Le facteur humain est le principal déclencheur des cyber-attaques. Pourtant, les règles de base en cybersécurité restent encore largement méconnues. Comment se protéger efficacement ?
Des réflexes de base encore méconnus
Face à votre smartphone ou votre ordinateur, à la maison comme au travail, êtes-vous sûr(e) d'avoir les bons réflexes ? D'après un sondage Odoxa1, près de 2 Français sur 3 se disent mal informés en matière de cybersécurité. Si une majorité d'entre eux utilisent un antivirus, ils admettent cependant ne pas savoir comment se protéger autrement face aux cyber-attaques.
Ce constat n'est pas propre à la France. Aux États-Unis, moins de la moitié de la population connaît les principes de base en cybersécurité selon une étude du Pew research center2. Et ce n'est pas une question générationnelle, comme pourrait le laisser penser une idée reçue : les Millenials (génération née entre les années 1980 et 2000) ne font pas mieux que leurs aînés. Pour définir une attaque « hameçonnage » (phishing), les plus âgés répondent ainsi mieux que les plus jeunes.
Le facteur humain, principal risque cyber
Ces résultats sont d'autant plus préoccupants que le facteur humain est souvent au cœur des cyber-attaques. C'est ce que révèle un rapport du spécialiste de la sécurité et conformité Proofpoint3. On y apprend que les cybercriminels préfèrent désormais exploiter les négligences humaines plutôt que les failles logicielles pour parvenir à leurs fins.
Les attaques par piratage de la messagerie en entreprise se multiplient. Les hackers usurpent l'identité d'un membre de la chaîne hiérarchique pour adresser à des salariés d'une entreprise (service comptabilité, RH…) des e-mails leur demandant d'effectuer des transactions bancaires ou de transmettre des informations fiscales confidentielles.
Les attaques par phishing ou hameçonnage consistent à envoyer un faux mail, copie (presque) conforme de ceux que pourraient vous envoyer votre banque, votre mutuelle ou une administration… Ces messages vous renvoient ensuite vers un site web trompeur, sur lequel vous êtes invité(e) à rentrer vos identifiants ou vos coordonnées bancaires. Et pourtant une lecture attentive des e-mails suspects vous permet souvent de confirmer les premiers doutes : orthographe douteuse, contenu de l'email douteux, raison farfelue, et souvent, promesse un peu bizarre (versement d'une somme dûe…).
Autre tendance, le nombre de clics sur des URL malveillantes à partir d'appareils mobiles a doublé. Les cybercriminels exploitent les failles des stratégies de cybersécurité des entreprises, qui excluent parfois les smartphones du périmètre des postes de travail surveillés et sécurisés.
Se protéger contre les nouvelles menaces
La cybercriminalité (phishing, menaces mobiles…) ne représente qu'un pan des risques cyber, qui couvrent aussi l'espionnage, l'atteinte à l'image... Comment se protéger contre ces nouvelles menaces ?
Voici 4 conseils élémentaires :
- Vérifiez systématiquement l'expéditeur d'un e-mail. Si vous avez le moindre doute concernant l'authenticité de ce message, n'hésitez pas à contacter l'expéditeur par un autre biais.
- Analysez toujours la composition d'un lien dans le corps de l'e-mail ou le nom d'une pièce-jointe avant de cliquer dessus. Si, par exemple, vous observez une succession de lettres et de chiffres sans logique apparente, il s'agit peut-être d'un élément frauduleux.
- Sauvegardez régulièrement vos données sur des périphériques externes, si possible non reliés à Internet (disque dur, clé USB…). Vous éviterez ainsi de conserver des données sensibles sur vos terminaux.
- Effectuez des mises à jour régulières de vos logiciels en privilégiant la mise à jour automatique.