Des experts en sécurité d’une société d’audit de taille moyenne se sont rendu compte qu’ils devaient agir rapidement après avoir découvert une tentative d’intrusion dans leur propre système par des cybercriminels. Cette expérience leur a servi de leçon pour renforcer leur sécurité et leurs formations au sein de l’entreprise.
Un mardi après-midi, cinq employés de cette entreprise d’audit ont reçu des appels de cyber attaquants se faisant passer pour le support informatique. Trois d’entre eux n’étaient pas à leur bureau, un autre a eu des difficultés à suivre la conversation. Un employé a commencé à suivre les instructions de l’attaquant avant de se rendre compte qu’il y avait une anomalie.
Moins d’une demi-heure après l’attaque, le centre opérationnel de sécurité externe de l’entreprise a commencé à alerter l’équipe sur une activité suspecte sur le réseau. À 22h, l’équipe avait réussi à bloquer le faux domaine et informer les employés ciblés qu’ils étaient déconnectés de leurs systèmes et que leur ordinateur portable serait réinitialisé. « Ces utilisateurs ont probablement perdu une demi-journée, mais cela aurait pu être bien pire. »
Aucun schéma identifiable n’a été discerné chez les personnes visées, qui étaient bien établies dans l’entreprise et dont les noms étaient probablement facilement recherchables en ligne.
Selon le directeur technique de la société, « il est évident que cela a été fait à la fin de la journée, quand les gens sont un peu moins vigilants. Ils pensent à rentrer chez eux. »
Les attaques via le support informatique
Les techniques d’ingénierie sociale liées au support informatique deviennent de plus en plus courantes. Les hackers se font passer pour le service informatique ou appellent celui-ci en prétendant être un employé. Ce type d’approche a également été utilisé lors de la cyberattaque sur M&S. Il est possible de réduire ces risques en mettant en place des mesures de sécurité et de validation supplémentaires entre les employés et le service informatique.
Les hackers cherchaient à faire exécuter des commandes aux employés, ce que le CTO suspecte aurait installé un logiciel d’accès à distance dans l’environnement de travail. Ils redoutent qu’il s’agisse d’une tentative d’attaque par ransomware, une menace particulièrement grave pour une entreprise qui compte des milliers de clients : « Si nos systèmes sont cryptés, et que nous ne pouvons plus fonctionner, les pertes financières s’accumulent rapidement. »
Améliorer la communication
Bien que l’attaque ait été maîtrisée avant de causer des dommages réels, elle a mis en lumière plusieurs défis potentiels. Par exemple, le centre opérationnel de sécurité a appelé depuis un numéro allemand, ce qui a d’abord suscité une méfiance avant que de nombreux courriels ne révèlent l’activité suspecte. Il a fallu des heures pour identifier les employés affectés en raison d’une mauvaise communication, l’information ayant été doublée dans un lien vers un fichier Excel.
« Nous avons transmis ces retours au SoC, qui envisage de revoir la façon dont les incidents sont signalés pour les rendre plus clairs, car cela n’a pas facilité notre travail », déclare le CTO. L’entreprise n’était pas couverte par un support 24/7 de son fournisseur de services gérés, car il s’agissait d’une attaque ciblant un utilisateur et non l’infrastructure.
Révision des protocoles
Le SoC a recommandé de restreindre Microsoft Teams pour bloquer les chats avec des domaines externes, mais cela pose un véritable dilemme, car il est essentiel pour l’entreprise de pouvoir communiquer avec ses clients. « Il s’agit d’un équilibre délicat entre contrôle de sécurité et capacité à travailler », explique le CTO.
Cependant, cet incident a poussé l’équipe de sécurité à revoir plusieurs protocoles. Ils ont désormais accès aux données de télémétrie de l’entreprise pour surveiller leur infrastructure. « Nous allons actualiser notre plan de réponse aux incidents que nous allons lancer ce mois-ci », ajoute le CTO. L’entreprise a également corrigé des incohérences dans la désignation de l’équipe informatique pour éviter toute confusion.
De l’attaque à l’exercice de formation
Les formations en matière de sécurité et de phishing ont été mises en place pour les deux employés ayant répondu aux appels. Pour sensibiliser davantage le personnel, ils ont réalisé une vidéo de 10 minutes expliquant les faits. « En seulement quatre jours, nous avons rassemblé la vidéo et l’avons diffusée à l’ensemble de l’entreprise », déclare le CTO. Bien que des formations supplémentaires soient également achetées, cette vidéo est devenue un élément essentiel pour rappeler que de telles situations peuvent toucher n’importe qui.
Le Centre national de la cybersécurité (NCSC) encourage les organisations à partager leurs expériences d’attaques cybernétiques dans la communauté professionnelle. « Nous reconnaissons l’importance de partager de manière responsable, sans fournir d’informations supplémentaires aux attaquants potentiels », explique Ralph B., CTO au NCSC. « Partager des informations sur les vulnérabilités identifiées peut aider à identifier des failles persistantes. »
Points à retenir
- Les attaques par ingénierie sociale via le service informatique se multiplient.
- Une bonne communication est essentielle lors de la gestion des incidents.
- Les entreprises doivent trouver un équilibre entre sécurité et accessibilité au travail.
- La formation continue est cruciale pour sensibiliser les employés aux menaces.
- Le partage d’expériences entre entreprises peut renforcer la cybersécurité globale.
Cette situation soulève des questions intéressantes sur la manière dont les entreprises gèrent la cybersécurité. Comment équilibrer les impératifs de sécurité avec la nécessité d’une communication fluide avec les clients ? N’est-il pas temps de repenser nos approches et de favoriser une culture de vigilance collective ? Les enjeux sont réels, et une réflexion approfondie sur ces questions pourrait bien s’avérer déterminante dans notre lutte quotidienne contre les cybermenaces.