Sensibilisation à la cybersécurité : le phishing et les mises à jour logicielles restent les principaux enjeux

Derek Manky

D'après Derek Manky, Global VP Threat Intelligence chez Fortinet, deux pratiques fondamentales restent essentielles en cybersécurité : la sensibilisation au phishing et les mises à jour.

Si cette année, les menaces sont devenues plus automatisées, opportunistes et incessantes, deux pratiques fondamentales restent essentielles : se protéger contre le phishing et maintenir les logiciels à jour. Ces pratiques n’ont rien de nouveau, mais elles restent la meilleure défense d’aujourd’hui et de demain.

Les cyberattaques automatisées ont atteint une progression record au cours de l'année passée. Les cybercriminels font désormais appel à des bots et à des outils ultra-rapides pour identifier les vulnérabilités et lancer des campagnes de phishing à grande échelle. Une évolution qui accentue la dangerosité de ces tactiques.

Les e-mails de phishing, les liens malveillants et les techniques d’ingénierie sociale leurrent la confiance humaine et constituent, à ce titre, des points d’entrée particulièrement efficaces pour les cybercriminels. Parallèlement, les logiciels obsolètes (systèmes d'exploitation, applications et plugins) exposent des vulnérabilités et deviennent des cibles de choix pour les attaques.

Phishing : des tactiques de plus grande ampleur

Le phishing reste le vecteur d’attaque privilégié. Les pirates n’ont plus besoin de contourner les pare-feu ou d’exploiter des vulnérabilités zero-day, ils peuvent désormais se contenter d’inciter un collaborateur à cliquer sur un lien malveillant pour obtenir ses identifiants. Notamment, parce que les campagnes de phishing sont devenues plus convaincantes.

Trois raisons expliquent le progrès de telles campagnes :

  • Recours à l’IA générative pour concevoir des e-mails sans fautes d’orthographe ou de grammaire
  • Usurpation d’identité d’institutions ou d’acteurs de confiance.
  • Association d’e-mail et de SMS (“smishing”) et d’appels deepfake (“vishing”) pour augmenter le taux de réussite des attaques.

Ce qui confère au phishing son efficacité redoutable, c’est avant tout son ampleur. Dotés de nouvelles techniques d'automatisation, les pirates peuvent lancer des millions de tentatives de phishing simultanément. Parmi toutes ces tentatives, une seule réussite peut suffire à causer des dégâts considérables.

Afin de se protéger au maximum, particulièrement dans un monde de plus en plus connecté et digital, il est primordial de mieux sensibiliser au phishing. Les collaborateurs doivent apprendre à temporiser avant de cliquer sur un lien dans un e-mail pour valider les informations de l’expéditeur et, si nécessaire, signaler les messages suspects. En complément, l'authentification multifactorielle (MFA) ajoute un niveau de sécurité supplémentaire en cas de piratage d’identifiants.

L’impératif des mises à jour des logiciels

Les logiciels obsolètes constituent une autre cause majeure de violations. Aujourd’hui, les attaquants ont de plus en plus recours à des outils automatisés pour identifier des vulnérabilités connues : dès qu’un système non patché est identifié, il peut être exploité quasi instantanément. Ce qui rend cette menace encore plus dangereuse, c’est la manière dont le phishing et les logiciels obsolètes interagissent.

Un seul e-mail de phishing peut suffire à implanter des logiciels malveillants sur un appareil. Si celui-ci héberge un logiciel non mis à jour, les pirates peuvent plus facilement escalader les privilèges, se déplacer latéralement et désactiver les outils de défense en place. Ainsi, l'ingénierie sociale permet aux pirates de s’infiltrer discrètement, tandis que les logiciels obsolètes leur permettent d’évoluer dans l’ensemble du système informatique.

Les mises à jour logicielles constituent donc l’une des défenses les plus simples et efficaces. Les correctifs restaurent les failles de sécurité connues, privant les attaquants de la passerelle d’intrusion dont ils ont besoin. Malheureusement, nombre d’entreprises retardent le déploiement des mises à jour et correctifs, par crainte d’indisponibilités du système, de problématiques de compatibilité ou de coûts supplémentaires. Pour les cybercriminels, un jour de retard est une invitation à passer à l’action.

Automatiser les mises à jour logicielles autant que possible reste un impératif. Les entreprises sont invitées à gérer les correctifs de manière centralisée. Pour le grand public, l’activation de la mise à jour automatique sur les dispositifs personnels permet d’éliminer le décalage entre la disponibilité des correctifs et leur application.

Les basiques restent le meilleur bouclier de sécurité

Il est certain que les cybercriminels s'adaptent rapidement à l’évolution des lignes de défense, aux nouvelles technologies et aux comportements des utilisateurs. Ils trouvent en permanence des moyens de contourner les outils de sécurité en place, de profiter du retard d’un déploiement de correctifs et de miser sur l’automatisation pour intensifier leur impact. En dépit de leurs capacités de progression, les fondamentaux d’un bouclier de sécurité fiable restent les mêmes : la sensibilisation au phishing et l’application rapide des correctifs.

Même si les outils d'attaque continuent d'évoluer, les passerelles d’intrusion restent les mêmes. Les entreprises qui s’investissent dans la sensibilisation au phishing et mettent régulièrement à jour leurs logiciels accentueront leur résilience face aux menaces émergentes. Elles seront ainsi mieux outillées pour résister à la progression continue des attaques automatisées. Ces deux pratiques doivent faire partie de la culture d’entreprise en matière de cybersécurité. Les dirigeants sont invités à communiquer sur l’idée que la cybersécurité n’est pas l’apanage des équipes informatiques. Il s’agit d’une responsabilité partagée.