L’éducation est votre première ligne de défense pour protéger votre organisation contre les menaces modernes sur la cybersécurité. Cependant, les séminaires classiques sur la cybersécurité et les emails éducatifs diffusés en masse ne parviennent souvent pas à transmettre efficacement votre message aux collaborateurs. Envisagez plutôt une formation s’appuyant sur des simulations pour rendre l’expérience de formation plus engageante.
Quelle que soit la solidité de vos défenses logicielles, elles ne peuvent empêcher un attaquant déterminé d’exploiter la psychologie humaine pour obtenir un accès non autorisé. Conscientes de cela, les entreprises avisées prennent des mesures proactives pour préparer leurs collaborateurs à faire face aux techniques d’ingénierie sociale. L’une des méthodes qu’elles peuvent utiliser est un exercice de simulation. Dans un article précédent, nous avons proposé un test incluant un code QR. Cette fois-ci, nous allons examiner un test en temps réel qui évalue le degré de préparation de votre équipe face à des attaques d’hameçonnage vocal (autrement appelé “vishing”.
Qu’est-ce que le vishing ?
Le vishing, contraction du terme anglais correspondant à « hameçonnage vocal », est une technique consistant pour un pirate à manipuler des personnes via un appel téléphonique afin qu’elles divulguent des informations sensibles ou transfèrent de l’argent. Contrairement à l’hameçonnage traditionnel par email, l’hameçonnage vocal exploite l’immédiateté et le caractère personnel de la communication vocale.
Les résultats d’un exemple concret
La résistance au vishing a été testée sur des collaborateurs d’une entreprise technologique anonyme.
Au cours du test, les collaborateurs ont été confrontés à un attaquant jouant trois rôles distincts :
- Service des finances : Dans ce scénario, l’attaquant s’est fait passer pour un agent du service des finances, insistant sur la nécessité de confirmer des données personnelles envoyées par email. Pour accéder au fichier supposé critique, des identifiants de connexion étaient nécessaires.
- Auditeur externe : L’attaquant s’est fait passer pour un représentant d’une fausse société d’audit, demandant aux administrateurs de remplir un formulaire en ligne. L’accès au formulaire nécessitait bien entendu la communication de leurs identifiants.
- Collègue en congé : Dans le troisième scénario, l’attaquant s’est fait passer pour un collègue n’ayant pas accès à son ordinateur et demandant une aide urgente. Pour résoudre le problème, il fallait se connecter à une application externe.
Les sujets de ce test ont réussi à tenir bon et ont repoussé efficacement les avances de l’attaquant. Aucun d’entre eux n’a été victime des tentatives de vishing. Cela souligne l’importance d’une formation continue à la cybersécurité, car ce sont des collaborateurs d’une entreprise qui dispose d’un bon programme de sensibilisation, comprenant des formations régulières sous diverses formes.
Confrontés à une situation potentiellement douteuse, ils se sont habilement souvenus des principes préventifs qu’ils avaient acquis précédemment et les ont appliqués, protégeant ainsi leur entreprise des ramifications potentielles d’une attaque d’ingénierie sociale.
Pratiques anti-hameçonnage : comment éviter de devenir une victime ?
1. Soyez conscient·e des dangers potentiels
Soyez vigilant·e lorsque vous recevez un appel téléphonique inattendu d’une « autorité », par exemple d’une banque, d’une institution gouvernementale ou d’un service d’assistance technique. Même si l’appelant peut être celui qu’il prétend être, il est toujours bon de connaître les risques potentiels et de procéder avec prudence.
2. Validez l’identité de l’appelant
Les collaborateurs qui ont participé à la simulation ci-dessus ont toujours essayé de valider l’identité de l’appelant. Vous devriez suivre leur exemple. Lorsque vous recevez un appel suspect, demandez à l’appelant son nom complet, ses coordonnées et des informations sur l’organisation. N’hésitez pas à confirmer ces données avec des sources officielles, telles que le site web de votre organisation ou une communication antérieure.
