EZINE Secu9

FÉVRIER 2019
N O. 9
INFORMATION ÉDITO :
L’ART DÉLICAT
SÉCURITÉ
DE L’ÉQUILIBRE
LES MESSAGERIES
ÉLECTRONIQUES,
VECTEURS DE TANT
DE CYBERMENACES
SÉCURITÉ DE L’E-MAIL :
BARRACUDA, PROOFPOINT
ET VADE SECURE
MUSCLENT LEURS OFFRES
PHISHING :
L’AUTHENTIFICATION À
FACTEURS MULTIPLES,
RESTE UN (BON) DÉBUT
COMMENT PROTÉGER
LES UTILISATEURS DU
PHISHING SUR LES
TERMINAUX MOBILES ?
QUELS OUTILS
POUR SENSIBILISER
AU PHISHING ?
PHISHING : L’AUTHENTIFICATION À FACTEURS

PHISHING :
LA FORMATION
DES UTILISATEURS
MULTIPLES RESTE UN (BON) DÉBUT

CONDAMNÉE À ÉCHOUER ?
CYBERSÉCURITÉ :
LES LABORATOIRES THÉA
MISENT SUR LA
SENSIBILISATION
É D IT O
L’art délicat de l’équilibre

HOME
ÉDITO :
L’ART DÉLICAT
DE L’ÉQUILIBRE
LES MESSAGERIES
PAR VALÉRY MARCHIVE
ÉLECTRONIQUES,
VECTEURS DE TANT
DE CYBERMENACES
Le courrier électronique, les textos, ou encore les messageries et la formation, seules, ne peuvent réussir à protéger des
BARRACUDA, PROOFPOINT instantanées se sont imposés comme des outils de opérations malveillantes.
ET VADE SECURE
communication et d’échange incontournables, dans nos
vies professionnelles et vies privées. Avec au moins une De la même manière, la technique seule ne suffit pas.
PHISHING : conséquence : la contraction du temps, l’accélération de nos
L’AUTHENTIFICATION
À FACTEURS MULTIPLES, tâches et une pression toujours croissante vers l’immédiateté.
Les systèmes de filtrage des messageries ne sont aussi efficaces
que si les algorithmes, les réglages, ou les modèles qui les
COMMENT PROTÉGER Et c’est de cela que cherchent à profiter tous ceux qui se cachent alimentent sont bons, justes et à jour.
LES UTILISATEURS derrière les campagnes de hameçonnage ou phishing, d’arnaque
DU PHISHING SUR LES
TERMINAUX MOBILES ? au président, et plus encore : miser sur une attention relâchée,
Comme dans la plupart des aspects de la sécurité informatique,
sur la volonté d’être rapide et efficace, sur la peur de ne pas
QUELS OUTILS il n’y a donc pas de solution miracle mais une réponse à
POUR SENSIBILISER
faire à temps ce qui est ressenti comme urgent.
plusieurs composantes. Les mécanismes de filtrage en entrée
AU PHISHING ?
en sont une. Les dispositifs de filtrage en sortie, comme les
PHISHING : Cette vulnérabilité de l’humain s’avère intimement liée à nos passerelles Web sécurisées, en sont une autre. La formation
LA FORMATION modes d’organisation. De quoi faire dire à certains que la
DES UTILISATEURS
des personnes participe aussi de la réponse. L’ensemble peut
CONDAMNÉE À ÉCHOUER ? formation des utilisateurs ne peut, en définitive, qu’échouer. encore être complété par des processus internes qui, s’ils sont
susceptibles de réduire la réactivité de l’organisation, jouent
CYBERSÉCURITÉ :
LES LABORATOIRES THÉA L’abaissement des niveaux de conversion observé cependant un rôle important dans sa protection.
MISENT SUR LA au fil de campagnes de hameçonnage simulé peut
SENSIBILISATION
apparaître encourageant. Mais puisqu’il peut suffire
À PROPOS d’un collaborateur visé avec succès, pour que tout le VALÉRY MARCHIVE Rédacteur en chef adjoint LeMagIT.
système d’information soit compromis, la sensibilisation
2 INFORMATION SÉCURITÉ ■ FÉVRIER 2019

ÉTUDE
HOME
ÉDITO :
Les messageries
L’ART DÉLICAT
DE L’ÉQUILIBRE
LES MESSAGERIES
ÉLECTRONIQUES,
VECTEURS DE TANT
électroniques,
DE CYBERMENACES
vecteurs de tant
ET VADE SECURE
de cybermenaces
Courrier électronique, SMS et
autres messageries électroniques
PHISHING :
sont autant de supports de

