Les exercices de la Red Team contre les attaques d’ingénierie sociale
Comment adopter une approche proactive concernant la stratégie de cybersécurité de votre organisation ? L’analyse du paysage des menaces et la mise en place d’un solide plan de réponse aux incidents constituent un bon début. Mais vous devez également rechercher en permanence les vulnérabilités et les faiblesses à corriger ou à atténuer. Ces vulnérabilités et ces faiblesses ne se limitent pas aux systèmes et aux processus : le facteur humain joue un rôle prépondérant dans de nombreuses atteintes à la cybersécurité.
Cet article examine les attaques d’ingénierie sociale qui exploitent les failles de la psychologie humaine et explique comment les simulations de la Red Team vous aident à améliorer votre résilience face aux attaques d’ingénierie sociale.
Qu’est-ce qu’une attaque par ingénierie sociale ?
On parle d’attaque par ingénierie sociale lorsqu’un acteur de la menace manipule des individus pour les amener à prendre certaines mesures ou à divulguer des informations privées en exploitant les failles de la psychologie humaine. Au lieu de cibler les vulnérabilités du système, ces attaques tirent parti de la peur, de la curiosité, de la confiance ou des préjugés cognitifs de la cible.
Dans le domaine de la cybersécurité, on constate souvent que l’élément humain est le maillon le plus faible de la chaîne. Les statistiques suivantes montrent à quel point les cybercriminels d’aujourd’hui profitent de nos faiblesses et ont recours aux attaques d’ingénierie sociale :
- Une organisation subit en moyenne 700 attaques d’ingénierie sociale chaque année.
- Entre 70 et 90 % des violations de données impliquent une technique d’ingénierie sociale.
- Une analyse portant sur 2 249 incidents de sécurité impliquant l’ingénierie sociale a révélé que près de la moitié d’entre eux ont entraîné la divulgation de données confidentielles ou sensibles.
Bien que la plupart des attaques modernes d’ingénierie sociale se produisent numériquement, la manipulation directe des cibles peut se produire dans des environnements physiques – les bureaux par exemple. L’auteur de l’attaque doit être présent sur le lieu de la cible pour que les attaques d’ingénierie sociale physique fonctionnent.
Comment se produisent les attaques d’ingénierie sociale ?
La majorité des attaques par ingénierie sociale se déroulent en quatre étapes distinctes :
- La reconnaissance : Lesattaques par ingénierie sociale commencent généralement par une phase de collecte d’informations au cours de laquelle l’auteur cherche à obtenir autant d’informations que possible sur une cible dans le but de maximiser ses chances de réussir son attaque par ingénierie sociale. Cette étape consiste notamment à parcourir les profils sur les réseaux sociaux, les sites web des entreprises, les archives publiques et d’autres sources en ligne. Les attaques physiques peuvent impliquer l’observation d’un lieu cible afin de déterminer les habitudes des employés qui entrent et sortent du bureau à des heures précises et de noter leur comportement.
- L’accroche : Cette étape critique constitue le point de départ de la manipulation psychologique. Parfois, l’hameçon est aussi simple et rapide que l’usurpation de l’identité d’une personne ou d’une entreprise en qui la victime a confiance grâce à un courriel, un SMS ou un appel téléphonique. Les attaques plus sophistiquées impliquent des étapes approfondies pour établir un rapport avec des cibles haut placées sur une période plus longue.
- L’exploitation : La troisième étape est celle où l’attaquant utilise l’engagement ou le rapport qu’il a établi avec une cible pour atteindre ses objectifs. Les types d’exploitation les plus courants sont les courriels contenant des pièces jointes malveillantes, les demandes d’informations sensibles ou même le fait d’amener une victime à tenir la porte ouverte pour que l’attaquant puisse accéder sans autorisation à un lieu physique.
- La sortie : L’étape finale est celle pendant laquelle l’interaction avec la victime prend fin, idéalement sans éveiller de soupçons. Une sortie en douceur permet de s’assurer que la victime ne se rend pas compte qu’une attaque a eu lieu et que l’identité de l’auteur reste inconnue.
Les types d’attaques par ingénierie sociale
Les acteurs de la menace disposent de nombreuses techniques d’ingénierie sociale. Voici quelques-uns des types d’attaques d’ingénierie sociale contre les organisations les plus courants.
Hameçonnage
Le phishing est un type de cyber-attaque dans lequel un fraudeur envoie des messages à une victime en prétendant provenir d’une entreprise réputée ou d’une personne de confiance. L’objectif d’une attaque de phishing est d’inciter la cible à divulguer des informations précieuses, comme ses données de connexion, ou à effectuer une action souhaitée, comme ouvrir une pièce jointe malveillante. Les messages arrivent le plus souvent par courrier électronique, bien que certains types de hameçonnage utilisent des messages textuels (smishing) ou des appels téléphoniques (vishing).
Appât médiatique
L’appât est un type d’ingénierie sociale qui fait appel à la curiosité des victimes. Nombreuses de ces techniques consistent à proposer à une cible des supports numériques attrayants, comme le téléchargement gratuit de musique ou de films, en échange d’informations de connexion ou de données privées. Certaines attaques par appât visent à exploiter la curiosité humaine en utilisant des supports physiques : des clés USB laissées dans un parking ou un ascenseur par exemple. L’appât est généralement infecté par un logiciel malveillant qui permet à l’attaquant d’accéder au système de la victime ou à son environnement informatique au sens large.
