CARNET D'ADRESSES

Tu l'as, tu as le pouvoir

Sécurité informatique : 50 % des entreprises victimes « d’ingénierie sociale »

phishingLes attaques d’ingénierie sociale peuvent coûter aux entreprises plus de 100 000 $ par incident, et signalent l’importance d’une sécurité et d’une sensibilisation renforcée des utilisateurs

Check Point Software Technologies, spécialiste mondial en solutions de sécurisation de l’Internet, dévoile aujourd’hui les résultats d’une nouvelle étude révélant que 48 % des entreprises interrogées ont été les victimes d’attaques d’ingénierie sociale (lire encadré ci-dessous), et subi jusqu’à 25 attaques, voire plus, au cours des deux dernières années, chaque incident de sécurité se soldant par une facture de 25 000 dollars à plus de 100 000 dollars.

Ce rapport, intitulé The Risk of Social Engineering on Information Security (Le risque de l’ingénierie sociale pour la sécurité de l’information) *, prouve que le phishing (ou l’hameçonnage) et les outils et applications des réseaux sociaux sont actuellement les sources les plus fréquentes des attaques par voie d’ingénierie sociale. Un tel constat devrait inciter les entreprises à mettre en place un solide plan de défense, combinant à la fois solutions technologiques et une meilleure sensibilisation des utilisateurs, afin de réduire la fréquence et le coût de ces attaques.

Quesako ?

L’ingénierie sociale (ou social engineering, en anglais) est une forme d’acquisition déloyale d’information et d’escroquerie, utilisée en informatique pour obtenir d’autrui, un bien, un service ou des informations clefs. Cette pratique exploite les failles humaines et sociales de la structure cible, à laquelle est lié le système informatique visé.
Source : Wikipedia.

Des entreprises de plus en plus préoccupées

Les attaques d’ingénierie sociale ciblent en général les personnes disposant de connaissances implicites ou d’un accès aux informations sensibles. Les pirates exploitent aujourd’hui toute une gamme de techniques et d’applications de réseaux sociaux pour recueillir des données personnelles et professionnelles sur les individus, et trouver ainsi les maillons faibles d’une entreprise.

Selon cette enquête internationale, qui a interrogé plus de 850 professionnels de l’informatique et de la sécurité, 86 % des entreprises admettent être de plus en plus préoccupées par l’ingénierie sociale, tandis que la majorité des répondants (51 %) citent l’appât du gain comme la motivation principale des attaques, suivi de la recherche d’atouts concurrentiels et des actes de vengeance.

« Selon cette enquête, près de la moitié des entreprises sont conscientes d’avoir subi des attaques d’ingénierie sociale. Sachant qu’un grand nombre de ces attaques passent inaperçues, on est en droit de penser que l’ingénierie sociale est un vecteur d’agression fort répandu et particulièrement redoutable qu’il convient de ne pas ignorer », affirme Oded Gonda, directeur adjoint (VP), responsable des produits de sécurité réseau chez Check Point Software Technologies.

Des technologies qui facilitent la fraude

Les techniques d’ingénierie sociale consistent à exploiter les vulnérabilités d’un individu. Ainsi, la généralisation du Web 2.0 et de l’informatique nomade a grandement facilité l’acquisition d’information sur les personnes et a créé de nouvelles failles permettant d’orchestrer ce type d’attaque.

Les nouveaux embauchés (60 %) et les sous-traitants (44 %), moins bien familiarisés avec les politiques de sécurité de l’entreprise, sont considérés comme les plus exposés aux stratagèmes de l’ingénierie sociale, ainsi que les fournisseurs, les assistants, les personnels des ressources humaines et des services informatiques.

« En définitive, les individus sont un élément essentiel du processus sécuritaire, car ils peuvent très bien se faire manipuler par les criminels et commettre des erreurs, menant à une contamination par des logiciels malveillants ou à des pertes accidentelles de données. De nombreuses entreprises ne prêtent pas suffisamment attention aux utilisateurs, alors qu’en fait, ce sont eux qui devraient être la première ligne de défense », ajoute Oded Gonda.

« Une bonne méthode pour améliorer la sensibilisation des utilisateurs à la sécurité est de les faire participer au processus sécuritaire et de leur donner les outils adéquats pour empêcher ou résoudre eux-mêmes les incidents de sécurité en temps réel. »

Pour protéger comme il se doit les environnements informatiques modernes, les entreprises, plutôt que d’accumuler des technologies de sécurité disparates, doivent mettre en œuvre un processus métier efficace. Check Point 3D Security aide les entreprises à appliquer un modèle de sécurité qui, au-delà de la protection technologique, permet de former les salariés en les faisant participer au processus.