À FACTEURS MULTIPLES,
COMMENT PROTÉGER transmission de menaces. Qu’il

LES UTILISATEURS
DU PHISHING SUR LES s’agisse de chercher à faire
TERMINAUX MOBILES ?
télécharger un maliciel, visiter une OUI, LE HAMEÇONNAGE SE PORTE BIEN. Plus de la moitié
QUELS OUTILS
POUR SENSIBILISER
page Web frauduleuse, ou encore des sondés d’une récente étude conduite par l’institut
Ponemon avec Yubico a indiqué connaître une victime
AU PHISHING ?
conduire une arnaque. Et cela ne d’une telle opération dans leur vie personnelle, contre
PHISHING :
LA FORMATION
semble pas prêt de s’arrêter. 44 % dans leur environnement professionnel. Pour
DES UTILISATEURS
expliquer l’efficacité du hameçonnage, il y a peut-être
CONDAMNÉE À ÉCHOUER ? d’abord une question de sensibilisation.
CYBERSÉCURITÉ :
LES LABORATOIRES THÉA Selon Proofpoint, la connaissance du concept de phishing
MISENT SUR LA apparaît plutôt bonne en France : 65 % des personnes
SENSIBILISATION
interrogées dans le cadre de l’édition 2019 de son
À PROPOS Par Valéry Marchive étude sur l’état du hameçonnage semblent connaître le
sujet. Mais le taux tombe à 40 % pour le ransomware.

ÉTUDE
HOME
ÉDITO :
L’ART DÉLICAT Dommage, car il est plus que fréquent qu’un tel systèmes d’information sondés dans le cadre de l’étude
DE L’ÉQUILIBRE
maliciel soit distribué par le même vecteur : le courrier de Proofpoint indiquent avoir subi des attaques par
LES MESSAGERIES électronique. Mais le phishing peut aussi passer par les hameçonnage en 2018 – et 64 % pour du phishing ciblé.
ÉLECTRONIQUES, messages texte, les SMS. Et là, le concept, dit smishing, Et ils sont même 49 % à avoir été confrontés au smishing
VECTEURS DE TANT
DE CYBERMENACES n’apparaît connu que de 39 % des sondés dans l’Hexagone. ou au vishing. La compromission de comptes utilisateurs
Quant au vishing – pratique basée sur un appel vocal –, le est, sans surprise, la première conséquence évoquée, à
niveau de sensibilisation tombe à 15 %. 65 %, tout juste devant l’infection par maliciel, à 49 %.
ET VADE SECURE
PHISHING : PERSONNE N’EST À L’ABRI

L’AUTHENTIFICATION Et que l’on ne s’y trompe pas : les natifs du numérique ne « Les natifs du numérique ne
RESTE UN (BON) DÉBUT semblent pas être les mieux armés face à la menace. Selon semblent pas être les mieux armés
COMMENT PROTÉGER
l’étude de Proofpoint, le concept de fishing n’apparaît face à la menace. »
LES UTILISATEURS
maîtrisé que par 58 % de cette population, et même 47 %
DU PHISHING SUR LES pour celle qui la suit, les 18-21 ans. C’est à partir de 38
TERMINAUX MOBILES ?
ans que l’on trouve la sensibilisation la plus élevée. Ce qui
QUELS OUTILS vaut également pour les ransomwares. Les outils de protection sont largement répandus.
POUR SENSIBILISER Mais ils ne font pas de miracles. Alors le recours à la
AU PHISHING ?
Pour certaines entreprises, les conséquences peuvent formation et à la sensibilisation apparaît croissant :
PHISHING : être importantes. De nombreux groupes de pirates 95 % des sondés par Proofpoint indiquent chercher
LA FORMATION
DES UTILISATEURS
particulièrement avancés font appel au phishing pour à apprendre aux utilisateurs à reconnaître les pièges.
CONDAMNÉE À ÉCHOUER ? s’introduire dans les systèmes d’information de leurs Mais là encore, cela n’apparaît pas suffisant pour
victimes. FireEye l’a tout récemment révélé comme vecteur éliminer pleinement le risque. Ainsi, en moyenne, 11 %
CYBERSÉCURITÉ :
LES LABORATOIRES THÉA d’infection initial utilisé par le groupe APT39. Mais cela des utilisateurs finaux mis à l’épreuve dans une fausse
MISENT SUR LA vaut pour les groupes malveillants GreyEnergy et Sofacy, campagne de phishing se laissent aller à cliquer sur
SENSIBILISATION
comme l’a tout aussi récemment souligné Kaspersky. le lien menant vers le site frauduleux. Et même 4 % y
À PROPOS fournissent les données recherchées.
Et justement, 83 % des professionnels de la sécurité des

