Aujourd’hui, les acteurs de l’espionnage d’entreprise sont plus occupés et ont plus de succès que jamais grâce à une convergence alarmante de facteurs. La concurrence croissante des grandes puissances de la Chine et de la Russie avec les États-Unis les pousse, entre autres, à obtenir plus secrètement et plus effrontément les secrets des sociétés occidentales. Mais la prolifération simultanée d’outils d’espionnage, d’appareils mobiles, de données numériques et de la pensée postmoderniste a également permis à un employé peu expérimenté d’avoir à la fois les moyens et la motivation de trouver et de voler des quantités énormes d’informations. Toutes ces menaces sont formidables en elles-mêmes et méritent donc l’attention. Mais il est tout aussi crucial de comprendre comment ils s’unissent pour bien saisir le risque d’espionnage de plus en plus grave et incroyablement multiforme auquel font face les entreprises et les organisations actuelles.

Technologie: le facilitateur

Les avancées technologiques se sont largement révélées être une aubaine pour les acteurs de l’espionnage industriel. Internet, en particulier, leur a permis de pirater des cibles à distance et de collecter de grandes quantités de données open source. Il a également grandement aidé les efforts de renseignement humain en permettant aux acteurs de repérer, d’évaluer et, dans certains cas, même de faire une première approche des agents potentiels dans des entreprises ciblées, à la fois à distance et en masse.

Les progrès technologiques ont également considérablement facilité le processus d’exfiltration des données des entreprises. Finie la contrebande de copies papier de documents par la porte ou leur photographie au bureau à l’aide d’une caméra espion spécialisée. Les espions d’aujourd’hui peuvent transmettre des informations sensibles en les envoyant simplement par courrier électronique à eux-mêmes ou à leurs gestionnaires, ou en téléchargeant des données volées sur des sites de stockage externes ou sur des supports amovibles (et facilement dissimulables tels que des CD, des clés USB et des cartes SD).

Les outils techniques sans limites à la disposition de presque tout le monde permettent également aux agents d’adapter rapidement leurs techniques aux changements de protocoles de sécurité. Apple, par exemple, a désactivé les ports USB des ordinateurs de la société après avoir découvert un espion dans son programme de véhicule autonome en téléchargeant des données propriétaires sur une clé USB en 2018. Pour contourner le nouvel obstacle, un deuxième agent a utilisé son téléphone portable pour prendre des photos des mêmes documents sur son moniteur, pour lequel il a été arrêté en janvier.

Dans le même temps, la numérisation des données et l’utilisation généralisée des ordinateurs portables et autres appareils mobiles signifie également que des informations sensibles peuvent être trouvées et ainsi volées presque n’importe où. Chaque jour, de nombreux employés transportent – souvent à leur insu, de grandes quantités d’informations confidentielles. Je dirais que beaucoup de gens ne savent même pas combien de données précieuses sont entre leurs mains et combien le fait de laisser des appareils de travail dans une chambre d’hôtel sans surveillance constitue une cible attrayante pour les acteurs de l’espionnage d’entreprise. De nombreuses entreprises reconnaissent cette menace lorsqu’il s’agit de certains pays comme la Chine et la Russie et limitent les informations que leurs employés peuvent apporter avec elles lors de leurs déplacements. Cependant, les acteurs de la menace sont de plus en plus mobiles (merci encore à la technologie) et dirigeront leurs opérations là où l’information peut être obtenue.

En 2018, le ministère chinois de la Sécurité d’État a tenté de recruter un ingénieur chez GE Aviation en Ohio. Lorsque l’ingénieur a dit à son manutentionnaire chinois qu’il ne pouvait pas amener son ordinateur portable fourni par la société en Chine, l’agent lui a dit qu’il le retrouverait à Bruxelles pour un prochain voyage. Malheureusement pour l’officier chinois, il est entré dans une opération d’infiltration et a été rapidement arrêté par les autorités belges. Néanmoins, l’affaire montre néanmoins à quel point la technologie a rendu des informations critiques vulnérables pour des acteurs de plus en plus polyvalents et menaçants, en particulier de Chine et de Russie.

