Selon le récent rapport "Year in Review" Cloud and Threat Report de Netskope, la manière la plus courante pour les cyberattaquants d'accéder aux organisations en 2023 a été l'ingénierie sociale.

Bien qu'il s'agisse d'une des tactiques préférées des cybercriminels, l'ingénierie sociale ne consiste pas à casser un code en étant penché sur un clavier lumineux. Elle s'appuie en effet sur la vulnérabilité humaine individuelle, en incitant les gens à ouvrir la porte à l'attaquant.

Selon Paolo Passeri, Cyber Intelligence Specialist chez Netskope, la Saint-Valentin représente une opportunité pour les cybercriminels qui vont chercher à profiter de la vulnérabilité de leurs cibles autour de cette date, et, in fine, atteindre les entreprises :

« Si la plupart des gens pensent qu'ils ne tomberont jamais dans le piège de telles attaques, la vérité est que nous pouvons tous en être victimes. Toute personne en proie à des émotions fortes peut facilement être amenée à commettre des erreurs de sécurité, à donner un accès non autorisé à des informations sensibles, voire à divulguer elle-même des informations sensibles.

La Saint-Valentin est un très bon exemple. Les escroqueries à la romance sont une affaire sérieuse, avec des pertes déclarées pour les victimes atteignant le chiffre de 1,3 milliard de dollars en 2022 aux États-Unis, et 92,8 millions de livres sterling au Royaume-Uni en 2023. Les cas de fraude ne se limitent pas au 14 février, mais c'est à ce moment-là que les victimes sont les plus vulnérables.

Une personne à la recherche de l'amour peut être suffisamment avisée pour ignorer les messages non sollicités provenant d'un faux profil de rencontre 364 jours par an, mais si l'engouement pour la Saint-Valentin l'a amenée à se sentir particulièrement seule, elle sera peut-être plus encline à répondre.

De même que les personnes déjà en couple peuvent être dans un état émotif différent à l'approche de la Saint-Valentin, avec par exemple l’impatience de célébrer une étape importante de leur relation ou de recevoir une surprise. Elles seront alors peut-être plus susceptibles de cliquer sur une offre de carte-cadeau sans avoir vérifié au préalable qu'elle provient d'une source légitime.

Les organisations peuvent se défendre contre ces attaques de plusieurs manières. Le risque augmente inévitablement avec l'utilisation d'applications non professionnelles sur les appareils de l'entreprise, de sorte que certaines peuvent choisir des politiques qui bloquent complètement l'accès aux applications personnelles - telles que les applications de rencontres - sur les appareils professionnels.

L'essor récent de l'IA, par exemple, a conduit de nombreuses entreprises à envisager de bloquer les outils tels que ChatGPT et d'IA générative sur leurs systèmes. Toutefois, le blocage pur et simple de toutes les applications non professionnelles peut créer des frustrations, limiter l'innovation et donner l'impression d'un manque de confiance dans le personnel.

Les entreprises peuvent au contraire mettre en œuvre une méthode moins radicale qui s'appuie sur des outils intelligents, ainsi que sur des équipes de sécurité qui analysent régulièrement le trafic HTTP/HTTPS, avec une approche plus agile qui se déplace vers le cloud, ainsi que des contrôles de sécurité renforcés.

Elles doivent également mettre l'accent sur l'éducation et la sensibilisation, en incitant les utilisateurs à être vigilants avant de cliquer sur un lien ou d'accéder à une application non autorisée. Pour aider les individus à comprendre leur vulnérabilité personnelle, il est important de mettre l'accent sur les risques personnels, et pas seulement sur l'impact sur l'entreprise.

L'utilisation d'exemples montrant comment les attaques peuvent avoir un impact - et découler - de la vie personnelle des gens peut les aider à mieux comprendre comment ils peuvent être ciblés.

Quoi qu'une organisation choisisse de faire, il est impossible d'empêcher les employés de cliquer sur un lien malveillant, et le plus grand risque est souvent lorsque les utilisateurs cachent les cyber-incidents, en particulier ceux qui résultent d'attaques par ingénierie sociale où ils peuvent se sentir personnellement responsables.

En cas de compromission, il est essentiel de réduire le temps nécessaire à l'atténuation de l'attaque, c'est pourquoi il ne faut pas blâmer les victimes des attaques. L'essentiel est de favoriser une culture de collaboration dans laquelle le personnel fait partie du processus, plutôt que d'instiller une culture de la peur.

La sensibilisation des employés dans un climat de partenariat peut grandement contribuer à réduire le risque que les cybercriminels profitent de la vulnérabilité humaine, autour notamment de la Saint-Valentin. »