DYNAMAP - Framework d'architecture d'entreprise simplifié

Lorsqu’une personne se fait piéger par un courriel de phishing, la première réaction consiste souvent à pointer du doigt l’utilisateur. 

On estime qu’il n’a pas été assez vigilant, pas assez formé ou tout simplement « trop naïf ». 

Pourtant, cette vision des choses est parfois réductrice, voire injuste et on n'oserais pas avoir cette vision de l'utilisateur coupable dans d'autres domaines. 

Si un mail frauduleux est arrivé jusqu’à votre boîte de réception, c’est qu’il s’est déjà frayé un chemin à travers plusieurs défenses censées le bloquer en amont. 

Autrement dit, avant même que l’utilisateur ne clique sur ce lien piégé ou ne saisisse ses identifiants, il y a eu une chaîne d’événements et de failles qui ont permis au phishing de circuler.

Non, l’utilisateur n’est pas l’unique (voire pas le principal) responsable en cas d’attaque phishing, surtout s’il n’a reçu aucune formation en cybersécurité. 

1. L’utilisateur : maillon faible ou maillon victime ?

Un maillon faible… souvent pointé du doigt

Combien de fois a-t-on entendu dire qu’« en cybersécurité, l’humain est le maillon faible » ? 

L’expression est devenue un mantra, un presque cliché. 

Or, ce cliché sous-entend que si la faille humaine n’existait pas, nous pourrions éliminer 95 % des risques cyber.
En réalité, le facteur humain est bien plus complexe. 
Oui, un clic malheureux peut ouvrir la porte à des cybercriminels. 

Mais encore faut-il se demander : pourquoi le clic a-t-il été rendu possible ?

Pas de formation, pas de prévention… pas de chance ?

Si l’utilisateur n’a jamais été formé aux bonnes pratiques en matière de sécurité, comment peut-il détecter des courriels de phishing de plus en plus sophistiqués ? 

Des tentatives de fraude usurpant les signatures d’email, des logos officiels, des liens quasi identiques à un site légitime, etc. 

Sans aucune sensibilisation, il est normal que l’employé tombe dans le piège.

Imaginez remettre un volant à quelqu’un et le laisser conduire sans jamais lui avoir appris le Code de la route. 
Il est évident qu’un accident finira par se produire, et pourtant, la faute n’incombera pas uniquement au conducteur. 

Dans le cas du phishing, la « route » que doivent emprunter ces courriels devrait déjà être surveillée et protégée par une série de mesures techniques et organisationnelles.

2. Le mail de phishing n’aurait jamais dû arriver

2.1 Les lignes de défense avant la boîte de réception
Avant d’atteindre l’utilisateur, un courriel malveillant traverse plusieurs maillons de la chaîne de sécurisation :

• Les filtres anti-spam et anti-phishing : ce sont les premières barrières. Ils analysent les en-têtes d’email, le texte, la présence éventuelle de pièces jointes douteuses, et ils comparent le tout à des bases de signaux connus.
• Les pare-feu et passerelles de messagerie : elles vérifient notamment l’authenticité du domaine expéditeur, sa réputation ou encore son protocole de chiffrement.
• L’infrastructure de l’entreprise : si l’architecture réseau est bien segmentée et les règles de filtrage correctement paramétrées, le courriel malveillant a moins de chance de circuler.

Si malgré cela, le mail aboutit dans la boîte de réception de l’employé, cela sous-entend qu’au moins un de ces mécanismes a failli. 

Ou pire, qu’il n’a pas été correctement configuré ou mis en place. 

Sur ce point, il est donc essentiel de rappeler qu’il existe un éventail de solutions à instaurer pour diminuer drastiquement le risque. 

L’utilisateur ne sera pas mis en cause s’il est bien équipé et bien encadré.

Un enchaînement d’événements : la fatalité n’est pas une excuse

Il arrive, bien sûr, que certains emails malicieux passent entre les mailles du filet. 

Les cybercriminels rivalisent d’ingéniosité pour contourner les protections et ils affinent en permanence leurs méthodes. 

Toutefois, cette réalité ne doit pas servir d’excuse pour baisser les bras ou blâmer exclusivement l’utilisateur final. 

Chaque service informatique doit être conscient qu’il y aura toujours un risque résiduel et que le perfectionnement des défenses est un travail de longue haleine.

3. L’ordinateur seul ne peut pas tout propager si les configurations sont robustes

Segmentation réseau et gestion des droits
Même si, par malheur, un logiciel malveillant parvient à s’installer sur un poste de travail, il ne devrait pas pouvoir se propager à toute l’entreprise si la segmentation du réseau est correctement gérée et si les droits d’accès sont limités au strict nécessaire. 

En d’autres termes :

• Segmentation réseau : cloisonner les différentes parties du système d’information pour éviter qu’une contamination se propage comme une traînée de poudre.
• Gestion des privilèges : limiter les droits administrateurs, segmenter les accès aux données sensibles, et faire en sorte que chaque employé ne dispose que des accès pertinents à son métier.

Des données qui ne s’extraient pas si facilement

Dans une infrastructure bien sécurisée, l’exfiltration de données sensibles doit être ralentie, voire rendue impossible, par des dispositifs tels que :

• DLP (Data Loss Prevention) : contrôle et surveillance des transferts de données sensibles en dehors du réseau.
• Chiffrement systématique : si la donnée est chiffrée, son vol ne sert pas à grand-chose à l’attaquant, à moins qu’il n’ait également accès aux clés de déchiffrement.
• Journalisation et alertes : tout accès suspect et toute extraction inhabituelle sont automatiquement consignés et génèrent des alertes pour détecter l’intrusion au plus vite.

