« Donner le bâton pour se faire battre » : exposition à la menace
Lorsqu’une menace pèse sur une organisation ou une institution, les attaquants exploitent toutes les failles disponibles et quelle meilleure faille que la faille humaine ? « Aujourd’hui, les vulnérabilités humaines sont la principale porte d’entrée pour les cybercriminels. Ces derniers exploitent la masse d’informations accessibles en sources ouvertes (OSINT) et issues de fuites de données sur le dark web pour affiner leurs scénarii d’attaque : ingénierie sociale, hameçonnage (phishing), usurpation d’identité, compromission de comptes, fraude, etc. Pour eux, les données personnelles exposées sont une véritable mine d’or. »
L’exposition de l’humain en ligne représente donc un enjeu de sécurité publique en général et de sécurité des organisations en particulier. « Les profils publics, les empreintes numériques non maîtrisées ou les corrélations entre identifiants professionnels et usages personnels forment ainsi une surface d’attaque élargie, souvent peu couverte par les approches de cybersécurité techniques classiques. »
Les dirigeants d’entreprises particulièrement visés
L’étude « […] confirme [les] observations de terrain, notamment sur les dirigeants, où près de 70 % des membres de Comité exécutif (Comex) et Comité directeur (Codir) présentent un niveau de risque élevé à très élevé. Cette étude révèle qu’1 dirigeant sur 5 a au moins une adresse email professionnelle fuitée », explique les auteurs de l’étude.
Les professions les plus touchées sont souvent celles en lien avec les outils numériques, surtout dans un contexte de recrudescence des opérations d’ingénierie sociale. « 1 personne sur 4 travaillant dans les services marketing et communication est à très haut et haut risque. Ce constat est d’autant plus préoccupant que les attaques par ingénierie sociale — usurpation d’identité, phishing ciblé, fraude — sont désormais largement automatisées et alimentées par les fuites massives de données », soulignent-ils.
Usage, manipulation et instrumentalisation des données
Les attaquants utilisent les données (personnelles et professionnelles) pour parvenir à leurs fins, c’est pourquoi la protection des données devient un enjeu majeur. « Ces données sensibles — credentials, informations bancaires, données de santé, etc. — proviennent à la fois de la sphère professionnelle et personnelle. Or, plus une donnée est critique, plus elle est convoitée et exploitable par les attaquants. L’exposition numérique d’un collaborateur ne s’arrête pas à son périmètre professionnel : elle est intimement liée à son usage personnel du numérique. »
Différents facteurs peuvent expliquer cette augmentation de la menace : « Augmentation de la masse de données personnelles susceptible d’être utilisée par les pirates liée à l’usage massif et de plus en plus répandu des réseaux sociaux ; Attaques massives d’organismes publics ou privés dans le but de récolter les données personnelles critiques des utilisateurs ; Essor du télétravail et de la porosité entre la vie professionnelle et personnelle ; Perfectionnement des techniques d’OSINT (Open Source intelligence) utilisées par les attaquants ; Automatisation et industrialisation des attaques par ingénierie sociale (ex : phishing/smishing personnalisés, usurpation d’identité et de comptes) ; Montée en puissance des technologies Deepfake. »
La fuite de donnée peut même inclure la fuite d’une adresse physique, dans ce cas, le risque numérique peut inclure des conséquences bien réelles pour la vie personnelle du dirigeant mais aussi pour la sécurité des installations. « Si une adresse postale est exposée sur Internet, sur les réseaux sociaux ou se trouve dans une fuite de données, le risque ne se limite plus à la sphère numérique. Les menaces physiques existent bel et bien, et notamment lorsqu’il s’agit de dirigeants, de cadres stratégiques ou de personnes à forte visibilité. Il peut s’agir, entre autres, de : Chantage ciblé pour faire pression et avoir accès à des informations confidentielles ; Enlèvement ou intimidation de proches pour réclamer une rançon ; Tentative d’intrusion ou home-jacking ». Ces exemples ne sont plus si exceptionnels, à l’image notamment des affaires de rançon et de prise d’otage en lien avec les portefeuilles crypto.
Apprécier la menace cyber d’une organisation nécessite de l’analyser dans son ensemble en prenant en compte à la fois la menace cyber et les failles humaines et en incluant les usages professionnels et personnels du numérique car c’est la conjugaison de ces différents éléments et l’effacement des frontières, qui crée un risque de déstabilisation pour les entreprises, les organismes et les institutions.
Simon DOUAGLIN
Source : https://anozrway.com/fr/ressource/1ere-etude-sur-le-risque-cyber-humain/