La Chine et la Russie: les agresseurs

Le fait que les Chinois et les Russes se conduisent de manière aussi agressive face à l’espionnage des entreprises ne devrait pas surprendre. En effet, ils ont tous deux déclaré publiquement au monde qu’ils souhaitaient atteindre la parité technologique et dépasser les Occidentaux (notamment les États-Unis) par tous les moyens nécessaires. La Chine, en particulier, a ouvertement manifesté cette volonté lorsqu’elle a lancé le programme 863 en 1986. Depuis lors, Pékin a poursuivi son programme d’espionnage au travers de ses programmes actuels Made in China 2025 et Thousand Talents.

Les officiers de renseignement soviétiques et russes, quant à eux, ont agressivement ciblé la technologie occidentale avant de voler les projets d’armes nucléaires du projet américain Manhattan dans les années 1940. Mais les efforts de la Russie sont devenus de plus en plus audacieux ces dernières années. En 2014, les États-Unis ont sanctionné la Russie après sa saisie et son annexion de la Crimée à l’Ukraine. En réponse, Moscou a ordonné à la base industrielle russe, aidée par les services de renseignement du gouvernement, de développer la capacité de production de 77 technologies clés, et a annoncé publiquement son intention de le faire.

Rassembler des secrets d’entreprise n’est pas une nouveauté pour les agences de renseignement chinois ou russes. Mais ils le font maintenant à plus grande échelle et plus effrontément que jamais auparavant. Le volume de leurs efforts a été reflété par le nombre croissant de poursuites pour espionnage industriel, en particulier celles impliquant des acteurs chinois (comme dans les affaires précitées GE Aviation et Apple). Bien sûr, les Chinois et les Russes ne sont nullement les seules menaces, en particulier à la lumière de la prolifération des outils d’espionnage. Ils sont cependant les plus pernicieux.

Le postmodernisme: le vindicateur

La Chine et la Russie, ainsi que d’autres acteurs de l’espionnage industriel, vont certainement recruter des employés comme espions. Mais toutes les menaces d’espionnage d’entreprise ne proviennent pas d’acteurs externes. Nous avons également constaté un nombre croissant de cas dans lesquels des initiés ont décidé de voler des informations sensibles pour vendre, divulguer ou utiliser comme levier pour obtenir un emploi chez un concurrent. Que ce soit pour son propre compte ou pour son recrutement, je pense que la montée de la pensée postmoderne aide les espions internes à justifier leurs actions.

L’Encyclopedia Britannica définit le postmodernisme comme “un mouvement de la fin du XXe siècle caractérisé par un large scepticisme, un subjectivisme ou un relativisme, une suspicion générale de raison et une sensibilité aiguë au rôle de l’idéologie dans l’affirmation et le maintien du pouvoir politique et économique”. L’affirmation selon laquelle toute vérité est subjective et individualiste est devenue largement acceptée dans les universités et dans tous les systèmes éducatifs occidentaux. En conséquence, on peut maintenant le trouver dans presque tous les aspects de la société occidentale.

Les sentiments l’emportent de plus en plus sur les faits aujourd’hui, au fur et à mesure que les notions de «juste» et de «vrai» deviennent relatives – à tel point qu’en 2016, le dictionnaire anglais d’Oxford a nommé «post-vérité» son mot de l’année. Le scepticisme colporté par la pensée postmoderniste place naturellement toute autorité formelle sous le plus grand contrôle, qu’il s’agisse d’une entreprise ou du système juridique américain. Clairement, cela a des implications en termes de sécurité pour la société en général, y compris le lieu de travail. Les employés peuvent désormais sélectionner des données, qu’elles soient exactes ou non, pour justifier toute activité illégale, qu’il s’agisse de violations de la Loi sur la corruption, du délit d’initiés, du vol sur le lieu de travail ou de conflits d’intérêts.

