Virus. Logiciel malveillant. Attaques DDOS et vers auto-réplicatifs. Il existe de nombreux jargons intimidants autour de la sécurité des technologies de l'information (TI). À l'ère de la cybercriminalité et du vol d'identité, il est important de disposer de mesures de sécurité capables de protéger les données sensibles. Mais il existe une autre menace pour la sécurité de vos informations qui n'est pas nécessairement celle des logiciels espions ou des virus informatiques. Il se pourrait en fait que ce soit vous et votre personnel.
Hacks d'ingénierie sociale
Nous avons déjà évoqué le lien entre le comportement du personnel et la sécurité des informations, mais il existe une autre menace bien plus sournoise pour la sécurité de vos informations. C’est ce qu’on appelle un hack d’ingénierie sociale, et il ne repose pas sur des codes informatiques complexes. Tout ce qu'il faut, c'est un opérateur qui parle doucement et un petit écart de jugement. Essentiellement, un hack d’ingénierie sociale cible les personnes plutôt que les machines. Les pirates sociaux incitent les gens à divulguer des informations qu'ils peuvent utiliser pour pénétrer plus profondément dans l'organisation.
Défendre votre organisation
Les hacks d’ingénierie sociale sont sournois et difficiles à contrer. Ils s’attaquent à notre inclination naturelle à être utile ou à réagir sans réfléchir à des situations stressantes. Mais vous pouvez prendre certaines mesures pour garder une longueur d'avance.
- Renseignez-vous.
- Déterminez quelles informations les pirates informatiques cibleront.
- Faites attention à ce que les gens demandent.
- Surveillez les menaces ou l’urgence.
- Rendez-le personnel pour les employés.
- Créez une politique.
- Tenez-vous-y !
Informez-vous ainsi que votre personnel !
La meilleure défense est de pouvoir reconnaître un piratage social au moment même où il se produit. Connaissant le différents types de hacks d'ingénierie sociale contribue grandement à nous défendre contre eux. Vous devez savoir quoi rechercher avant de pouvoir identifier une attaque d’ingénierie sociale.
Déterminez ce qui est important pour les criminels.
N'oubliez pas que les attaquants ne partagent pas la sensibilité de votre organisation quant à ce qui a de la valeur. Ou peut-être que vos évaluations d’informations sont les mêmes, mais pour des raisons différentes. Par exemple, les informations sur le maintien de la compétence sont importantes pour garantir que les membres sont au courant des meilleures pratiques. Cependant, les pirates peuvent utiliser ces informations pour usurper l'identité d'un membre et accéder à des informations encore plus sensibles.
Faites attention à ce que demandent les chercheurs d’informations.
Il est important de comprendre ce qui constitue une information sensible et ce qui ne l'est pas, ainsi que le prétexte utilisé pour une conversation. Si les informations demandées par quelqu’un ne correspondent pas à ce que vous attendez, prenez du recul. Par exemple, aucune entreprise réputée ne vous demandera jamais votre mot de passe. Ils disposeront d'un service informatique qui pourra de toute façon légitimement accéder à votre compte. Ainsi, si quelqu'un vous demande votre adresse e-mail ou votre mot de passe pour une raison quelconque, il y a de fortes chances que vous soyez la cible d'un piratage social.
Surveillez la pression ou l’urgence.
Les ingénieurs sociaux savent que nous faisons des erreurs lorsque nous sommes sous pression, et ils s'en servent contre nous. Ils vous remplissent la tête d'avertissements sur les conséquences désastreuses de l'inaction et peuvent même vous menacer de ce qui pourrait arriver si vous ne les aidez pas. Cela est particulièrement difficile pour les employés en contact direct avec les membres, qui doivent trouver un équilibre entre être utile et divulguer des informations dont les gens n'ont pas besoin. Assurez-vous que les employés comprennent qu'ils ne seront pas punis s'ils respectent votre politique, même si cela entraîne des désagréments.
Rendez-le personnel.
Les employés prennent la sécurité des informations plus au sérieux lorsqu'ils comprennent que leurs informations personnelles et leur identité sont également en danger. Les criminels ne respectent pas les frontières entre la maison et le travail ; S’ils découvrent une marque facile, les employés pourraient voir leur vie personnelle ciblée lors de futurs piratages. Les gens doivent être aussi scrupuleux en matière de sécurité au bureau qu’à la maison. Laisser un individu les suivre à travers une porte au bureau est tout aussi mauvais que laisser un étranger les suivre à travers la porte de la maison. Demandez aux employés ce qu’ils feraient s’ils voyaient un livreur traîner dans leur cuisine. Cela pourrait les aider à comprendre comment fonctionnent certains hacks sociaux et comment y remédier.
Rédigez une politique et assurez-vous que le personnel la comprend.
Une fois que vous et votre personnel connaissez les signes révélateurs d'un piratage social, ainsi que les informations sensibles que les pirates peuvent cibler, il est temps d'exploiter ces informations. Formulez une politique complète de sécurité des informations et assurez-vous que toutes les personnes ayant accès aux informations la comprennent.
Tenez-vous-y !
Les hackers sociaux s’appuient sur notre désir inné d’être utile et de nous protéger du danger pour accéder à des informations privilégiées. C'est pourquoi vous devez faire comprendre aux utilisateurs qu'ils doivent être forts face à des situations pénibles. Peu importe si vous entendez un enfant pleurer pendant que sa mère appelle l'assistance technique. C’est exactement le genre de situation qu’un hacker social exploitera. Vous pourriez rendre la journée de quelqu'un un peu plus difficile, mais la vôtre sera bien pire si vous provoquez accidentellement une violation. Les politiques ne veulent rien dire si elles ne sont pas mises en œuvre. Rassurez les employés sur le fait qu'ils ne peuvent pas se tromper, même dans des situations urgentes, en suivant la procédure.
Les hacks d’ingénierie sociale peuvent être difficiles à gérer car ils s’attaquent à nos meilleurs instincts. Nous avons une tendance naturelle à faire confiance pour aider lorsque nous le pouvons. Contrairement aux logiciels, les utilisateurs ne peuvent pas simplement télécharger la dernière mise à jour pour corriger nos systèmes. Les organisations doivent être vigilantes face aux hackers sociaux qui cherchent à utiliser notre meilleure nature contre nous.
Avez-vous d'autres conseils pour aider les organisations à se défendre contre les hacks sociaux ? Faites-le-nous savoir dans les commentaires ci-dessous.