Hacking éthique : quand la meilleure défense est l'attaque
"La meilleure défense est l'attaque." C'est le credo des hackeurs éthiques qui proposent de mettre à l'abri les entreprises vulnérables aux cyber attaques. Explications.
Aucune entreprise n’est à l’abri. C’est une leçon que les géants Uber et le jeu GTA 6 ont appris malgré eux le mois dernier, tout comme des dizaines d’entreprises auparavant. Encore trop de structures, petites comme grandes, demeurent de mauvais élèves et affichent une multitude de vulnérabilités, prêtes à être exploitées par des personnes malintentionnées.
Pour anticiper les attaques et se protéger efficacement, une solution émerge sur le marché : le hacking éthique. Des spécialistes de la cybersécurité attaquent les 3 maillons (cyber, humain et physique) de l’entreprise pour repérer les failles et les combler. Zoom sur 3 conseils à adopter d’urgence en interne.
L’humain, le maillon faible de la chaîne
98% des attaques résulteraient d’attaques par ingénierie sociale. La grande majorité du temps, les collaborateurs ne réalisent même pas qu’ils se montrent imprudents. Un criminel peut, par exemple, prendre contact via LinkedIn en se prétendant intéressé par l’offre de l’entreprise. En gagnant sa confiance, le criminel a ainsi accès aux données des clients, et c’est rapidement la catastrophe.
Former les collaborateurs à reconnaître les attaques malveillantes : voilà la première étape à appliquer d’urgence. C’est le maillon humain, le premier de la chaîne. Les entreprises de toutes tailles sont concernées. Gardez en tête que les pirates sont conscients que les petites et moyennes entreprises n’ont pas encore réalisé le danger qu’elles encourent.
L’attention doit être constante, car les hackeurs sont intelligents et s’adaptent pour proposer des techniques de phishing toujours plus réalistes. Fausses factures, arnaques au remboursement, tentatives d’accès aux comptes mails… Un faux pas (ou clic), et le hackeur peut prendre possession du serveur.
Laisseriez vous rentrer un inconnu chez vous ?
En voilà une question ! Et pourtant, quand il s’agit du lieu de travail, le personnel n’est pas forcément formé à ne pas laisser entrer d’inconnus. Livreurs, clients, et autres invités se voient bien souvent ouvrir la porte d’entrée sans qu’on leur pose trop de questions. L’être humain cherche par nature à éviter les sources de problèmes, il évitera donc de se poser trop de questions quant à cet étrange livreur qui ne fait “que passer” pour déposer un colis dans le bureau d’à côté. Et c’est là où le deuxième maillon de la chaîne de sécurité est en danger : le maillon physique.
Contrairement aux idées reçues, les attaques d’ordre cyber peuvent bel et bien démarrer par une intrusion physique dans les locaux d’une entreprise. D’où l’importance de mettre en place des process de défense, l’instauration de badges, par exemple. Évidemment, il est essentiel de mettre en place ici aussi une formation des collaborateurs en interne, pour leur donner les bons gestes à adopter. La formation n’a pas besoin d’être rébarbative : certains experts proposent des formats de type escape game. Utile pour travailler par la même occasion l’esprit d’équipe !
Les bons gestes à adopter en cyber
Le dernier maillon de la chaîne : celui lié à la cybersécurité. Sans évoquer le classique mot de passe “1234”, une étude révèle que 20% des entreprises intègrent le nom de leur établissement dans leurs mots de passe. C’est un tort : les entreprises ne doivent plus se contenter d’une connexion unique pour sécuriser l’accès à leurs applications, sites ou réseaux sociaux.
Les mots de passe des collaborateurs doivent être uniques et disposer d’une double authentification (par sms, par exemple). Enfin, il ne faut pas lésiner et opter pour une combinaison de 12 caractères minimum, avec lettres, chiffres et symboles.
Par ailleurs, les collaborateurs doivent régulièrement mettre à jour leur ordinateur, mais également leurs navigateurs et leurs plugins. Si ces mises à jour sont proposées, c’est pour une bonne raison : bien souvent, pour combler des failles et donc de potentielles attaques. Pourtant, trop d’employés voient encore les mises à jour comme une corvée à retarder jusqu’à la dernière minute.