Mi-novembre, la centrale d’enregistrement et d’analyse pour la sûreté de l’information (MELANI) publiait son rapport semestriel relatif à la situation de la sûreté de l’information en Suisse et sur le plan international. Sans surprise, parmi les différents risques énumérés pour les entreprises, le social engineering (ou ingénierie sociale) y détient une place de choix. Il constitue, en effet, une menace qui doit être prise en compte au quotidien dans toute activité économique. Rappelons dans ce cadre que les attaques les plus fructueuses sont celles qui abusent de la négligence voire de la crédulité de collaborateurs et reposent sur une histoire qui pourrait sembler crédible. Ces dernières, qui visent à inciter le collaborateur à effectuer une action (transfert d’argent, de données, d’adresses, etc), fonctionnent d’autant mieux lorsque l’escroc a amassé un certain nombre d’informations sur sa victime potentielle dans les sources publiques telles que les réseaux sociaux notamment.

Le rapport précise également qu’une recrudescence des actes de phishing à l’encontre d’entreprises suisses a été observée durant la première partie de l’année : « Au total, 2501 sites de phishing avérés ont été dénoncés au premier semestre sur le portail antiphishing.ch ». Un certain nombre d’attaques profitaient d’ailleurs de l’entrée en vigueur du Règlement européen sur la protection des données (RGPD) pour chercher le contact avec des entreprises et proposer de fausses prestations de mise en conformité.

La centrale MELANI recommande d’ailleurs aux entreprises ayant été la cible d’escroquerie de lui annoncer les incidents directement. On rappellera aussi qu’en cas d’attaque, les experts de l’administration peuvent accompagner l’entreprise lésée et prodiguer un certain nombre de conseils. Parmi ceux-ci, le fait de ne pas céder à l’extorsion doit être souligné, car « en payant la rançon, vous participez au financement de l’activité des criminels et leur permettez d’améliorer l’efficacité de leurs prochaines attaques ». En outre, en cédant au chantage, il n’y a aucune garantie que le cybercriminel soit « honnête » et qu’il respectera son engagement, par exemple en remettant la clé permettant de récupérer les données qu’il aura cryptolockées.

S’il n’y a pas d’antivirus contre la naïveté, un personnel formé est davantage à même de répondre à des attaques ou de s’en méfier. Ainsi, s’il est du devoir du collaborateur d’être vigilant, il est de celui du chef d’entreprise de former ses collaborateurs.

Formulaire d’annonce d’incidents à la centrale MELAN I:
https://www.melani.admin.ch/melani/fr/home/meldeformular/formular0.html