3. Posez des questions difficiles
Déconcertez les attaquants potentiels en leur posant des questions auxquelles ils ne peuvent pas répondre facilement. Selon le contexte, posez des questions sur les interactions précédentes, les responsables ou des connaissances communes. En approfondissant la conversation, il est possible de mettre en évidence des incohérences et révéler la véritable nature de l’appelant.
4. Méfiez-vous des demandes urgentes
Les auteurs d’attaques d’hameçonnage évoquent souvent l’urgence pour influencer leurs cibles. Restez vigilant·e et examinez attentivement toute demande qui vous pousse à agir rapidement. Ne vous laissez pas acculer à prendre des décisions hâtives.
5. Vérifiez et signalez
En cas de doute, mettez fin à l’appel et contactez indépendamment le représentant officiel de l’institution. Il est essentiel de signaler les appels suspects, car cela contribue aux efforts collectifs de cybersécurité.
6. Éduquez et sensibilisez
Partagez ces informations avec l’ensemble de votre organisation. Tous les collaborateurs peuvent devenir la cible d’une attaque de vishing. Créez une culture de la cybersécurité et insistez sur l’importance du scepticisme.
6 étapes pour réussir un test de simulation de vishing
En organisant des simulations de vishing, vous donnez à votre équipe les moyens de reconnaître les menaces de vishing et d’y résister. L’objectif n’est pas de pointer du doigt ou de punir les collaborateurs qui font un faux pas, mais d’améliorer leur sensibilisation à la cybersécurité. Considérez chaque simulation comme une occasion de préparer vos collègues à affronter et déjouer les tactiques d’ingénierie sociale en toute confiance.
Étape 1 : Définissez les objectifs et la portée
Commencez par définir des objectifs clairs pour la simulation de vishing. Souhaitez-vous évaluer la réaction des collaborateurs face à des appels téléphoniques suspects ou évaluer l’efficacité du programme de formation à la sécurité de votre organisation ? Déterminez la portée de la simulation, y compris les départements, les collaborateurs ou les rôles spécifiques que vous avez l’intention de cibler.
Étape 2 : Obtenez l’approbation de la direction
Expliquez à la direction de votre entreprise l’objectif, les avantages et les résultats potentiels de l’exercice de vishing. Répondez à toute préoccupation et soulignez comment cette approche proactive peut aider à identifier les vulnérabilités et réduire le risque de véritables atteintes à la sécurité.
Étape 3 : Élaborez des scénarios
Élaborez des scénarios de vishing réalistes qui imitent les menaces potentielles auxquelles vos collaborateurs peuvent être confrontés. Envisagez des scénarios dans lesquels les appelants se font passer pour des techniciens du support informatique, des prestataires de services ou même des membres du personnel interne à la recherche d’informations sensibles. Élaborez un script convaincant et plausible, en veillant à ce qu’il contienne les signaux d’alerte typiques des tentatives de vishing, tels que l’urgence, l’intimidation et la demande de données confidentielles.
Étape 4 : Informez et formez les collaborateurs
Avant de tester les collaborateurs, rappelez-leur l’importance de la sensibilisation à la cybersécurité et encouragez-les à suivre les protocoles établis en cas d’appels suspects. Organisez des sessions de formation de remise à niveau au besoin.
Étape 5 : Évaluez les résultats
Après la simulation, rassemblez et analysez les données recueillies. Identifiez les tendances, les modèles et les domaines d’amélioration. Organisez une séance de débriefing avec les participants, afin de discuter de l’objectif de la simulation, de ses résultats et des enseignements tirés. Fournissez un feedback constructif et utilisez des exemples concrets pour souligner l’importance de la détection d’une attaque de vishing.
Étape 6 : Améliorez continuellement
Utilisez les enseignements tirés de la simulation de vishing pour affiner les programmes de formation à la sécurité, les politiques et les procédures de votre entreprise. Envisagez d’organiser régulièrement des simulations similaires afin de maintenir un niveau élevé de préparation des collaborateurs et leur permettre de s’adapter aux nouvelles menaces.
Êtes-vous prêt à mettre les défenses de votre équipe à l’épreuve ? Avec une bonne préparation, une simulation de vishing peut renforcer la posture de sécurité de votre entreprise.