27 mars 2017 |

Pour la Red Team F-Secure : « Les nouvelles technologies donnent aux entreprises un faux sentiment de sécurité »

Certaines entreprises font trop confiance aux nouvelles technologies et deviennent, de fait, vulnérables aux cyber attaques de type phishing, qui tirent profit de faiblesses dites humaines. L’expérience de la Red Team F-Secure le prouve : 52% des employés sont susceptibles de cliquer sur le lien d’un e-mail malveillant.

Rueil-Malmaison, le 27 mars 2017 : De nombreuses entreprises présentent ce que les experts en cyber sécurité appellent un « faux sentiment de sécurité ». Elles comptent trop sur la technologie pour défendre leur réseau et les pirates informatiques en tirent avantage. Cet avertissement vient d’un porte-parole de la Red Team F-Secure. Cette équipe d’experts est chargée d’évaluer les protections d’une entreprise en procédant de la même manière qu’un pirate informatique.

« Utiliser la technologie pour résoudre des problèmes humains, cela ne fonctionne pas. Ceux qui vous disent le contraire tentent de vous fourvoyer », déclare Tom Van de Wiele, Principal Consultant Security chez F-Secure. « Les cyber criminels ont recours à l’ingénierie sociale. Et leurs victimes baissent la garde. Faire croire aux employés d’une entreprise que des technologies de pointe suffiront à les protéger leur donne un faux sentiment de sécurité. Les cyber pirates se servent de cela. »

Le phishing

Le phishing illustre les propos de Tom Van de Wiele. Selon l’Enquête Mondiale sur la Sécurité de l’Information 2017 de PwC, le phishing a été le vecteur n°1 des attaques cybernétiques ciblant les institutions financières en 2016. Et au vu de la propagation des « services de phishing » gérés disponibles sur le darknet, il est probable que ce type d’attaques soit de plus en plus répandu à l’avenir.

« Vous seriez étonné de voir tout ce sur quoi les employés et collaborateurs cliquent durant la journée. Ils ne sont pas stupides, juste pris au dépourvu. Ils ne s’attendant pas à être dupés de cette façon », ajoute Tom Van de Wiele. Et en effet, les attaques de phishing simulées ont des taux de réussite élevés dans les tests d’évaluation de la Red Team F-Secure.

Par exemple, dans le cadre d’une opération récente, l’équipe a envoyé un faux e-mail LinkedIn pour voir combien d’employés de l’entreprise cliente cliqueraient sur un lien dans un courrier électronique non sollicité. 52% des employés ont cliqué. Dans un autre test, un autre e-mail a été envoyé, menant cette fois à un faux portail où des employés devaient se connecter en utilisant leurs identifiants. 26% des destinataires ont suivi le lien vers le portail et 13% ont entré leurs identifiants de connexion.

Tout est permis   

Les opérations de Red Teaming menées par Tom Van de Wiele et ses collègues impliquent une série complète de tests, conçus pour mettre en évidence les atouts et les faiblesses de l’entreprise cliente en matière de cyber sécurité. Ces tests évaluent la capacité à détecter, contenir et répondre efficacement à des cyber attaques simulées. Celles-ci sont conçues pour voler des données financières et liées à la propriété intellectuelle, ou à contrôler des éléments clés de l’infrastructure informatique.

Selon Tom Van de Wiele, ces tests surprennent souvent les employés et leurs dirigeants, révélant à quel point elles sont exposées. « La vision qu’ils ont de leur entreprise et de ses faiblesses, correspond rarement à celle des pirates informatiques », explique-t-il. Ces tests englobent toute la surface d’attaque d’une entreprise. Ils prennent en compte le danger numérique, mais aussi les menaces d’intrusion physique.