ÉTUDE
HOME
ÉDITO :
L’ART DÉLICAT PRÉVOIR UNE DÉFENSE À PLUSIEURS NIVEAUX des polices de caractère spécifiques.
DE L’ÉQUILIBRE
Une surprise ? Pas tant que ça. Car les attaquants ne
LES MESSAGERIES tarissent pas de créativité pour leurrer les mécanismes Pour le NCSC, l’homologue britannique de l’Anssi, il faut
ÉLECTRONIQUES, de filtrage et les utilisateurs finaux, comme le soulignait donc être préparé à ce que des opérations de phishing
VECTEURS DE TANT
DE CYBERMENACES l’APWG dans son rapport trimestriel publié en décembre visant ses collaborateurs réussissent. Car c’est bien simple,
dernier. Cela commence par un recours croissant à des « aucune formation, de quelque type que ce soit, ne peut
certificats pour donner une illusion de légitimité aux sites apprendre aux utilisateurs à débusquer à tous les coups un
ET VADE SECURE frauduleux, pour des domaines déposés et hébergés sur [e-mail] de phishing. Et repérer le hameçonnage ciblé est
des serveurs loués, plutôt que sur des espaces détournés. encore plus difficile. Même nos experts ont du mal ». n
PHISHING : Mais il faut aussi compter avec le recours à des caractères
L’AUTHENTIFICATION spéciaux pour permettre à un domaine frauduleux de
À FACTEURS MULTIPLES, VALÉRY MARCHIVE
RESTE UN (BON) DÉBUT mieux prendre l’apparence d’un domaine légitime, voire à
COMMENT PROTÉGER
LES UTILISATEURS
DU PHISHING SUR LES
TERMINAUX MOBILES ?
QUELS OUTILS
POUR SENSIBILISER
AU PHISHING ?
PHISHING :
LA FORMATION
DES UTILISATEURS
CYBERSÉCURITÉ :
MISENT SUR LA
SENSIBILISATION
À PROPOS

MA R CH É
HOME
ÉDITO :
Sécurité de l’e-mail :
L’ART DÉLICAT
DE L’ÉQUILIBRE
LES MESSAGERIES
ÉLECTRONIQUES, Barracuda, Proofpoint
VECTEURS DE TANT
DE CYBERMENACES
et Vade Secure
ET VADE SECURE
musclent leurs offres
Les deux premiers profitent de PROOFPOINT A ANNONCÉ, en fin d’été, une solution visant
PHISHING :
récents rachats pour présenter à réduire le délai de gestion des courriels suspects –
des solutions intégrées et

ou résolument malveillants – signalés aux utilisateurs.
RESTE UN (BON) DÉBUT Baptisée Clear, pour Closed-Loop Email Analysis and
renforcées de protection contre Response, cette solution s’appuie sur la technologie de
les menaces transitant par le
COMMENT PROTÉGER
LES UTILISATEURS
Wombat, dont Proofpoint a effectué l’acquisition en
début d’année.
courrier électronique. Le Français
DU PHISHING SUR LES
TERMINAUX MOBILES ?
QUELS OUTILS joue la carte de l’apprentissage À l’époque, Gary Steele, le Pdg de l’éditeur, spécialiste
POUR SENSIBILISER
AU PHISHING ? automatique pour détecter le de la protection de la messagerie électronique, justifiait
l’opération en rappelant que les attaquants « visent les
PHISHING :
phishing ciblé. employés comme maillon faible ». D’où le besoin d’entraîner
LA FORMATION
DES UTILISATEURS
ceux-ci continuellement et de « les armer de données en
CONDAMNÉE À ÉCHOUER ? temps réel sur les menaces », mais également de profiter
de leurs signalements pour enrichir la connaissance de la
CYBERSÉCURITÉ :
LES LABORATOIRES THÉA menace et accélérer son traitement. C’est tout l’objet de la
MISENT SUR LA plateforme PhishAlarm de Wombat.
SENSIBILISATION
À PROPOS Par Valéry Marchive De son côté, Barracuda Networks a lancé Total Email
Protection, une offre complète recouvrant tout ce que

