Ingénierie sociale 101 pour les entreprises

Quel que soit le montant que vous investissez dans la sécurité de votre réseau pour prévenir le vol de données, la menace la plus importante proviendra toujours de vos utilisateurs. L’élément humain laisse votre réseau vulnérable aux attaques d’ingénierie sociale. Voici six façons de protéger les données de votre entreprise contre les menaces d’ingénierie sociale.

1- Catégorisez les actifs les plus précieux de votre entreprise

Bien que les données propriétaires de votre entreprise doivent figurer en tête de liste, vous devez également tenir compte des actifs qu’un attaquant pourrait trouver précieux. Lorsque vous envisagez les actifs et les renseignements à protéger, pensez au-delà de la valeur pour l’entreprise. Pensez aux services, à la propriété intellectuelle et aux biens ou produits qui pourrait être utile à un attaquant.

2- Élaborer une formation sur la politique et la sensibilisation des utilisateurs

Une fois que vos actifs sont classés, une bonne pratique consiste à développer une politique de sécurité pour les protéger. Une formation de sensibilisation à la sécurité doit suivre et ainsi appliquer une politique complète. Tous vos employés qui utilisent le réseau doivent être tenus de suivre une formation annuelle de sensibilisation et signer un formulaire d’accord d’utilisation avec les exigences de la politique. Cela contribuera à garantir que vos employés respectent la politique. La formation devrait permettre aux employés de savoir ce qu’est l’ingénierie sociale et comment ils peuvent éviter d’être responsables de laisser les données et les actifs de l’entreprise entrent de mauvaises mains.

3- Personnalisez vos programmes de sécurité pour vos employés

De nombreux employés peuvent ignorer la sécurité, car ils ne ressentent pas un sens de responsabilité personnel. Veiller à ce que les employés comprennent qu’ils sont la première ligne de défense d’une entreprise et que cette prise de conscience est essentielle pour prévenir les attaques d’ingénierie sociale. Les employés doivent comprendre ce qui s’applique au travail et à la maison. Les employés doivent apprendre à changer leurs habitudes et être conscients des tentatives potentielles d’ingénierie sociale.

4- Tenez compte de toutes les sources demandant des renseignements

Dans le cadre de la sensibilisation à l’ingénierie sociale, les employés doivent déterminer si le demandeur d’informations mérite de le savoir. Dans plusieurs cas, les personnes avec lesquelles vous ou vos employés discutez n’ont pas besoin de connaître les détails complexes de votre entreprise ou de son réseau. Certaines tentatives d’ingénierie sociale jouent sur les émotions et peuvent induire les employés en erreur pour divulguer par inadvertance des renseignements pouvant être utilisés pour attaquer un réseau. Les ingénieurs sociaux s’attaquent à des employés trop serviables. Ils exploitent l’instinct des employés pour être utiles à leur avantage. Bien que les employés en contact avec le client doivent toujours être utiles, ils doivent également comprendre leurs limites.

5- Soyez conscient des demandes suspectes

Quelqu’un qui pose des questions sur quelque chose dont il ne devrait pas avoir connaissance devrait déclencher des alarmes instantanées. Vos employés doivent être conscients lorsque les questions que les gens posent en personne ou par téléphone ne correspondent pas à la norme. Par exemple, pourquoi un client poserait-il des questions sur vos paramètres de pare-feu interne ou sur le type d’antivirus que vous utilisez sur vos réseaux?

6- Ne reculez pas

Si quelqu’un persiste à demander des informations à vos employés, demandez-leur de diriger leurs questions vers la direction de l’entreprise ou leur superviseur. Plusieurs fois, les ingénieurs sociaux reculeront si leurs demandes sont élevées. Vos employés doivent savoir qu’ils ne seront pas blâmés pour avoir opposé une résistance aux ingénieurs sociaux. Préparez un script que vos employés liront au cas où ils recevraient un appel avec des questions douteuses. Le script peut inclure une déclaration sur la politique de l’entreprise interdisant la divulgation des informations en question. De plus, vous pourriez fournir à vos employés une liste de contrôle ou un formulaire à remplir lorsqu’ils soupçonnent une tentative d’ingénierie sociale pour sensibiliser l’entreprise et d’autres employés.

---

Source : 6 Ways to Protect Your Company Against Social Engineering Attacks par Anthony Ortega – ToolBox – 20/12/2019 (traduction libre par Marc Lajoie)