Avec ces mesures en place, même un clic accidentel sur un lien de phishing ne devrait pas conduire à un désastre majeur.

4. Les solutions de cybersécurité qui auraient dû être mises en place

Des formations régulières

• Sensibilisation : montrer aux équipes des exemples concrets de phishing, expliquer les réflexes à adopter, comme vérifier l’orthographe des URL, être attentif aux fautes d’orthographe ou d’accord dans un courriel prétendument professionnel, etc.
• Exercices pratiques : campagnes de phishing simulées, ateliers où l’on décrypte ensemble des emails factices, etc.
• Mise à jour des connaissances : car les méthodes des pirates évoluent sans cesse, il est indispensable de proposer des sessions régulières, pas seulement une fois par an.

Une politique de sécurité stricte… et cohérente

• Politiques de mots de passe : longueur minimale, complexité, changement périodique (tout en évitant de pousser à la rotation trop fréquente qui aboutit à des post-it collés sur les écrans).
• Accès multi-facteurs (MFA) : l’authentification à deux facteurs réduit drastiquement les risques liés au vol de mots de passe.
• Mises à jour et correctifs : un système pas ou peu mis à jour est une porte ouverte à toutes les cyberattaques, quand bien même l’employé ne clique sur rien.

Des infrastructures défensives robustes

• Pare-feu et IPS (Intrusion Prevention System) : surveiller le trafic entrant et sortant, bloquer les connexions suspectes et analyser les flux en temps réel.
• Passerelles de messagerie et filtres avancés : mettre à jour et paramétrer ces mécanismes de détection pour reconnaître et filtrer au maximum les pourriels et le phishing.
• Antivirus et EDR (Endpoint Detection & Response) : identifier les comportements anormaux sur les postes de travail et isoler ceux qui ont été compromis.

Plans de réponse à incident et tests réguliers

• Procédure d’urgence : savoir comment réagir en cas de contamination, qui contacter, comment isoler les machines et informer les équipes.
• Exercices de crise : des simulations permettent de tester l’efficacité du plan et la réactivité de chacun.
• Backups et redondance : pouvoir restaurer le système à une version antérieure et reprendre l’activité rapidement.

Disons-le franchement : si, à cause d’un email frauduleux, vous vous retrouvez à discuter avec une actrice ou un acteur international promettant monts et merveilles, ce n’est pas seulement que vous avez un grand cœur ou que vous faites preuve d’une curiosité surhumaine. 

Il est probable que plusieurs barrages de sécurité aient fait la sieste et laissé passer l’intrus. 

Certes, vous auriez pu éviter de cliquer, mais si ce mail avait été détecté en amont, vous n’auriez jamais eu l’occasion de lire ces fabuleuses histoires de trésor caché.

Les moyens nécessaires pour ces mesures… et l’oreille attentive de la direction

Cyberdéfense = investissement + volonté

La cybersécurité a un coût. 

Formation, logiciels, dispositifs, contrôles, audits… tous ces éléments demandent du temps, de la main-d’œuvre spécialisée et des budgets spécifiques. 

Trop souvent, on considère la sécurité comme une simple charge supplémentaire. 

Pourtant, il serait plus juste de la voir comme une assurance indispensable : on ne se plaint pas de payer une assurance auto, alors pourquoi se passerait-on d’une assurance pour le système d’information, lequel abrite parfois l’essence même de l’entreprise ?

Obtenir le soutien de la direction
Aucune politique de sécurité ne peut être efficace sans l’adhésion de la direction. 

Les ressources allouées, l’exemplarité du top management et la sensibilisation constante de l’ensemble des équipes sont autant d’éléments nécessaires. 

Il faut donc :

• Faire prendre conscience des risques : chiffres à l’appui, expliquer combien peut coûter une attaque (rançon, pertes liées à l’indisponibilité, atteinte à la réputation, etc.).
• Argumenter sur le retour sur investissement : un bon dispositif de sécurité réduit drastiquement le risque de pertes massives et protège la réputation de la marque.
• Exiger des budgets dédiés : sans ressources, impossible de recruter des spécialistes, de souscrire à de bons outils ou de maintenir un niveau d’exigence élevé.

La cybersécurité est une affaire collective

Mettre en place toutes ces mesures relève autant de la volonté managériale que de la responsabilisation de chaque collaborateur. 

Le bon sens utilisateur reste un allié précieux pour déjouer les tentatives de phishing, mais il ne peut être sollicité qu’en dernier ressort, une fois que tout le reste a fonctionné. 

À quoi bon laisser les employés jouer aux gardes-frontières si toutes les portes du château sont déjà grandes ouvertes ?

Face à la prolifération des menaces, l’entreprise doit investir dans des outils de plus en plus performants, adapter sans relâche ses politiques de sécurité et réaliser des exercices réguliers. 

Elle doit aussi former ses collaborateurs au repérage des signaux d’alarme et leur donner la confiance et les procédures nécessaires pour agir ou alerter le service compétent en cas de doute.

Enfin, il est primordial que la direction comprenne qu’une bonne cybersécurité n’est pas un luxe, mais un impératif stratégique. 

Les budgets, loin d’être une dépense superflue, sont le gage d’une résilience et d’une protection accrue.

Il en va de la survie de l’entreprise, de sa réputation et de la préservation de ses données sensibles.

Autrement dit, la cybersécurité n’est pas une histoire de gadgets technologiques, mais une culture à part entière, portée par la volonté, la formation et les moyens adéquats.

Au final, souvenez-vous : l’utilisateur n’est pas et ne doit pas être le bouc émissaire. Une cybersécurité bien pensée, correctement financée et pilotée par une direction impliquée est la meilleure garantie de se prémunir contre le phishing… et de pouvoir dormir sur ses deux oreilles.