Lors d’une cyberattaque, l’un des principaux vecteurs d’entrée d’un attaquant dans un système d’information (SI) se nomme « hameçonnage » – « phishing » en anglais. Cette porte d’entrée repose sur une manipulation de la victime qui est amenée à cliquer sur un lien malveillant. Outre l’aspect technique déployé – afin de rendre l’attaque visuellement crédible, l’entièreté du « hameçonnage » repose sur la psychologie humaine.
Bien que cela ne soit qu’une seule méthode dans l’arsenal des menaces actuelles, il est intéressant de démontrer l’impact que la psychologie humaine peut avoir sur la sécurité d’un SI. En outre, durant une gestion de crise, les étapes durant lesquelles l’humain joue un rôle important sont nombreuses. Il est donc nécessaire de se préparer au mieux à ce type de situation.
Le rôle crucial du facteur humain
Lors d’une cyberattaque, il est possible de définir les actions d’un attaquant via une chaîne d’étapes – nommée « chaîne de compromission », ou « Cyber Kill Chain » en anglais – ainsi que celles des victimes et/ou défenseurs du SI attaqué.
Du point de vue de l’attaquant, une bonne connaissance de la psychologie de sa victime et de ses habitudes peut fortement faciliter son accès au sein du réseau cible. Cela passe en premier lieu par une phase de reconnaissance, durant laquelle l’attaquant pourra autant se renseigner sur les vulnérabilités du SI visé, que sur les acteurs principaux composant l’entreprise ou l’organisation.
Par la suite, une fois les fichiers malveillants créés pour l’attaque, la menace va devoir choisir une méthode de livraison afin d’introduire l’élément malveillant au sein des environnements informatiques. Les renseignements récupérés lors de la première étape s’avèrent ici très utiles, allant jusqu’à obtenir un accès légitime à des comptes d’accès à distance – via des identifiants pouvant être facilement déductibles à partir d’informations récoltées sur les réseaux sociaux de l’utilisateur victime par exemple.
Une fois introduit dans le système, l’attaquant fera preuve de la plus grande discrétion, au risque d’être détecté par la victime avant d’avoir effectué l’ensemble des actions malveillantes jugées primordiales. Il peut cependant continuer à imaginer la logique appliquée à la sécurité du système sur lequel il se trouve, permettant parfois de découvrir des vulnérabilités liées à une mauvaise configuration ou des lignes de code non sûres.
Dès l’instant où la victime se rend compte de l’attaque, une gestion de crise peut se mettre en place. Le compte à rebours commence, et sans bonne priorisation, les efforts peuvent être vains. Intervient alors l’arbitrage de décisions humaines. Au-delà de la pertinence des mesures de sécurité à mettre en place, une mauvaise priorisation des tâches ainsi que des consignes peu claires peuvent donner suffisamment de temps à l’attaquant pour atteindre son objectif.
Dans le cas où la phase finale de l’attaque se produit, un combat psychologique s’engage entre les deux acteurs. Dans le cadre d’un rançongiciel, cela se traduit par une tentative d’extorsion. Le but pour l’attaquant étant d’influencer la victime et ainsi la convaincre que payer la rançon demandée est la seule option possible afin de récupérer ses données.
Plus encore, on peut également parler de double ou triple extorsion. Dans le premier cas, l’attaquant menace non seulement de ne jamais déchiffrer les données, mais également de diffuser l’ensemble des informations récupérées sur internet en clair – et particulièrement les données confidentielles. Toujours dans le but de manipuler la victime, la triple extorsion y ajoute la menace et parfois l’exécution d’un déni de service sur le SI cible.
Ces actions peuvent avoir un effet conséquent sur les finances de l’entreprise attaquée, mais également directement sur l’ensemble des collaborateurs et collaboratrices. Une étude de l’Université de Portsmouth commandée par le ministère de l’Intérieur britannique a démontré que les cyberattaques peuvent laisser des séquelles psychologiques aussi graves que celles d’un cambriolage – par exemple.
Alors, comment se préparer mentalement à une cyberattaque ?
Bien que les techniques des acteurs malveillants puissent être – aujourd’hui – très avancées, une bonne préparation en amont peut suffire à limiter voire mettre un terme à une majorité des attaques.
En effet, la formation et la sensibilisation des collaborateurs sont souvent les conseils les plus répandus, toutefois ils restent souvent peu (ou pas) appliqués au sein des entreprises et organisations. Il est nécessaire de définir une bonne hygiène informatique à suivre pour un utilisateur (mots de passe complexes, politique du bureau vide, etc.) mais également de relier ces mesures de sécurité à des explications concrètes concernant leur utilité. Le Guide d’hygiène informatique de l’ANSSI contient un ensemble de règles en ce sens. L’objectif étant de faire prendre conscience à tous de l’impact que peuvent avoir des informations visibles de l’extérieur, même minimes, sur la sécurité du SI de l’entreprise. De plus, une sensibilisation se doit d’être répétée et évaluée, notamment via des campagnes d’entraînement au phishing. Cela permettra de transformer ces actions en réflexes pour l’ensemble des collaborateurs !
De plus, pour se préparer à tous types de cyberattaques, les méthodes les plus efficaces – connues ce jour – consistent à apprécier les risques liés au SI à défendre, puis à mettre en place des mesures visant à limiter au maximum les probabilités d’événements redoutés. Il est indispensable d’adapter les mesures définies en fonction de l’entreprise. Pour se faire, des référentiels – tels que la norme ISO 27002 – peuvent permettre de donner une direction générale à suivre.
Et bien qu’anticiper l’ensemble des scénarios d’attaques ne soit pas réalisable, une connaissance parfaite de son SI, ainsi que des procédures établies en amont, permettent de fluidifier la réponse en cas de compromission. De cette manière, il est possible de limiter les erreurs liées aux décisions prises « à chaud ».
Concernant les cas exceptionnels de gestion de crise, il est essentiel de prendre en compte le facteur humain. Cela passe notamment par l’établissement de rôles spécifiques, comme chargé de la logistique des acteurs, chargé de l’approvisionnement alimentaire, ou tout autre besoin souvent oublié lors de ces situations de crise. Cette implication permet d’améliorer les performances des acteurs lors d’un tel contexte, ainsi que de limiter les risques d’erreurs involontaires.
Une réponse à incident se gère donc en amont, afin de limiter les effets liés au facteur humain. Cela se traduit par des préparations et sensibilisations en entreprise, ou encore par une vérification de la quantité et le type d’informations personnelles des équipes disponibles en libre accès sur internet. Bien que la sécurisation d’un SI doive passer par l’établissement d’un périmètre, les attaquants, quant à eux, ne se fixent aucune limite.
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));