« Tout comme les salariés peuvent commettre des erreurs fatales, à l’origine de violations ou d’attaques sur le réseau de l’entreprise, ils peuvent aussi jouer un rôle important dans l’atténuation des risques », ajoute Oded Gonda. La technologie inédite de Check Point, UserCheck, permet de sensibiliser et de former les salariés aux politiques de l’entreprise en matière d’accès au réseau, aux données et aux applications. L’entreprise réduit ainsi la fréquence, le risque et les coûts liés aux techniques d’ingénierie sociale.

* L’enquête, intitulée The Risk of Social Engineering on Information Security (Le risque de l’ingénierie sociale pour la sécurité de l’information), a été réalisée en juillet et août 2011 et a sondé plus de 850 professionnels de l’informatique et de la sécurité aux États-Unis, au Canada, au Royaume-Uni, en Allemagne, en Australie et en Nouvelle-Zélande. L’étude porte sur des entreprises de toutes tailles et divers secteurs d’activité (finance, industrie, défense, distribution, santé et éducation).

Les principaux résultats du rapport– Les menaces par voie d’ingénierie sociale sont bien réelles
86 % des professionnels de l’informatique et de la sécurité sont sensibilisés, ou fortement sensibilisés, aux dangers de l’ingénierie sociale. Environ 48 % des entreprises interrogées ont reconnu avoir été les victimes d’attaques d’ingénierie sociale à plus de 25 reprises au cours des deux dernières années.

– Les attaques d’ingénierie sociale coûtent cher
Les participants à l’enquête ont estimé que chaque incident de sécurité coûtait de 25 000 dollars à plus de 100 000 dollars . Ces chiffres tiennent compte des interruptions de l’activité métier, des dépenses des clients, de la perte de revenus et de la détérioration de l’image de l’entreprise.

– Les sources d’ingénierie sociale les plus répandues
Les e-mails de phishing sont cités comme la source la plus courante des techniques d’ingénierie sociale (47 %), suivis des sites de réseaux sociaux susceptibles de dévoiler des informations personnelles et professionnelles
(39 %) et des terminaux mobiles mal sécurisés (12 %).

– L’appât du gain est la motivation première de l’ingénierie sociale
L’appât du gain est cité comme la raison la plus courante des attaques d’ingénierie sociale, suivi de l’accès aux informations propriétaires (46 %), de la recherche d’atouts concurrentiels (40 %) et des actes de vengeance (14 %).

– Les nouveaux embauchés sont les plus vulnérables aux techniques d’ingénierie sociale Selon les participants de l’enquête, les nouveaux embauchés sont fortement exposés aux dangers de l’ingénierie sociale, suivis des sous-traitants (44 %), des assistants de direction (38 %), des ressources humaines (33 %), des responsables d’activité (32 %) et des informaticiens
(23 %). Quel que soit le rôle d’un salarié dans l’entreprise, la mise en œuvre d’une formation adaptée et d’une bonne sensibilisation est vitale pour toute politique de sécurité.

– Il y a un manque de formation proactive visant à empêcher les attaques d’ingénierie sociale
34 % des entreprises n’ont pas mis en place de formation des salariés ou de politique de sécurité pour faire barrage aux attaques d’ingénierie sociale, mais 19 % d’entre elles projettent cependant de le faire.

Publicités

2 réponses à “Sécurité informatique : 50 % des entreprises victimes « d’ingénierie sociale »

  1. Florent KOFFI 14/10/2013 à 11:25

    En lisant cet article, je crois que toutes les entreprises devraient être préoccupées par la sécurisation de tout leur système informatique. Le problème qui se pose c’est qu’elles ne connaissent pas le meilleur opérateur qui serait à mesure de les aider dans la protection de leurs données et dossiers confidentiels. Je crois qu’avec l’aide des Responsables de Carnet d’Adresses, elles pourront y parvenir.

    J'aime

  2. TANO BIAN Jeanine 14/10/2013 à 11:15

    Cette étude arrive à propos puisque les salariés des entreprises n’ont pas toujours consciences des risques liés aux connexions à des réseaux sociaux sur les lieux de travail par le biais des outils informatiques de l’entreprise. Merci à carnet d’adresses pour cette lucarne qui souligne l’importance de la part de formation et de sensibilisation à ce sujet. L’information a toujours un prix.

    J'aime

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :