ENTREPRISES & STRATÉGIES — Technologies

Cybersécurité

L’e-mail, maillon faible de la sécurité en entreprise



Selon les derniers chiffres de F-Secure, plus d’un tiers des incidents de cybersécurité seraient initiés par des e-mails de phishing ou des pièces jointes malveillantes. (Photo: Production Perig)

Selon les derniers chiffres de F-Secure, plus d’un tiers des incidents de cybersécurité seraient initiés par des e-mails de phishing ou des pièces jointes malveillantes. (Photo: Production Perig)

Porte d’entrée privilégiée des attaques virales et des tentatives d’escroquerie, la messagerie électronique expose les entreprises. Quelle que soit leur taille.

Les derniers chiffres de F-Secure rappellent à l’ordre. Plus d’un tiers des incidents de cybersécurité seraient initiés par des e-mails de phishing ou des pièces jointes malveillantes reçus par les employés d’une entreprise. Tom Van de Wiele, principal security consultant de F-Secure, estime ainsi que les attaques par e-mail représentent le plus gros danger. «L’exploitation des vulnérabilités logicielles est typique des attaques opportunistes, mais les intrusions informatiques via e-mail sont bien plus fréquentes.» Le spécialiste insiste sur la nécessité d’appeler les utilisateurs à la vigilance: «Il convient de réfléchir à deux fois avant de cliquer sur une pièce jointe ou sur un lien... mais la pression professionnelle l’emporte souvent sur le bon sens. Les pirates comprennent et exploitent cette logique.» 

Le chiffrement des e-mails doit devenir un réflexe

Aussi vieille et unanimement utilisée qu’elle soit, la messagerie électronique reste un vrai casse-tête pour la sécurité des directeurs des systèmes d’information (DSI). Les pirates en ont fait un moyen relativement simple d’exfiltrer et d’intercepter des données sensibles. De plus en plus de sociétés, conscientes des dangers, ont d’ailleurs recours à des solutions de chiffrement des messages pour se mettre à l’abri. Certaines technologies permettent, en effet, de protéger les e-mails de bout en bout afin de s’assurer que seules les personnes autorisées, ou déclarées, puissent les lire. Mais ce n’est pas toujours suffisant, comme le précise Jocelyn Krystlik, responsable des produits data security de Stormshield: «Quand les entreprises s’équipent d’une solution de chiffrement des e-mails, il reste souvent à régler le problème de fond: la sous-utilisation de l’outil par les collaborateurs. L’utilisateur final, qui doit chiffrer ses courriels, n’en voit pas les bénéfices. Cela ne lui apporte pas un gain palpable.» 

Rien ne remplace la vigilance

Pour la direction et la DSI, les choses sont beaucoup plus claires: la perte de données peut coûter des millions d’euros. Le remède, comme toujours en matière de sécurité, relève beaucoup de la pédagogie. Il faut apprendre aux collaborateurs à reconnaître un e-mail malveillant, à ne pas ouvrir les pièces sans avoir vérifié l’objet du e-mail, le type d’adresse utilisée par l’expéditeur ou encore les liens contenus dans le message. Utiliser les logiciels de chiffrement doit aussi devenir un réflexe. Même si des spécialistes ont récemment découvert une faille dans l’un des principaux outils utilisés pour chiffrer ces échanges. Comme l’explique Jocelyn Krystlik, «la faille Efail permet d’exfiltrer des données chiffrées et de les envoyer en clair sur un serveur malveillant. L’e-mail chiffré est modifié après son envoi, ce qui signifie que le pirate doit intercepter le message et donc qu’il a une proie déjà identifiée.» Restez sur vos gardes pour ne pas rejoindre la longue liste des victimes!