Mais le danger de ce monde “post-vérité” est également extrêmement applicable à l’espionnage d’entreprise, car les entreprises ne peuvent plus compter sur un ensemble de règles formelles et de normes générales pour empêcher leurs employés de voler des données sensibles. Peu importe si quelqu’un n’a pas toute l’histoire et tire une fausse conclusion. Le fait qu’ils aient tellement “senti” que c’était faux est maintenant une raison suffisante pour permettre des représailles. En d’autres termes, si je crois que mon employeur est “mauvais”, est-il vraiment mauvais d’agir contre eux?

Dans ce monde “post-vérité”, les employés peuvent sélectionner des données pour justifier toute activité illégale, du délit d’initié à l’espionnage industriel.

Je pensais que la pensée postmoderne était en jeu lorsque l’ancien soldat de l’armée américaine Chelsea Manning et les anciens employés de la National Security Agency, Edward Snowden et de Reality Winner, ont tous décidé (séparément) de voler des informations gouvernementales hautement classifiées en réponse à ce qu’ils percevaient comme des actes répréhensibles. Dans chacun de ces cas, ils diffusent publiquement leurs conclusions au lieu de passer par les canaux officiels des lanceurs d’alerte pour faire connaître leurs préoccupations aux autorités compétentes.

Combinez cette pensée avec un peu de cupidité à l’ancienne, ou peut-être un grief d’employé, et vous obtenez la recette parfaite pour l’espionnage d’entreprise. Pendant ce temps, les employés ont également plus d’endroits où trouver des données, plus d’outils pour les voler, et davantage de responsables des renseignements chinois et russes qui cherchent à les payer facilement pour le faire. Dans l’ensemble, il n’est pas difficile de voir comment nous sommes entrés dans une ère de risque d’espionnage des entreprises sans précédent, il est donc d’autant plus crucial que les entreprises s’assurent que leurs programmes de sécurité des données sont à la hauteur de cette menace, qu’ils sont vastes, créatifs et constamment mis à jour.

L’article Une ère de risques d’espionnage sans pareil s’annonce est apparu en premier sur TTCgroupe.

Le smishing et le vishing sont des types d’attaques de phishing qui tentent d’attirer les victimes par SMS et appels vocaux. Les deux s’appuient sur les mêmes appels émotionnels que ceux utilisés dans les escroqueries de phishing traditionnelles et sont conçus pour vous pousser à agir de manière urgente. La différence est la méthode de livraison.

«Les cyberespions peuvent appliquer des techniques de manipulation à de nombreuses formes de communication car les principes sous-jacents restent constants», explique Stu Sjouwerman, responsable de la sensibilisation à la sécurité, chef de la direction de KnowBe4. Attirez les victimes avec des appâts puis attrapez-les avec des hameçons.

Qu’est-ce que smishing?

Définition du smishing: le smishing (smishing par phishing) est un type d’attaque de phishing par SMS (service de messagerie instantanée) sur un téléphone cellulaire.

Tout comme les escroqueries par phishing par courrier électronique, les messages de smishing incluent généralement une menace ou une incitation à cliquer sur un lien ou à appeler un numéro et à transmettre des informations sensibles. Parfois, ils peuvent vous suggérer d’installer un logiciel de sécurité, qui s’avère être un malware.

Exemple de smishing: un SMS typique peut dire quelque chose comme: «Votre compte ABC Bank a été suspendu. Pour déverrouiller votre compte, appuyez ici: https://…….. ”et le lien fourni téléchargera un programme malveillant sur votre téléphone. Les arnaqueurs savent également s’adapter au support qu’ils utilisent, vous pouvez donc recevoir un message texte indiquant: «Est-ce vraiment une photo de vous? https://……… ”et si vous appuyez sur ce lien pour le savoir, vous êtes à nouveau en train de télécharger des logiciels malveillants.

Qu’est ce que vishing?

Définition du vishing: Le phishing (phishing) est un type d’attaque de phishing par téléphone qui cible souvent les utilisateurs de services de voix sur IP (VoIP) tels que Skype.

Il est facile pour les escrocs de simuler l’identité de l’appelant afin qu’ils puissent sembler appeler à partir d’un indicatif local ou même d’une organisation que vous connaissez. Si vous ne répondez pas, ils laisseront un message vocal vous invitant à rappeler. Parfois, ce type d’escroquerie emploie un service de réponse téléphonique ou même un centre d’appel qui n’est pas au courant du crime commis.

