[AD] Sensibilisation des métiers supports à la cybersécurité

Identifier vos

essentiels

et renforcer votre

cyber stratégie

Consulting

&

Services

Identifier vos

essentiels

et renforcer votre

cyber stratégie

Consulting

&

Services

Sensibilisation à la Cybersécurité Assistant de direction

Plan

Introduction

I. Présentation de l’environnement métier

II.Exemples d’attaques

III.Règles et solutions à suivre

Introduction

Qu’est ce que la cybersécurité ?

C’est ce qui permet de protéger l’entreprise

des attaques qui pourraient compromettre

les données, services, et tout autres éléments

du système d’information.

Introduction 9ème pays le plus

touché par les

cyberattaques

431M de

malwares

différents

5 585 nouvelles

vulnérabilité

découvertes en 2015

Le danger est bien présent :

Introduction

Le danger est bien présent :

992M

attaques de

rançongiciels

par jour

Un total de 362K

rançongiciels

différents en 2015

1 e-mail sur

220 contient

un malware 46 attaques de

spear phishing

par jour

1 e-mail sur 1846

est un e-mail de

phishing

Introduction

60 % des

PME ferment

après une

attaque

80 % des

attaques sont liés

au facteur humain

77 % des

attaques concernent

les PME

Pourquoi cette formation ?

Environnement Métier

Assistant de direction

1. Environnement

Comptes rendu

de réunion

Dates des

rendez-vous

Finances de

l’entreprise (RIB, carte

bleue, factures, …)

Informations sur

les partenaires et

les clients

Evènements

marquants, actualité

quelconque pouvant

être utilisée

Informations sur la

direction

(coordonnées, etc)

Données accessibles

1. Environnement

Ingénierie sociale

Espionnage industriel

Détournement d’argent

Informations sur

les partenaires

et les clients Finances de

l’entreprise (RIB, carte

bleue, factures, …)

Dates des

rendez-vous

Informations sur la

direction

(coordonnées, etc)

Evènements

marquants, actualité

quelconque pouvant

être utilisée

Comptes rendu

de réunion

Pourquoi ces données sont elles intéressantes pour les cybercriminels ?

Attaques types


II. Exemples d’attaques

L’ingénierie sociale, ou social engineering, est une forme d’acquisition déloyale d’information

personnelle dans le but d’obtenir d’autrui un bien, un service ou des informations confidentielles.

Pour cela, l’escroc utilise son charisme et ses connaissances et il exploite la confiance, la

crédulité et la courtoisie des gens. Il aime usurper l’identité d’autrui.

Il y a plusieurs méthode d’ingénierie social, les deux plus communes sont :

o La récolte d’information « directe » (réseau sociaux, contact direct)

o Le phishing et Spear phishing

L’ingénierie social est très souvent utilisé en tant que première étape d’une attaque

informatique. Elle permet de réunir les informations qui seront nécessaire à cette attaque

1. L’ingénierie sociale

II. Exemples d’attaques Les réseaux

sociaux

La première étape consiste à collecter le maximum d’information sur les réseaux sociaux

L’escroc peut facilement connaitre :

o Votre adresse, adresse mail, numéro de téléphone, …

o Votre entreprise et lieux de travail, ainsi que votre poste

o Si vous êtes en congé ou non

o Toutes autres informations ou détails utilisables pour renforcer sa crédibilité


II. Exemples d’attaques Contact direct

L’escroc continu sa pêche aux infos en usurpant des identités,

en jouant sur la naïveté et la bonté des gens. Il peut :

Utiliser une fausse

adresse mail

Usurper une identité

au téléphone

L’escroc peut usurper l’identité :

o D’un collaborateur

o D’un client

o D’un employé absent



Le phishing est une technique utilisée pour obtenir des renseignements personnels. Elle consiste à faire

croire que la victime s’adresse à un tiers de confiance (banque, collègues, administration, etc)

Il peut se faire par :

o Mail

o Sites web

o SMS (SMishing)

Le phishing


II. Exemples d’attaques Le phishing

Username

Password

Votre banque / application /

client …

Les mails de phishing vous

demandent de remplir un

formulaire ou vous redirigent vers

un lien.


Le phishing utilise des adresses web

déguisées !

II. Exemples d’attaques Le phishing

Exemple de phishing par mail :

Ce formulaire vous

demandera très

surement plein

d’information très

intéressantes Syntaxe

étrange


II. Exemples d’attaques Le Spear

Phishing

Le spear phishing est du phishing grandement personnalisé

et vise une seule personne (ou un petit groupe)

Username

Password

Bonjour Mr Martin, je suis

votre banquier

Le spear phishing est

encore plus discret que le

phishing

L’attaquant possède déjà

des informations sur vous



Finalement l’escroc peut accéder aux informations qui l’intéresse vraiment

L’information

recherchée

o Adresse

o Email

o Numéros de téléphone

o Horaires de travail

o Habitudes

o Manière de communiquer

o …

o Nouveaux projets

o Situation juridique

o Situation financière

o Politique de l’entreprise

o Réussites et échecs de

l’entreprise

o …

Celles qui concernent le directeur

Celles qui concernent l’entreprise en général


La deuxième utilité est d’accéder à des données

confidentielles de l’entreprise


1. L’ingénierie sociale Dans quel but ?

Espionnage industriel

Spear phishing

Arnaque au président

Ces informations peuvent être utilisées de plusieurs manières :

Ingénierie sociale

Le but principale est d’acquérir des connaissances qui

permettrons de mieux attaquer les collègues,

partenaires, clients, … L’attaque la plus courante est l’arnaque au président : se faire passer

pour le président pour demander à un comptable de détourner de

l’argent


2. Les dangers du B.Y.O.D.

Le B.Y.O.D. ou Bring Your Own Device est le fait d’utiliser du matériel personnel* à des

fins professionnelles. *smartphone, tablette, ordinateur portable, …

Même s’il ne s’agit pas de B.Y.O.D., utiliser un compte personnel (google, mail, cloud, etc) pose les

mêmes problématiques.


Répondre à un mail professionnel depuis son

ordinateur personnel ou mail personnel

Finir / reprendre / modifier un document chez soit

depuis un ordinateur personnel

Envoyer des documents professionnels vers son

compte cloud personnel (Google Drive, iCloud

Drive,…) pour les retrouver sur son ordinateur

personnel

Utiliser son matériel personnel

pour le travail


Ce qui amène à l’utilisation de matériel / compte personnel :



Pourquoi est-ce dangereux ?

L’accès à distance des données de l’entreprise

Le contrôle d’accès souvent faible (mot de passe

simple ou absent)

Les logiciels ne sont pas mis à jour (antivirus, suite

Office)

Le vol (dans un train, dans la voiture, à l’arraché)

Les données ne sont généralement pas chiffrées

II. Attaques types


Quelles sont les conséquences ?

La fuite de données sensibles et donc : un risque

d’espionnage industriel

Le B.Y.O.D. est très souvent un point d’entrée pour

les malwares

II. Attaques types

3. Les rançongiciels

Un rançongiciel ou ransomware est un programme informatique malveillant

qui prend en otage les données d’un système informatique en les chiffrant.

Le rançongiciel s’active à l’ouverture de la

pièce jointe ou à l’activation des macros s’il

s’agit un document de la suite Office

• Moyens de propagations :

Pièces jointes Clé USB

Exemple du rançongiciel Locky

II. Attaques types

3. Les rançongiciels

Une fois les données chiffrées, l’ordinateur affiche les

instructions à suivre pour payer la rançon en échange

de la clé permettant le déchiffrement

Exemple de fond d’écran du rançongiciel Locky Le prix moyen d’une

rançon est de 640 € Mais il peut aussi être de

plusieurs milliers d’euros

Payer la rançon ne permet pas toujours

d’avoir la clé ! Sur les 50% des décideurs IT qui décident de

payer, seulement 32% d’entre eux récupère

réellement la clé

Règles et solutions


III. Règles et solutions

Règle :

Ne divulguez pas trop d’informations sur internet

Les informations que vous complétez dans les réseaux sociaux peuvent

être publiques et visibles par tout le monde.

A minima, n’autorisez l’affichage de vos informations qu’à vos contact,

afin de maitriser la diffusion de celles-ci.

a) Collecte d’informations

1. Ingénierie sociale


Règle n°1 :

Analysez le contenu du mail.

• Adresse mail : Lorsque vous êtes face à un mail de phishing, l’adresse le mail semble venir d’un

tiers de confiance telle une organisation, un partenaire, un collaborateur, et peut être une parfaite

copie de l’originale.

Ne vous fiez pas uniquement à cette adresse, elle peut être usurpée.

• Elément joint : Si c’est un lien, survolez le lien afin de voir l’adresse vers lequel il redirige.

Si c’est une pièce jointe, portez attention sur le format de cette ci, s’il est inhabituel, ne lui accordez

pas votre confiance.

