Début 2023, la Cybersecurity and Infrastructure Security Agency (CISA), la National Security Agency (NSA) et le Multi-State Information Sharing and Analysis Center (MS-ISAC) ont publié un communiqué conjoint concernant l’augmentation de l’utilisation malveillante des logiciels de gestion à distance et d’accès à distance. Nous nous sommes entretenus avec Jerry Hsieh, vice-président de la sécurité et de la conformité chez Splashtop, au sujet de ces attaques et de la manière dont les utilisateurs de ces outils peuvent se protéger et protéger leur entreprise.
Comment les cybercriminels utilisent-ils les logiciels d’accès à distance à des fins malveillantes ?
En juin 2022, des cybercriminels ont coordonné une campagne de spear phishing visant des fonctionnaires. Celle-ci incitait les fonctionnaires à effectuer les actions suivantes :
Appel provenant d’un numéro inconnu usurpant l’identité d’un technicien informatique ou du service d’assistance, qui incite l’employé à se rendre sur un site Web étrange.
Ce site Web douteux fournissait des instructions sur le téléchargement et l’installation d’un logiciel d’accès à distance.
L’employé procède à l’installation du logiciel, ce qui permet au cybercriminel d’accéder à l’appareil.
La manière dont ces cybercriminels utilisent les logiciels d’accès à distance n’est pas inhabituelle. Ce qu’ils exploitent ici, c’est la faiblesse humaine.
« Les êtres humains sont le maillon faible en matière de cybersécurité », déclare Jerry Hsieh, vice-président chargé de la sécurité et de la conformité chez Splashtop.
Les cybercriminels se font passer pour des collègues de confiance et ciblent les employés moins avertis en matière de cybersécurité. En exploitant cette faiblesse, un employé peut télécharger un logiciel d’accès à distance à la demande du cybercriminel, qui peut alors accéder à l’appareil de la victime.
La plus grande menace pour la cybersécurité ne relève pas de la technologie
« Les employés me transmettent sans cesse des messages de phishing », explique M. Hsieh. Fort d’une expérience de plusieurs dizaines d’années dans le domaine de la cybersécurité, M. Hsieh a vu son lot d’attaques ingénieuses à l’encontre des entreprises. Après plusieurs décennies, il constate qu’il existe un point commun entre toutes ces attaques : la faiblesse humaine.
« Un stagiaire ou un jeune diplômé peut annoncer sur LinkedIn qu’il a pris de nouvelles fonctions dans une entreprise, explique M. Hsieh. Les cybercriminels peuvent cibler ce stagiaire et l’identifier comme un point faible, puis le viser pour obtenir un accès. »
Atténuer les attaques de cybersécurité
Lorsqu’il s’agit de limiter les attaques de cybersécurité, il est important d’identifier toutes les vulnérabilités potentielles. En ce qui concerne la dimension sociale, M. Hsieh a une suggestion à faire.
« La meilleure façon de prévenir les attaques de phishing est d’être sceptique à l’égard de tout, déclare M. Hsieh. En cas de doute, demandez à votre équipe de sécurité. »
Le phishing et les autres tactiques d’ingénierie sociale sont parmi les moyens les plus faciles pour les cybercriminels d’obtenir un accès plutôt que d’avoir recours à la force brute. Voici quelques moyens d’éviter que cela ne se produise.
Adopter des stratégies de formation rigoureuses en matière de sécurité
Si les êtres humains sont le maillon faible de la cybersécurité, la meilleure chose que vous puissiez faire est de doter vos employés des défenses et de la formation appropriées. Testez régulièrement vos employés sur les bonnes pratiques en matière de cybersécurité et adoptez des stratégies de protection pour votre entreprise.
Certaines bonnes pratiques courantes, telles que l’application de l’authentification multifactorielle, l’adoption d’outils d’authentification unique ou l’obligation pour vos employés de changer régulièrement de mot de passe, sont un bon point de départ. Même si elles n’empêcheront pas l’ingénierie sociale, elles les aideront à comprendre l’importance de la sécurité et à réfléchir davantage aux raisons pour lesquelles la protection des données est importante.
Lorsque vous formez vos employés aux pratiques de sécurité, veillez à aborder les thèmes du phishing et des ransomwares. Avec l’essor de l’IA générative, ces tentatives de fraude deviennent de plus en plus sophistiquées et se font passer pour de véritables employés, allant jusqu’à modéliser leur façon de communiquer et à imiter leurs relations avec leurs collègues de travail. Un moyen facile de s’assurer que les demandes reçues par les employés sont légitimes est de confirmer la communication sur des canaux différents ou, mieux encore, en personne.
Encourager le scepticisme et bannir la honte
Pour protéger vos employés, il est essentiel d’instaurer une culture permettant de signaler en toute sécurité les comportements suspects. Si un employé a des préoccupations potentielles en matière de sécurité, des processus doivent être mis en place pour qu’il puisse les signaler d’une manière qui minimise les répercussions négatives pour lui.
« Les gens ont peur d’être punis, explique M. Hsieh. Les ransomwares peuvent cibler des habitudes embarrassantes, et ils ne veulent pas être humiliés. »
Le sentiment de culpabilité est un obstacle majeur qui empêche les employés de signaler les problèmes de cybersécurité. Vous pouvez éviter cela en encourageant les employés à signaler les problèmes plutôt qu’en les punissant pour une erreur potentielle. La meilleure façon d’y parvenir est de clarifier votre politique de signalement et d’indiquer clairement ce qui arrive aux employés si des atteintes à la cybersécurité se produisent sur leur compte. La meilleure façon d’éviter cela est de minimiser la responsabilité : le problème n’est pas votre employé, mais le cybercriminel qui cherche à le cibler.
Donner accès aux sources de données selon le principe du « besoin de savoir »
Réduire au minimum l’accès aux données est une autre bonne pratique de cybersécurité à la fois simple et courante qui peut contribuer à prévenir les fuites de données et les violations importantes. Imaginez qu’un cybercriminel réussisse à pirater un stagiaire à l’aide d’un logiciel d’accès à distance : à quelles données aurait-il accès ?
Si vous donnez à chaque employé un accès illimité, il sera plus facile pour les cybercriminels de cibler votre organisation. Au lieu de cela, accordez les accès uniquement aux employés qui en ont besoin. Ainsi, si un employé est pris pour cible, la quantité de données auxquelles le criminel aura accès se limitera à ce sur quoi travaille cette personne et ne compromettra pas l’ensemble de l’organisation.
Il n’existe pas d’outil de sécurité parfait
La cybersécurité s’adapte et évolue constamment, ce qui signifie que les moyens utilisés par les cybercriminels pour contourner les logiciels deviendront de plus en plus sophistiqués.
« La sécurité parfaite n’existe pas, affirme M. Hsieh, on peut simplement faire de notre mieux. »
M. Hsieh et l’équipe de Splashtop appliquent ce principe pour rester en permanence sur le qui-vive et trouver de nouvelles façons de faire face à l’évolution constante des technologies. Si votre équipe cherche à améliorer ses processus de cybersécurité, envisagez Splashtop Secure Workspace.
Splashtop Secure Workspace est une plateforme d’accès sécurisé qui permet de sécuriser l’accès aux comptes de votre équipe, de soutenir les employés en télétravail et de simplifier les connexions, le tout dans une plateforme conviviale et centralisée. Découvrez comment vous pouvez sécuriser votre espace de travail avec Splashtop.
