture d’un réseau.

Cependant, les hackers conçoivent et déploient leurs attaques à différents niveaux: les infrastructures, les applications, et les relations humaines. Dans la mesure où les solutions techniques de cybersécurité sont en plein essor, l’humain est un accès privilégié pour réussir à entrer dans des systèmes de plus en plus sécurisés.

Diversité des menaces web

Les surfaces d’attaques du point de vue d’un hacker

Attaquer l’infrastructure informatique d’une entreprise permet d’avoir accès à toutes sortes de données clés. Une attaque massive peut potentiellement « faire tomber » un réseau, avec des conséquences très lourdes pour la cible. Mais face à ces risques, les efforts des experts en cybersécurité se sont avant tout concentrés sur la sécurisation des serveurs et des architectures réseaux.

Il est donc dans l’intérêt d’un attaquant de rechercher des portes d’entrée plus vulnérables, telles que les applications web.

Celles ci sont généralement moins sécurisées, parce que les développeurs sont généralement moins formés sur les questions de sécurité que les administrateurs systèmes. De plus, les technologies web évoluent à grande vitesse, et les besoins massifs et urgent des entreprises côté développement ne permettent pas forcément d’inclure des contrôles de sécurité.
Cependant, il existe une prise de conscience récente de ces risques, accompagnée du développement de solutions telles que les tests d’intrusion sur la couche applicative ainsi que les web application firewalls.

Dans ce contexte, il reste un point très souvent occulté par les experts en cybersécurité: les risques liés aux collaborateurs de l’entreprise.

Pour un hacker, il est possible de conduire certaines attaques ne nécessitant aucune compétence technique, mais plutôt une certaine dose de sensibilité à la psychologie humaine. C’est ce que l’on nomme l’ « ingénierie sociale ». Avec des envois de mails de phishing bien construits, des appels téléphoniques sous une fausse identité, ou un bon scénario permettant de se rendre directement dans les locaux de l’entreprise cible, il est possible de récupérer des informations clés qui faciliteront beaucoup les cyberattaques.

Ces trois surfaces d’attaques – infrastructures, applications, humain – peuvent tout à fait être combinées pour maximiser les chances de réussite d’une tentative de hacking.

Les dommages causés par un simple mail de phishing

Se faire piéger par un mail de phishing, cela peut paraître un peu gros… Nous recevons tous des mails plein de fautes d’orthographe, nous invitant à verser de l’argent à l’étranger, ou d’autres demandes que nous classifions immédiatement comme SPAM…

Mais il existe des mails bien plus crédibles et plus dangereux. Parce qu’ils paraissent vraiment provenir du service informatique, qu’ils nous demandent de prendre connaissance de documents contractuels importants, ou qu’ils sont réellement personnalisés en fonction des destinataires ciblés.

Phishing d'identifiants

Il suffit qu’un destinataire se fasse piéger pour que l’accès au réseau de l’entreprise cible ou à d’autres informations confidentielles soit compromis. Souvent, le mail de phishing permet de récupérer un login et mot de passe, ou d’installer un malware comme par exemple un cheval de Troie.

En 2014, les attaques de phishing seraient notamment à l’origine d’un vol de 1 milliards de dollar à des banques du monde entier par le réseau « Carbanak ». Par ailleurs, on estime à 16 millions le nombre de smartphones infectés par des téléchargements d’applications frauduleuses, ainsi que des mails voire des SMS de phishing.

Mais comment lutter face à ces pièges ?

De l’évaluation des risques à la sensibilisation des équipes

Bien sûr, la sensibilisation des équipes est essentielle. La réponse aux attaques ciblant l’humain passe nécessairement par la formation des humains qui composent l’entreprise.

Mais sensibiliser ses équipes face à des risques bien souvent sous-estimés (« on ne va quand même pas tomber dans le panneau ! » ) n’est pas forcément chose facile.

Avant tout, il faut éveiller l’intérêt des participants pour que les messages soient bien reçus. Et pour cela, le plus efficace est de conduire un audit d’ingénierie sociale permettant d’évaluer les risques et les actions à mettre en place.

Le principe: simuler des attaques d’ingénierie sociale, avec les mêmes méthodes que les hackers. Il est possible d’évaluer les réactions de ses équipes face aux mails de phishing, aux attaques téléphoniques, ainsi qu’aux intrusions physiques dans les locaux de l’entreprise.

Pour être crédibles, ces attaques doivent être conduites par des professionnels, capables de concevoir des scénarios sur mesure et adaptés au contexte spécifique de l’entreprise. Ces scénarios peuvent inclure différents niveaux de difficulté, en fonction des cibles et de leur exposition aux risques. L’exécution doit être irréprochable, et conduire à un reporting précis ainsi que des conclusions présentés dans un rapport d’audit.

Les résultats de ce type d’audit permettront de déterminer quels contenus de formations seront nécessaires, et auprès de quels publics. Ils permettront aussi aux formateurs de s’appuyer sur des faits réels et très concrets lors de leur travail de sensibilisation aux risques. D’un point de vue pédagogique, c’est un outil extrêmement efficace !