Search
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Check Point : Prés d’une entreprise sur deux est victime d’attaques d’ingénierie sociale

septembre 2011 par Check Point

Check Point® Software Technologies Ltd. dévoile les résultats d’une nouvelle étude révélant que 48% des entreprises interrogées ont été les victimes d’attaques d’ingénierie sociale, et subi jusqu’à 25 attaques, voire plus, au cours des deux dernières années, chaque incident de sécurité se soldant par une facture de 25 000 $ à plus de 100 000 $. Ce rapport, intitulé The Risk of Social Engineering on Information Security (Le risque de l’ingénierie sociale pour la sécurité de l’information), prouve que le phishing (ou l’hameçonnage) et les outils et applications des réseaux sociaux sont actuellement les sources les plus fréquentes des attaques par voie d’ingénierie sociale. Un tel constat devrait inciter les entreprises à mettre en place un solide plan de défense, combinant à la fois solutions technologiques et meilleure sensibilisation des utilisateurs, afin de réduire la fréquence et le coût de ces attaques.

Les attaques d’ingénierie sociale ciblent en général les personnes disposant de connaissances implicites ou d’un accès aux informations sensibles. Les pirates exploitent aujourd’hui toute une gamme de techniques et d’applications de réseaux sociaux pour recueillir des données personnelles et professionnelles sur les individus, et trouver ainsi les maillons faibles d’une entreprise. Selon cette enquête internationale qui a interrogé plus de 850 professionnels de l’informatique et de la sécurité, 86% des entreprises admettent être de plus en plus préoccupées par l’ingénierie sociale, tandis que la majorité des répondants (51 %) citent l’appât du gain comme la motivation principale des attaques, suivi de la recherche d’atouts concurrentiels et des actes de vengeance.

« Selon cette enquête, près de la moitié des entreprises sont conscientes d’avoir subi des attaques d’ingénierie sociale. Sachant qu’un grand nombre de ces attaques passent inaperçues, on est en droit de penser que l’ingénierie sociale est un vecteur d’agression fort répandu et particulièrement redoutable qu’il convient de ne pas ignorer, » affirme Oded Gonda, directeur adjoint (VP), responsable des produits de sécurité réseau chez Check Point Software Technologies.

Les techniques d’ingénierie sociale consistent à exploiter les vulnérabilités d’un individu. Ainsi, la généralisation du Web 2.0 et de l’informatique nomade a grandement facilité l’acquisition d’information sur les personnes, et a créé de nouvelles failles permettant d’orchestrer ce nouveau type d’attaques. Les nouveaux embauchés (60 %) et les sous-traitants (44 %), moins bien familiarisés avec les politiques de sécurité de l’entreprise, sont considérés comme les plus exposés aux stratagèmes de l’ingénierie sociale, ainsi que les fournisseurs, les assistants, les personnels des ressources humaines et des services informatiques.

« En définitive, les individus sont un élément essentiel du processus sécuritaire, car ils peuvent très bien se faire manipuler par les criminels et commettre des erreurs, menant à une contamination par des logiciels malveillants ou à des pertes accidentelles de données. De nombreuses entreprises ne prêtent pas suffisamment attention aux utilisateurs, alors qu’en fait, ce sont eux qui devraient être la première ligne de défense », ajoute Oded Gonda. « Une bonne méthode pour améliorer la sensibilisation des utilisateurs à la sécurité est de les faire participer au processus sécuritaire et de leur donner les outils adéquats pour empêcher ou résoudre eux-mêmes les incidents de sécurité en temps réel. »

Pour protéger comme il se doit les environnements informatiques modernes, les entreprises, plutôt que d’accumuler des technologies de sécurité disparates, doivent mettre en œuvre un processus métier efficace. Check Point 3D Security aide les entreprises à appliquer un modèle de sécurité qui, au-delà de la protection technologique, permet de former les salariés en les faisant participer au processus. « Tout comme les salariés peuvent commettre des erreurs fatales, à l’origine de violations ou d’attaques sur le réseau de l’entreprise, ils peuvent aussi jouer un rôle important dans l’atténuation des risques », ajoute Oded Gonda. La technologie inédite de Check Point, UserCheck™, permet de sensibiliser et de former les salariés aux politiques de l’entreprise en matière d’accès au réseau, aux données et aux applications. L’entreprise réduit ainsi la fréquence, le risque et les coûts liés aux techniques d’ingénierie sociale.