Physique
Outre l’utilisation de clés USB comme appât, une attaque courante d’ingénierie sociale physique consiste à suivre de près une personne autorisée afin d’entrer dans une zone restreinte sans authentification appropriée. Une autre technique d’ingénierie sociale physique consiste à se faire passer pour un entrepreneur, un employé, un livreur ou une autre personne apparemment digne de confiance afin d’obtenir un accès physique à une zone.
Contrer l’ingénierie sociale et stratégies d’atténuation
L’ingénierie sociale représente une menace importante pour toutes les entreprises. Elle peut entraîner des dommages financiers et des atteintes à la réputation, des violations de données et des perturbations opérationnelles. En s’attaquant aux vulnérabilités exploitées par ces types d’attaques, les entreprises peuvent réduire les risques, protéger leurs actifs et assurer la continuité de leurs activités.
- Améliorer la formation et la sensibilisation des employés : la défense contre l’ingénierie sociale commence par l’amélioration de la capacité des employés à remarquer les techniques et les tactiques couramment utilisées pour les piéger. Considérez la formation et la sensibilisation comme une tâche continue plutôt que comme une case à cocher une fois par an.
- Renforcer l’authentification : mettez en place une authentification multifactorielle pour les connexions à vos systèmes afin de contrer l’impact du phishing et d’autres attaques par ingénierie sociale qui volent les mots de passe des employés.
- Utiliser les outils de sécurité du courrier électronique : utilisez des solutions de sécurité du courrier électronique dotées de filtres puissants pour détecter les tentatives d’hameçonnage et empêcher qu’elles n’atteignent les utilisateurs finaux. Certains des outils les plus récents utilisent des algorithmes d’intelligence artificielle pour aider à détecter avec précision les signes d’escroquerie par hameçonnage.
- Attaques simulées : testez la résistance de votre organisation aux attaques d’ingénierie sociale à l’aide d’attaques simulées. Pourquoi ne pas engager une Red Team externe pour vous aider dans ces exercices ?
Qu’est-ce qu’un exercice Red Team ?
Une Red Team désigne un groupe de professionnels de la sécurité, connus sous le nom de « hackers éthiques », qui imitent les tactiques, les techniques et les procédures d’attaquants potentiels. Leur objectif est d’évaluer et d’améliorer l’efficacité de vos mesures de sécurité en simulant des attaques pour voir comment votre entreprise résisterait à des pirates informatiques réels.
Les missions de la Red Team diffèrent des tests de pénétration dans la mesure où ces derniers se concentrent sur l’identification de toutes les vulnérabilités d’un système, d’une application ou d’un réseau spécifique. Le red teaming, en revanche, est une approche plus vaste et moins intuitive qui simule des attaques réelles, en faisant preuve de la même créativité et de la même souplesse que celles des pirates du monde réel pour atteindre leurs objectifs.
Les éléments clés d’un exercice de red teaming efficace sont les suivants :
- Des objectifs clairs : Avant tout exercice de la Red Team, définissez clairement les objectifs à atteindre. Il peut s’agir de tester des systèmes spécifiques, d’évaluer les réactions du personnel à une attaque ou d’évaluer le niveau général de sensibilisation à la sécurité parmi les employés.
- Des scénarios d’attaque réalistes : Les équipes rouges devraient utiliser des tactiques, des techniques et des procédures (TTP) qui imitent les acteurs des menaces réelles auxquelles votre organisation est confrontée. Plus votre exercice sera proche des menaces réelles auxquelles vous faites face, mieux votre organisation sera préparée.
- Un rapport et un débriefing appropriés : À l’issue de la mission, vous devez disposer d’un rapport complet détaillant les actions de la Red Team, les vulnérabilités découvertes et les recommandations d’amélioration. Une réunion de débriefing est également utile pour discuter en personne des résultats et des prochaines étapes.
- L’indépendance : Bien que certaines entreprises disposent de leurs Red Team en interne, la meilleure approche consiste à adopter un point de vue véritablement extérieur, qui ne peut être obtenu qu’auprès d’une équipe indépendante. Idéalement, cette équipe connaîtra très bien le secteur d’activité, les réglementations et le paysage des menaces de votre entreprise.
Les considérations éthiques d’une Red Team
Les missions d’une Red Team sont par nature intrusives. Toute bonne équipe rouge tient compte de considérations éthiques dans son travail (après tout, on les appelle des hackers éthiques). L’une de ces considérations est l’obtention du consentement de la direction de l’entreprise et d’autres parties prenantes importantes. Les considérations éthiques doivent également jouer dans les cas où une entreprise solliciterait une une équipe rouge afin de pirater des services qu’elle ne possède pas, comme un environnement de cloud public.
Le red teaming doit également se conformer aux exigences réglementaires qui s’appliquent aux entreprises et aux secteurs d’activité. Certaines activités peuvent être illégales et une violation de la loi peut avoir des conséquences juridiques et nuire à la réputation de votre organisation.
Comment les missions de red teaming d’Outpost24 renforcent la résilience contre l’ingénierie sociale
Outpost24’s offre aux entreprises des évaluations approfondies de red teaming par notre équipe interne de hackers éthiques qualifiés. Nous concevrons des e-mails de phishing personnalisés pour cibler les utilisateurs, nous utiliserons des documents/fichiers pour piquer la curiosité et nous essaierons même d’accéder à vos locaux (avec votre permission) pour évaluer le niveau de sensibilisation à l’ingénierie sociale. Nos rapports détaillés fournissent des informations exploitables qui permettent à votre entreprise de mieux résister aux attaques d’ingénierie sociale les plus répandues.