• Orthographe : Les mails de phishing ont pendant longtemps été reconnaissables par leurs fautes

d’orthographe. Même s’il en contiennent aujourd’hui de moins en moins, recherchez-les ainsi que les

erreurs de syntaxe.

Vérifier la cohérence du mail dans son ensemble.

b) Le phishing



Règle n°2 :

Ne renseignez pas de données sensibles.

Dans le cas où vous n’auriez pas identifié un mail de phishing, et que vous avez cliqué sur le lien contenu

dans le mail.

Ce lien pourra vous rediriger vers le site web d’un tiers de confiance. Ce site sera une copie d’un vrai site,

à la différence qu’il vous invitera à remplir des données confidentielles telles que des informations

bancaires sur un formulaire.

Aucun n’organisme n’est amené à vous demander ce genre d’informations, quittez ce site sans compléter

les informations demandées.

b) Le phishing



Règle :

Soyez encore plus vigilent.

Le spearphishing étant similaire au phishing, à la différence qu’une collecte d’informations sur vous et votre

environnement a été faite au préalable afin de d’accroitre la crédibilité du message. Le message sera plus

crédible que le phishing de part :

• Son format : il ne contiendra que peut de fautes de syntaxe ou d’orthographe.

• Son contenu : il sera très pertinent avec des informations très précises, il pourra évoquer des

collaborateurs, des projets sur lesquels vous êtes impliqués.

Méfiez vous des demandes que vous jugerez « inhabituelles».

c) Le spearphishing




Règle n°1 :

N’enregistrez pas de données professionnelles sur

vos appareil personnels.

Bien que le côté pratique vous y incite, enregistrer des données de votre entreprise

revient à mettre en danger votre entreprise.

Votre appareil personnel ne possède pas toutes les protections nécessaires à protéger les

données qu’il contient.

Ce manque de sécurité permettra à un attaquant d’accéder au contenu de votre appareil,

et donc aux potentielles données sensibles qu’il contient.


Règle n°2 :

N’utilisez vos appareils personnels que dans

un cadre prédéfini. Incitez votre entreprise à mettre en place des mesures permettant aux

employés d’utiliser leur matériel personnel dans un cadre défini.

La politique de sécurité sur les matériels sera ainsi appliquée sur vos appareils

que vous pourrez utiliser en toute sécurité.



3. Rançongiciel

Règle :

Méfiez vous des mails suspects. Contrôlez les éléments principaux d’un mail :

• L’expéditeur : vérifiez son adresse, si celle si vous est inconnu, le

message est d’autant plus suspect.

• L’objet : il fera souvent référence à une facture. Vérifiez la cohérence de

celle-ci avec l’expéditeur. Si vous n’attendez pas ce genre d’élément pour

un expéditeur donné, il s’agit certainement d’un leurre.

• L’élément joint : si celui-ci vous invite à activer les macros, redoublez de

vigilance, surtout s’il s’agit d’un document que vous n’attendiez pas.


Règle :

Choisissez un mot de passe long et avec

plusieurs type de caractères

o Une longueur de 8 caractères est un minimum.

o Utilisez des majuscules, des minuscules, des chiffres et des

caractères spéciaux.

o Utilisez des phrases comme moyen mnémotechnique.

4. Bien choisir son mot de passe

Exemple : le père Fouras connait deux nains : Passe-partout et Passe-muraille lpFc2n:PeP!

Temps nécessaire pour casser

un mot de passe avec un PC,

par force brute :

• 6 lettres minuscules : 3 sec

• L’exemple : + de 10 ans

Règles et bonnes pratiques

Règle n°1 :

Contrôler les informations que

vous publiez sur internet.

Règle n°2 :

Vérifiez les adresses mails

des expéditeurs.

Règle n°3 :

N’ouvrez que les pièces

jointes qui vous semble sûres.

Règle n°4 :

N’utilisez pas votre

messagerie personnelle pour

votre travail.

Règle n°5 :

N’utilisez pas votre matériel

personnel si ce n’est pas

prévu par votre entreprise.

Règle n°6 :

N’utilisez pas de supports

amovibles : clé USB.

Règle n°7 :

Mettez à jour vos

équipements professionnels.

Règle n°8 :

Utilisez des mots de passe

robuste.

Règle n°9 :

Ne renseignez pas de

données sensibles sur un site

web.

Merci Léo PILLET

Vincent BOULANGER

Elèves ingénieur Telecom Lille

INGE3, 2016/2017

Projet Scientifique et Technologique

[AD] Sensibilisation des métiers supports à la cybersécurité

Technology

Transcript of [AD] Sensibilisation des métiers supports à la cybersécurité