MA R CH É
HOME
ÉDITO :
L’ART DÉLICAT propose l’équipementier en matière de protection Enfin, Vade Secure a présenté à l’automne IsItPhishing
DE L’ÉQUILIBRE
de la messagerie électronique. Il faut ainsi compter Threat Detection, une solution pensée pour les centres
LES MESSAGERIES sur Essentials, pour le filtrage (entrant et sortant), la opérationnels de sécurité (SOC) afin d’aider à identifier
ÉLECTRONIQUES, sauvegarde, et l’archivage du courrier électronique – avec et bloquer les attaques par hameçonnage ciblé. Une API
VECTEURS DE TANT
DE CYBERMENACES en prime la découverte automatique des contenus – pour permet ainsi l’intégration de la solution avec un système
G-Suite, Office 365, Exchange, et CE en mode SaaS, ou de gestion des informations et des événements de
via un fournisseur de services de sécurité managés. À sécurité (SIEM), ou d’orchestration et d’automatisation
ET VADE SECURE cela, Barracuda ajoute Sentinel, son service de protection (SOAR). IsItPhishing met à profit des modèles établis par
contre le hameçonnage ciblé ou encore les courriels apprentissage automatique et entraînés sur les données
PHISHING : frauduleux, exploitant notamment l’apprentissage des 500 millions de boîtes de courrier électronique
L’AUTHENTIFICATION automatique. protégées par Vade Retro, ainsi que les plus de 6 millions
RESTE UN (BON) DÉBUT d’URL analysées chaque jour dans ce cadre.
À cet éventail technique, l’équipementier ajoute la
COMMENT PROTÉGER
LES UTILISATEURS
sensibilisation des utilisateurs, fruit du rachat de Pour sa solution, Vade Secure a été amené à multiplier
DU PHISHING SUR LES PhishLine annoncé en janvier dernier. À l’époque, les innovations afin d’analyser les pages auxquelles
TERMINAUX MOBILES ?
Barracuda Networks soulignait la complémentarité de conduisent les URL examinées. Cela commence par le
QUELS OUTILS l’approche, entre sensibilisation et analyse des risques, remplacement aléatoire des jetons contenus dans les
POUR SENSIBILISER d’une part, et protection technique par filtrage de l’autre. URL afin d’éviter de « griller » le moteur d’analyse. À ceci
AU PHISHING ?
s’ajoute l’utilisation d’une trentaine de combinaisons
PHISHING : Mais encore récemment, Barracuda s’est engagé plus navigateur/système d’exploitation pour éviter de passer
LA FORMATION
DES UTILISATEURS
loin, avec Forensics and Incident Response, un complément à côté de contenus malicieux conçus pour n’apparaître
CONDAMNÉE À ÉCHOUER ? de son offre Total Email Protection qui doit aider les que pour un certain type de cible – dont les utilisateurs
administrateurs à enquêter sur les occurrences de de terminaux mobiles. Vade Secure ajoute à tout
CYBERSÉCURITÉ :
LES LABORATOIRES THÉA tentatives d’attaques ciblées par messagerie électronique. ça l’utilisation de fuseaux horaires différents, pour
MISENT SUR LA L’outil doit aider à identifier les utilisateurs concernés, débusquer les attaques visant des régions spécifiques. n
SENSIBILISATION
à supprimer les courriels impliqués de leurs boîtes de
À PROPOS messagerie, et à alerter les collaborateurs visés au plus vite.
VALÉRY MARCHIVE

