Le phishing, bête noire en matière de cyberattaques – Quels constats pour 2019 ?
Chaque année 978 millions de personnes dans le monde subissent une cyberattaque, d’après le premier groupe de lutte contre la cybercriminalité de la Police nationale : entreprises, organisations, particuliers… nous sommes tous concernés, et ce, souvent sans le savoir.
D’après le Global Threat Intelligence Report (GTIR) de 2019, qui opère une cybersurveillance continue et active, la France fait partie des quatre pays les plus impactés par ce type d’attaques, derrière les Etats-Unis, la Chine et le Japon, soit 5% de l’ensemble des attaques observées à travers le monde.
Parmi les nombreux types d’attaques sur le web, une technique bien particulière se démarque, par son caractère trompeur et insidieux : le phishing, ou hameçonnage, qui consiste à faire croire à la victime qu’elle s’adresse à un tiers de confiance — connaissance, banque, administration, opérateur de téléphonie — afin de lui soutirer des renseignements personnels et ainsi usurper son identité.
Pour cela, le cybercriminel peut employer plusieurs méthodes, comme l’email, le détournement de résultats de recherche, l’abus de pages d’erreur 404 ou encore la technique du man-in-the-middle, à savoir l’imitation de la page de connexion de l’organisme tiers. Les hackers peuvent également faire appel à des logiciels malveillants ou ransomware, pour prendre en otage les données personnelles de leurs victimes. Ces rançonlogiciels empêchent les utilisateurs d’accéder à leurs appareils ou leurs fichiers, et exigent une rançon sous la forme d’un paiement en ligne anonyme pour en restaurer l’accès.
La pratique du phishing est massivement employée par les fraudeurs, car efficace : en juillet 2019, 1 mail sur 100 était un email de phishing. Ces derniers peuvent être accompagnés de pièces jointes, qui, une fois ouvertes, infectent la machine de la victime. Ce type d’attaques est particulièrement redouté par les entreprises en ce qu’elles représentent un vrai danger pour la sécurité de leurs données, par essence confidentielles.
Quoique relativement ancienne, cette pratique semble revenir en force depuis deux ans, puisque les tentatives de phishing sont passées de moins de 0,2% à 0,6% du volume total d’emails dans le monde, entre janvier 2018 et octobre 2019, avec des emails de plus en plus réalistes et d’autant plus trompeurs.
La gestion des mots de passe et la responsabilité des données par l’utilisateur
Sensibiliser et éduquer les utilisateurs aux cyberattaques pour créer les conditions d’un numérique de confiance
En matière de sécurité informatique, la prévention auprès des utilisateurs revêt un caractère stratégique pour réduire le nombre de cas d’hameçonnage. Et pour cause : 93% des incidents de sécurité auraient pu être évités si des mesures simples de « cyber-hygiène » avaient été prises par les internautes.
Alors comment mieux responsabiliser les particuliers et les collaborateurs aux bonnes pratiques en matière de cybersécurité ? Arnaud Jumelet, Cloud & Security Advisor, Microsoft France, nous apporte quelques éléments de réponse sur le sujet :
- Quelles mesures les collaborateurs peuvent-ils prendre pour se protéger du Phishing ?
Tout d’abord, ils peuvent mettre en place l’authentification multi-facteurs, qui est disponible chez de nombreux prestataires de service de messagerie. Ensuite, je leur recommande, de passer à l’authentification sans mot de passe avec le standard FIDO2 qui en conçu pour résister contre le phishing.
- Pourquoi l’authentification représente-t-elle un élément critique ?
Tout simplement parce que le vol de mot de passe est souvent la porte d’entrée des cybercriminels vers les appareils de leurs victimes. D’après un rapport de Verizon, 81% des piratages informatiques seraient liés à des mots de passe insuffisamment sécurisés. Les mots de passe alphanumériques, certes plus sécurisés, restent difficiles à mémoriser et peuvent toujours être piratés. Prendre la précaution de sécuriser l’accès à ses données est d’autant plus important dans un environnement cloud, une configuration dans laquelle les informations sont déléguées à un tiers. Les entreprises peuvent faire le choix du cloud sécurisé pour s’assurer une protection efficace contre les intrusions. Microsoft propose, pour cela, un portefeuille très complet de solutions d’identification et de protection, comprenant Azure AD, service de gestion d’accès qui gère plus de 1,2 milliard d’identités et traite plus de 8 milliards d’authentifications par jour, et Azure Sentinel, une solution SIEM réinventée qui repère et bloque les menaces avant qu’elles n’occasionnent de dommages.
- Assistera-t-on bientôt à la fin du mot de passe traditionnel ?
C’est en effet ce vers quoi nous essayons de tendre. Faire appel à des solutions d’authentification biométriques innovantes comme Windows Hello et Windows Hello For Business, permet de passer un cap supplémentaire dans la sécurisation de l’environnement personnel et professionnel des utilisateurs, tout en simplifiant leurs expériences d’authentification. L’identification biométrique, au-delà d’être plus sécurisée, est aussi largement plébiscitée par ses utilisateurs : environ 70% des utilisateurs de Windows 10 disposant d’un matériel biométrique préfèrent Windows Hello au mot de passe traditionnel.