« De nombreuses entreprises sont surprises lorsque nous parvenons à accéder à leurs serveurs non-connectés à internet. La plupart des responsables informatiques ne sont pas préparés à des attaques visant directement les locaux de l’entreprise. Pourtant, ce type d’intrusion est pour le moins facile à réaliser : il suffit de porter un gilet de sécurité et de présenter un ordre d’opération.  Les gilets de sécurité constituent de meilleurs manteaux d’invisibilité que celui de Harry Potter. Enfilez-le et vous pourrez aller n’importe où. Et personne ne vous posera de question. »

Avec les tests de Red Teaming, les organisations peuvent :

  • S’assurer que les contrôles de sécurité fonctionnent
  • Mesurer le retour sur investissements en matière de cyber sécurité
  • Obtenir un aperçu de l’efficacité avec laquelle les ressources de l’entreprise et ses propriétés intellectuelles sont protégées
  • Déterminer si les processus de sécurité doivent être mis à jour ou si une formation à la cyber sécurité doit être menée auprès des employés
  • Sensibiliser les employés à la sécurité informatique
  • S’assurer que les outils de surveillance fonctionnent
  • Tester leur capacité à contenir une attaque

Red Team

Red Team 2

*Source : http://www.pwc.com/gx/en/issues/cyber-security/information-security-survey/financial-services-industry.html

**Source : http://www.theregister.co.uk/2016/12/07/phishing_as_a_service/

Plus d’informations :

F-Secure Red Teaming Tests

Vidéo : Let us in. Keep them out.

À propos de F-Secure

30 ans d’expérience en cyber sécurité. Avec toujours le même moteur : l’innovation. L’entreprise finlandaise dispose aujourd’hui d’une expertise inégalée dans la lutte contre toutes les menaces, des infections de type ransomware aux cyber attaques avancées. Pour ce faire, F-Secure a élaboré une stratégie de défense sophistiquée, qui allie la puissance du machine learning et l’expertise humaine. Le nom de cette approche unique : Live Security. Les produits F-Secure sont proposés par plus de 200 opérateurs et des milliers de revendeurs. Ils défendent chaque jour des dizaines de milliers d’entreprises et des millions de particuliers.

Fondée en 1988, F-Secure est une entreprise du NASDAQ OMX Helsinki Ltd.

f-secure.com | twitter.com/fsecure | facebook.com/f-secure

F-Secure Relations presse

Guillaume Ortega
06 31 45 81 09
guillaume.ortega@f-secure.com

Derniers communiqués de presse

2 avril 2020

F-Secure Radar désigné « Choix des clients » par Gartner Peer Insights

Rueil-Malmaison – 02 avril 2020 : F-Secure annonce avoir été nommé « Choix des clients » dans la catégorie « scanner de vulnérabilités », par Gartner Peer Insights, en février 2020. L’attribution de ce titre repose sur les commentaires et les évaluations d’utilisateurs professionnels ayant acheté, implémenté ou utilisé le produit. « Avoir été nommés par le Gartner […]

26 mars 2020

COVID-19 : F-Secure propose des licences gratuites pour soutenir ses utilisateurs

Rueil-Malmaison – 26 mars 2020 : La pandémie de COVID-19 pose de grands défis aux populations du monde entier. Le confinement impose le télétravail pour la quasi-totalité des entreprises et de leurs salariés. Pour aider à protéger les postes de travail des télétravailleurs, F-Secure fournit gratuitement, à ses utilisateurs et partenaires, des licences gratuites de 90 […]

4 mars 2020

Nouveau rapport F-Secure sur les cyberattaques mondiales : Le ransomware s’est montré redoutable en 2019

Le nouveau rapport signé F-Secure indique que les ransomwares deviennent plus menaçants mais il existe toutefois des raisons d’être optimiste. Rueil-Malmaison, le 4 mars 2020 : le nouveau rapport de F-Secure intitulé « Attack Landscape H2 2019 », fait état d’une augmentation considérable du nombre de cyber attaques en 2019 par rapport aux années précédentes. […]

2 mars 2020

IT Partners 2020 F-Secure mettra en avant son programme partenaire primé et ses outils associés

Rueil-Malmaison, mardi 02 mars 2020 – F-Secure, éditeur européen de solutions de cybersécurité, participe au prochain salon IT Partners 2020 qui se tiendra les 11 et 12 mars prochain à Disneyland Paris, et mettra en avant son programme dédié à ses partenaires. Une occasion pour F-Secure d’échanger avec ses partenaires et potentiels futurs partenaires sur […]

%d blogueurs aiment cette page :