NEW YORK – Disposant des informations les plus sensibles de leur entreprise, les cadres dirigeants sont devenus la cible principale des attaques de « social-engineering », signale le Data Breach Investigations Report (DBIR) 2019 de Verizon. En effet, les cadres dirigeants sont 12 fois plus susceptibles de subir des incidents sur leurs données personnelles et 9 fois plus ciblés par les cyberattaques, de même type, que les années précédentes - la motivation financière demeurant le principal moteur.
Ces attaques d’ingénierie sociale ou « social-engineering » (12 % des piratages de données analysées) constituent l’un des principaux sujets du rapport de cette année, qui souligne l’importance de sensibiliser TOUS les employés à l’impact potentiel du cybercrime, quel que soit leur niveau hiérarchique.
« Les entreprises utilisent de plus en plus d’applications basées sur les technologies toujours plus innovantes, fournissant ainsi des informations et des expérience fiables. Les données de la supply chain, la vidéo et autres données cruciales - souvent personnelles - seront rassemblées et analysées à une vitesse fulgurante, ce qui modifiera la façon dont les applications utilisent les capacités d ‘un réseau sécurisé. », explique George Fischer, président de Verizon Global Enterprise.
« Lors de la mise en œuvre de ces nouvelles applications et architectures, la sécurité doit rester au cœur. L’hygiène informatique et la sécurité des infrastructures sont des enjeux titanesques lors qu’il s’agit de réduire les risques. Tout commence par un état des lieux de la menace, de votre position et de la compréhension associée des risques engendrés. Et cela, afin que vous puissiez élaborer et déployer un plan solide pour protéger votre entreprise contre la réalité de la cybercriminalité. La connaissance, c’est le pouvoir, et le DBIR de Verizon offre aux organisations, grandes et petites, une vue d’ensemble complète du paysage de la cybermenace d’aujourd’hui afin qu’elles puissent développer rapidement des stratégies de défense efficaces. »
Une attaque par faux-semblant perpétrée avec succès à l’encontre d’un cadre supérieur peut se révéler très fructueuse en raison de son autorité d’approbation (souvent jamais contestée) et de son accès privilégié aux systèmes stratégiques. Souvent sous pression et confrontés à des délais serrés, les cadres dirigeants parcourent rapidement leurs e-mails (ou disposent d’assistants qui les gèrent pour eux), favorisant ainsi le passage des messages suspects entre les mailles du filet.
La réussite croissante de ces attaques telles que les compromissions d’e-mails professionnels (370 incidents ou 248 compromissions confirmées parmi ceux analysés) peut être liée à la combinaison nuisible d’un environnement professionnel stressant et d’un manque de formation aux risques du cybercrime.
Les conclusions de ce rapport signalent aussi à quel point la tendance des entreprises à partager et stocker des informations au moyen de solutions cloud peu coûteuses, les expose à des risques de sécurité supplémentaires. Les analyses ont mis en lumière le recours croissant à la compromission des comptes email dans le cloud à l’aide d’identifiants de connexion dérobés. En parallèle, les erreurs de publication sur le cloud augmentent d’année en année. Les erreurs de configuration ont donné lieu à de nombreux piratages à grande échelle dans les services de stockage de fichiers cloud, ce qui a entraîné la divulgation de 60 millions d’éléments analysés par la base du DBIR. Elles représentent 21 % des piratages causés par des erreurs.
Bryan Sartin, Directeur Exécutif des services de sécurité professionnels de Verizon, déclare : « Alors que les entreprises adoptent de nouvelles méthodes de travail digitalisées, bon nombre d’entre elles n’ont pas conscience des nouveaux risques de sécurité auxquels elles peuvent faire face. Il est essentiel qu’elles accèdent à des outils de cyber-détection leurs permettant d’obtenir une vue journalière de leur politique de sécurité accompagnée de statistiques relatives aux dernières menaces informatiques. Elles doivent considérer la sécurité comme un atout stratégique flexible et intelligent contribuant en permanence aux activités de l’entreprise et ayant une incidence sur leur chiffre d’affaire. »
Possibilité d’interview et rapport complet disponible sur demande