Résumé des principaux résultats du rapport :

· Les menaces par voie d’ingénierie sociale sont bien réelles – 86% des professionnels de l’informatique et de la sécurité sont sensibilisés, ou fortement sensibilisés, aux dangers de l’ingénierie sociale. Environ 48 % des entreprises interrogées ont reconnu avoir été les victimes d’attaques d’ingénierie sociale à plus de 25 reprises au cours des deux dernières années.

· Les attaques d’ingénierie sociale coûtent cher – Les participants à l’enquête ont estimé que chaque incident de sécurité coûtait de 25 000 $ à plus de 100 000 $. Ces chiffres tiennent compte des interruptions de l’activité métier, des dépenses des clients, de la perte de revenus et de la détérioration de l’image de l’entreprise.

· Les sources d’ingénierie sociale les plus répandues – Les emails de phishing sont cités comme la source la plus courante des techniques d’ingénierie sociale (47 %), suivis des sites de réseaux sociaux susceptibles de dévoiler des informations personnelles et professionnelles (39 %) et des terminaux mobiles mal sécurisés (12 %).

· L’appât du gain est la motivation première de l’ingénierie sociale – L’appât du gain est cité comme la raison la plus courante des attaques d’ingénierie sociale, suivi de l’accès aux informations propriétaires (46 %), de la recherche d’atouts concurrentiels (40 %) et des actes de vengeance (14 %).

· Les nouveaux embauchés sont les plus vulnérables aux techniques d’ingénierie sociale – Selon les participants de l’enquête, les nouveaux embauchés sont fortement exposés aux dangers de l’ingénierie sociale, suivis des sous-traitants (44 %), des assistants de direction (38 %), des ressources humaines (33 %), des responsables d’activité (32 %) et des informaticiens (23%). Quel que soit le rôle d’un salarié dans l’entreprise, la mise en œuvre d’une formation adaptée et d’une bonne sensibilisation est vitale pour toute politique de sécurité.

· Il y a un manque de formation proactive visant à empêcher les attaques d’ingénierie sociale – 34 % des entreprises n’ont pas mis en place de formation des salariés ou de politique de sécurité pour faire barrage aux attaques d’ingénierie sociale, mais 19 % d’entre elles projettent cependant de le faire.

L’enquête, intitulée The Risk of Social Engineering on Information Security (Le risque de l’ingénierie sociale pour la sécurité de l’information), a été réalisée en juillet et août 2011, et sondé plus de 850 professionnels de l’informatique et de la sécurité aux États-Unis, au Canada, au Royaume-Uni, Allemagne, Australie et Nouvelle-Zélande. L’étude porte sur des entreprises de toutes tailles et divers secteurs d’activité (finance, industrie, défense, distribution, santé et éducation). Pour en savoir plus sur l’ingénierie sociale et apporter votre contribution, consultez le rapport complet et répondez à l’enquête en ligne ici : http://www.checkpoint.com/surveys/s....

« La sécurité n’est pas seulement l’affaire des administrateurs informatiques : elle doit faire partie du rôle de chaque professionnel. Alors que le marché est confronté à une augmentation des menaces ciblées et sophistiquées, la participation des utilisateurs permet précisément d’optimiser l’intelligence et l’efficacité des technologies de sécurité, » conclut Oded Gonda.


Voir les articles précédents

    

Voir les articles suivants