L’adoption de normes d’authentification sans mot de passe comme FIDO2, s’appuyant sur une clé de sécurité externe ou d’une clé de plateforme intégrée à un appareil, représente une autre alternative efficace au mot de passe traditionnel. Ces technologies, constituent des mesures préventives assez simples à mettre en œuvre et s’inscrivent dans une vraie démarche active et efficace d’innovation en matière de cybersécurité au quotidien. Il a ainsi été constaté que l’utilisation de l’authentification à multi-facteurs permettait de bloquer 99,9% des intrusions informatiques. Aujourd’hui, ce sont plus de 100 millions d’utilisateurs d’Outlook, de Microsoft 365 et du cloud Azure qui utilisent déjà l’authentification sans mot de passe.
- L’entreprise a-t-elle une responsabilité dans la formation de ses employés ?
Dans un contexte de pénurie de talents dans le secteur de la cybersécurité, la formation et la sensibilisation des salariés est importante. Aujourd’hui, il manque près de 10 000 profils sur le marché, et la sécurité va bien au-delà de l’aspect technologique : il faut faire de la sécurité un pilier de la culture d’entreprise qui s’intègre de manière cohérente au sein de systèmes d’information unifiés et standardisés et concerne l’ensemble des collaborateurs dans toutes les entreprises et organisations, quelles que soient leurs tailles. En effet, des systèmes SI alternatifs et contraires aux bonnes pratiques en vigueur, ou Shadow IT constituent dès lors une porte ouverte aux menaces en tous genre. Des solutions comme Office 365 Advanced Threat Protection permettent de se protéger efficacement et de façon unifiée à l’échelle d’une organisation, contre les menaces provenant des messages électroniques, des liens (URL) et des outils de collaboration.
Quels enjeux pour 2020 en termes de sécurité ?
- L’intelligence artificielle, nouveau levier pour les entreprises ?
Face à la recrudescence des attaques, les entreprises doivent tout mettre en œuvre pour détecter et analyser les signaux faibles et sécuriser leurs réseaux. Faire appel à l’Intelligence Artificielle peut permettre d’améliorer cette détection grâce à une corrélation automatisée d’événements. Machine learning et deep learning peuvent servir à traiter de façon plus rapide et plus pertinente un nombre croissant de données. En accompagnant les professionnels de la cybersécurité, l’IA représente un soutien prometteur à l’effort de défense des organisations. L’assistance des algorithmes d’IA peut ainsi faire gagner un temps précieux aux équipes SI dans leur lutte contre la cyber-malveillance. Car les pirates, aussi, utilisent l’IA pour découvrir les vulnérabilités des réseaux !
- L’Open Source, une alternative qui séduit de plus en plus
La collaboration entre programmeurs est une autre piste à explorer en 2020 pour gagner en efficacité dans la protection des réseaux. Le concept de code caché, ou « sécurité par l’obscurité », n’empêchera pas les pirates de déceler des failles, et les logiciels libres bénéficient d’une surveillance constante de la part des contributeurs, ce qui en réduit les vulnérabilités.
Et pour rendre possible la collaboration entre acteurs concurrents sans dévoiler des informations confidentielles, le cloud computing s’avère être une stratégie judicieuse : en août 2019, Microsoft s’est associé à la Fondation Linux pour créer le Confidential Computing Consortium, dédié au développement de cette pratique au bénéfice de tous. Ainsi, l’Open Enclave SDK, donne aux développeurs la possibilité de développer des applications dans des environnement sécurisés.
- La formation aux métiers de la cybersécurité
A l’heure du cloud, de l’Intelligence Artificielle et dans un contexte où les entreprises de tous secteurs engagent leur transformation numérique, les risques d’attaques malveillantes sont décuplés. Former chacun et chacune à concevoir et à maîtriser des outils à la pointe de la technologie et se protéger contre ces attaques est stratégique dans la lutte contre le phishing, dans un contexte où la demande de talents dans le domaine de la cybersécurité a largement dépassé le nombre de candidats disponibles sur le marché. C’est pourquoi Microsoft a fait de la formation des collaborateurs une priorité.
Ainsi, Microsoft, Orange CyberDefense et l’école ECE Paris se sont associés pour créer une formation multidisciplinaire de niveau Master baptisée « Cybersécurité Défensive » visant à former les futurs professionnels à la sécurité des systèmes d’information avec un regard inédit sur la gestion des identités (Active Directory/Azure AD) et la protection des environnements Microsoft. Cette formation est conforme aux critères SecNumEdu telles que définis par l’ANSSI, l’Agence Nationale de la Sécurité des Systèmes d’Information La seconde promotion de cette formation, lancée en 2019, est constituée de 45 étudiants, encadrés par des experts en cybersécurité de Microsoft France et Orange Cyberdéfense Nous sommes heureux de constater que de nouvelles écoles, dont l’EPITA, enseignent également des modules de cette formation.