PR É VE N T IO N
HOME
ÉDITO :
Phishing :
L’ART DÉLICAT
DE L’ÉQUILIBRE
LES MESSAGERIES
ÉLECTRONIQUES,
VECTEURS DE TANT
l’authentification
DE CYBERMENACES
à facteurs multiples,
ET VADE SECURE
reste un (bon) début
PHISHING :
Pour lutter contre le vol
À FACTEURS MULTIPLES, d’identifiants, l’authentification
à facteurs multiples est souvent
COMMENT PROTÉGER
LES UTILISATEURS
présentée comme une aide
DU PHISHING SUR LES
TERMINAUX MOBILES ?
précieuse. Mais l’ingéniosité
croissante des attaquants en a C’ÉTAIT IL Y A UN AN. Pan Chan et Trevor Haskell, chez
FireEye (entreprise de sécurité informatique américaine),
considérablement affaibli l’efficacité.
QUELS OUTILS
POUR SENSIBILISER le rappelaient : « l’authentification à second facteur
AU PHISHING ?
En particulier pour certaines ajoute une couche d’authentification supplémentaire aux
PHISHING :
LA FORMATION méthodes. traditionnels nom d’utilisateur et mot de passe ». Souvent
évoquée sous le terme 2FA, pour 2 Factor Authentication,
DES UTILISATEURS
CONDAMNÉE À ÉCHOUER ? cette technique s’appuie généralement sur des mots de
passe à usage unique – ou OTP, pour One Time Password
CYBERSÉCURITÉ :
LES LABORATOIRES THÉA – ou des notifications poussées sur un terminal mobile.
MISENT SUR LA « Les OTP sont générés par un second appareil, comme un
SENSIBILISATION
jeton physique, et sont liés à un utilisateur donné. Ces mots
À PROPOS Par Valéry Marchive de passe expirent après 30 à 60 secondes et ne peuvent être
réutilisés ». De leur côté, les notifications sont adressées

PR É VE N T IO N
HOME
ÉDITO :
L’ART DÉLICAT à un terminal mobile de l’utilisateur afin que ce dernier S’il était encore nécessaire de s’en convaincre, ce n’est
DE L’ÉQUILIBRE
confirme la demande d’authentification. « Ces deux donc pas pour rien si le très sérieux Nist américain
LES MESSAGERIES implémentations protègent les utilisateurs des campagnes recommande depuis juillet 2016 d’abandonner le SMS
ÉLECTRONIQUES, traditionnelles de phishing qui se contentent du nom pour l’envoi de codes OTP. La pratique est toutefois
VECTEURS DE TANT
DE CYBERMENACES d’utilisateur et du mot de passe ». encore largement répandue, ne serait-ce que dans le
monde de la banque.
ET VADE SECURE DES VULNÉRABILITÉS DÉSORMAIS BIEN CONNUES
Las, malgré une popularité croissante, induite par le DES ATTAQUES DE PLUS EN PLUS FRÉQUENTES
PHISHING : besoin d’aller au-delà des simples mots de passe – même En décembre dernier, Amnesty International a même
L’AUTHENTIFICATION complexes et robustes –, « les implémentations de la 2FA tiré la sonnette d’alarme sur plusieurs campagnes de
RESTE UN (BON) DÉBUT ont été mises en défaut par des techniques de hameçonnage vol d’identifiants, notamment au Moyen-Orient et en
en temps réel ». Le phénomène n’est pas nouveau. Comme Afrique du Nord, contournant les mécanismes de 2FA.
COMMENT PROTÉGER
LES UTILISATEURS
le rappelaient l’an dernier Pan Chan et Trevor Haskell, Elles visent notamment les utilisateurs de services de
DU PHISHING SUR LES de telles techniques sont évoquées depuis bientôt dix communication particulièrement sécurisés comme
TERMINAUX MOBILES ?
ans. FireEye lui-même a développé un outil dédié, ProtonMail, mais pas uniquement.
QUELS OUTILS baptisé Reelphish et utilisé dans le cadre de sessions
POUR SENSIBILISER d’entraînement – des engagements dits de red team. Et la situation est probablement appelée à ne pas
AU PHISHING ?
s’améliorer. Un chercheur a récemment rendu public,
PHISHING : S’il le fallait, le temps n’a fait que confirmer leurs sur Github, un outil appelé Modlishka : un « proxy inversé
LA FORMATION
DES UTILISATEURS
assertions. Des vulnérabilités dans le protocole flexible et puissant » conçu à des fins pédagogiques,
CONDAMNÉE À ÉCHOUER ? de signalisation utilisé dans les réseaux de mais qui peut également être utilisé à mauvais escient
télécommunications commutés, SS7, ont permis pour conduire des attaques de phishing contournant,
CYBERSÉCURITÉ :
LES LABORATOIRES THÉA d’intercepter des communications et des messages texte, de manière automatisée, certains mécanismes
MISENT SUR LA à l’instar de SMS contenant des OTP. Des utilisateurs du d’authentification à deux facteurs.
SENSIBILISATION
très populaire Reddit en ont fait l’amère expérience. Et
À PROPOS c’est sans compter sur les attaques basées sur l’échange de Pour Pan Chan et Trevor Haskell, il n’est pas question
cartes SIM. d’abandonner la 2FA : « ce n’est pas une solution parfaite,