Encore une fois, l’objectif est d’obtenir les détails de la carte de crédit, les dates de naissance, les ouvertures de session sur les comptes ou parfois simplement de récupérer les numéros de téléphone de vos contacts. Si vous répondez et rappelez, il se peut qu’un message automatisé vous invite à transmettre les données et beaucoup de personnes ne le contestent pas, car elles acceptent les systèmes téléphoniques automatisés dans le quotidien.

Comment prévenir le smishing et le vishing

Nous sommes un peu plus vigilants avec le courrier électronique, car nous sommes habitués à recevoir du spam et des escroqueries sont monnaie courante, mais les SMS et les appels peuvent toujours sembler plus légitimes à beaucoup de gens. Au fur et à mesure que nous faisons de plus en plus nos achats, nos opérations bancaires et nos autres activités en ligne via notre téléphone, les opportunités pour les fraudeurs se multiplient. Pour éviter de devenir une victime, vous devez vous arrêter et réfléchir.

«Le bon sens est une pratique exemplaire et devrait constituer la première ligne de défense d’un individu contre la fraude en ligne ou par téléphone», déclare Sjouwerman.

Bien que le conseil sur la façon d’éviter de devenir victime d’escroqueries par hameçonnage ait été conçu dans l’optique d’escroqueries par courrier électronique, il s’applique également à ces nouvelles formes d’hameçonnage. Au fond, ne faire confiance à personne est un bon point de départ. Ne jamais appuyer ou cliquer sur des liens dans des messages, rechercher des numéros et des adresses de sites Web et les saisir vous-même. Ne donnez aucune information à un appelant sauf si vous êtes certain qu’il est légitime – vous pouvez toujours le rappeler.

Mieux vaut prévenir que guérir, alors privilégiez toujours la prudence. Aucune organisation ne vous reprochera d’avoir raccroché puis de les appeler directement (après avoir consulté le numéro vous-même) pour vous assurer qu’elles sont bien ce qu’elles prétendent être.

Mettez à jour votre formation de sensibilisation

Bien que rester sur ses gardes soit un conseil solide pour les individus dans la vie quotidienne, la réalité est que les personnes sur le lieu de travail sont souvent négligentes. Ils peuvent être distraits, sous pression et avoir envie de travailler, et les escroqueries peuvent être extrêmement intelligentes. Que se passe-t-il si le SMS semble provenir du PDG, ou si l’appel semble provenir d’un responsable des ressources humaines? Vous pouvez renforcer vos employés et renforcer vos défenses avec une formation adéquate et des politiques claires.

Chaque entreprise devrait avoir une sorte de programme de formation obligatoire et régulier de sensibilisation à la sécurité. Cela peut inclure les meilleures pratiques pour la sécurité générale, mais également définir des règles, telles que les personnes à contacter en cas de doute, ou des règles sur la manière dont certaines communications sensibles seront traitées, facilitant la détection des tentatives de tromperie.

Si vous subissez une forme quelconque d’attaque par hameçonnage, apportez des modifications pour que cela ne se reproduise plus jamais. Cela devrait également informer votre formation en matière de sécurité.

La majorité des attaques de smishing et de vishing ne sont pas signalées, ce qui fait le jeu des cybercriminels. Même si vous êtes assez intelligent pour ignorer les derniers SMS ou appels suspects, Marge en comptabilité ou Dave en ressources humaines en seront peut-être victimes. Si vous avez mis en place un système permettant aux personnes de signaler ces tentatives d’attaques, et même éventuellement une petite récompense, vous avez alors la possibilité de prévenir les autres.

Alors que le phishing continue d’évoluer et de trouver de nouveaux vecteurs d’attaque, nous devons être vigilants et constamment mettre à jour nos stratégies pour le combattre.

L’article Smishing et vishing: comment fonctionnent ces cyberattaques et comment les prévenir est apparu en premier sur TTCgroupe.