« Si tu peux voir détruit l’ouvrage de ta vie, et sans dire un seul mot, te mettre à rebâtir…tu seras un homme mon fils ». Ces quelques vers extraits du merveilleux poème de Rudyard Kipling (If, 1910), transposés aujourd’hui, font froid dans le dos. L’idée qu’une attaque cyber puisse détruire l’œuvre de toute une vie est tout simplement insupportable. Pourtant, les chiffres sont là : 60% des PME, pour plus de 80% des entreprises familiales, ne se relèvent pas d’une attaque cyber !
Le risque cyber est devenu la première menace pour les entreprises, de toute taille, et particulièrement pour les PME, souvent moins bien protégées : technologies au cœur de tous les métiers, télétravail, mobilité, ouverture du système d’information aux partenaires clients et fournisseurs, plateformes, cloud, IoT, donnée nouvel or noir, intelligence artificielle, hyper-sophistication des attaques, etc…ce nouveau monde numérique qui a envahi nos vies exacerbe le risque.
Les mesures techniques de sécurité sont impératives, au premier rang desquelles des sauvegardes externalisées et testées, des anti-virus et autres pare-feux, des contrôles d’accès complexes et mutiples, et des versions logicielles supportées par les éditeurs. Nécessaires, mais insuffisantes ! Les mesures organisationnelles sont au moins aussi indispensables, car 95% des incidents cyber sont dûs à une erreur humaine !
Qu’est-ce que la fraude par ingénierie sociale ?
On parle de fraude par ingénierie sociale, un concept ancien qui exploite les failles de la psychologie humaine. Transposée dans le domaine de la cybersécurité, elle consiste pour une personne malveillante à manipuler les collaborateurs de l’entreprise pour les amener à installer un logiciel malveillant ou à divulguer des informations.
La technique principale est l’hameçonnage (ou phishing), par tous les moyens, email, téléphone (vishing), sms (smishing), et ses dérivés comme l’hameçonnage ciblé sur une personne (spearphishing), et bien sûr le blocage des équipements et systèmes suivi d’une demande de rançon (ransomware). Ces techniques visent toutes à tromper la confiance des collaborateurs par usurpation d’identité à des fins lucratives, d’espionnage industriel, de déstabilisation, ou de vol de données. Sensibiliser, former et entraîner régulièrement est désormais une obligation pour développer la vigilance des équipes, et éviter de mettre l’entreprise en danger.
- Ne pas cliquer sur un lien, ouvrir une pièce jointe, appeler un numéro sans certitude sur la provenance de la demande et sur l’identité de l’interlocuteur
- Ne jamais communiquer identifiants, mots de passe, coordonnées bancaires, plus largement, toute information sensible, confidentielle ou stratégique
- Ne pas céder à l’intimidation, aux manipulations, aux demandes urgentes
- Alerter immédiatement le service informatique au moindre doute
Avec l’IA des fraudes qui se démultiplient
Phénomène nouveau et omniprésent depuis la sortie de ChatGPT fin 2022, l’Intelligence Artificielle, l’IA générative notamment, a multiplié par 14 les attaques d’ingénierie sociale. Entre les mains des criminels, l’IA facilite la collecte d’informations sur les cibles, à la fois quantitativement et qualitativement, affine la personnalisation des attaques, et génère des contenus diversifiés (texte, images, sons, etc…), le tout concourant à rendre la détection de plus en plus difficile. L’IA permet également d’automatiser toutes les étapes des attaques (envoi, traitement des réponses). Enfin, l’IA générative présente de nouveaux types de risques : manipulation (détournement du comportement du système), infection (altération des données) ou exfiltration (vol de données).
L’IA dope l’ingénierie sociale, et multiplie l’exposition des entreprises, et particulièrement de TPE et PME, démunies face à ces menaces pour leur compétitivité et leur existence même. Elles doivent impérativement développer leurs capacités à prévenir, détecter et réagir : protection des environnements techniques, sensibilisation et entraînement des équipes, sans oublier…assurance, car le risque zéro n’existe pas. COGITANDA est au service des TPE et PME, et les aide à survivre à une attaque cyber…car tel est l’enjeu !
Cet article a été rédigé par :
Régis DELAYAT
Directeur Général de COGITANDA France
COGITANDA répond à l’ensemble des besoins cyber des entreprises françaises, renforcement de leur prévention, couverture financière du risque résiduel au travers d’une assurance modulaire, et gestion de crise suite à une cyberattaque. La mise en œuvre de mesures de cybersécurité adaptées est impérative, pour une continuité opérationnelle, mais aussi pour transférer le risque résiduel à l’assurance. A défaut, les entreprises ne sont pas assurables. COGITANDA met à disposition des entreprises une équipe de 170 personnes entièrement dédiées au traitement de bout en bout du risque cyber.
Retrouvez notre guide complet sur la cybersécurité ⬇️