PR É VE N T IO N
HOME
ÉDITO :
L’ART DÉLICAT mais elle ajoute une couche de sécurité ». Même son de Opera les supportent, de même que Microsoft Edge
DE L’ÉQUILIBRE
cloche du côté d’Amnesty International : « ne vous trompez et Windows 10, dans le cadre de la plateforme Hello.
LES MESSAGERIES pas, l’authentification à double facteur est importante et vous Une extension développée indépendamment d’Apple
ÉLECTRONIQUES, devriez vous assurer de l’activer partout où vous le pouvez ». ouvre son navigateur Safari aux clés U2F. Mais le groupe
VECTEURS DE TANT
DE CYBERMENACES prépare le support de WebAuthn, un standard permettant
l’authentification auprès de sites Web via des clés
DE NOUVEAUX MÉCANISMES PLUS ROBUSTES cryptographiques FIDO.
ET VADE SECURE Mais pour les experts de FireEye, la 2FA doit donc
être appréhendée comme « un mécanisme de sécurité Mark Risher, responsable de la sécurité des comptes
PHISHING : susceptible d’échouer comme n’importe quel autre. Et les chez Google, estime aujourd’hui que la 2FA « devrait
L’AUTHENTIFICATION organisations doivent être préparées à limiter l’impact d’une être le point de départ » pour les entreprises, une base
RESTE UN (BON) DÉBUT telle mise en défaut ». incontournable en somme. Car même si sa mise en
œuvre représente des coûts – techniques et de formation,
COMMENT PROTÉGER
LES UTILISATEURS
En outre, certains mécanismes d’authentification à deux notamment –, « l’actualité récente a montré que toutes les
DU PHISHING SUR LES facteurs peuvent résister – à condition qu’ils soient entreprises ont quelque chose à perdre ». n
TERMINAUX MOBILES ?
mis en œuvre correctement – à certaines attaques
QUELS OUTILS visant à contourner la 2FA. Et cela commence par ceux
POUR SENSIBILISER basés sur des clés cryptographiques U2F, à l’instar de VALÉRY MARCHIVE
AU PHISHING ?
celles de Yubico. Les navigateurs Chrome, Firefox et
PHISHING :
LA FORMATION
DES UTILISATEURS
CYBERSÉCURITÉ :
MISENT SUR LA
SENSIBILISATION
À PROPOS

CO N S E IL S
HOME
ÉDITO :
Comment protéger
L’ART DÉLICAT
DE L’ÉQUILIBRE
LES MESSAGERIES
ÉLECTRONIQUES, les utilisateurs
VECTEURS DE TANT
DE CYBERMENACES
du phishing sur les
ET VADE SECURE
terminaux mobiles ?
Les utilisateurs peuvent, sur
PHISHING :
leurs appareils mobiles, prendre
des décisions cruciales pour
la sécurité des données et de
l’infrastructure de l’entreprise.
COMMENT PROTÉGER
LES UTILISATEURS
Il est ainsi essentiel d’améliorer

DU PHISHING SUR LES
TERMINAUX MOBILES ?
QUELS OUTILS la prévention des attaques par LES EMPLOYÉS UTILISENT DES SMARTPHONES pour de
POUR SENSIBILISER
AU PHISHING ? hameçonnage (“phishing”). nombreuses tâches qu’ils réalisaient précédemment sur
un poste de travail traditionnel ou un ordinateur portable,
PHISHING : à commencer par la gestion de leur courrier électronique
LA FORMATION
DES UTILISATEURS
et la navigation sur le Web. C’est là que la menace du
CONDAMNÉE À ÉCHOUER ? hameçonnage mobile peut frapper, via l’e-mail, les SMS
ou toute messagerie instantanée. Et le problème posé
CYBERSÉCURITÉ :
LES LABORATOIRES THÉA par ce type de “phishing” n’est pas mince. De fait, en
MISENT SUR LA la matière, il peut suffire d’un utilisateur berné pour
SENSIBILISATION
que l’entreprise se trouve empêtrée dans d’importants
À PROPOS Par Kevin Beaver & Valéry Marchive problèmes. Et tout naturellement, les attaquants
s’intéressent de plus en plus à ces cibles.

CO N S E IL S
HOME
ÉDITO :
L’ART DÉLICAT Lookout le rappelait d’ailleurs au printemps 2018 : qu’il est là, presque tout repose sur l’utilisateur. Lorsque
DE L’ÉQUILIBRE
le hameçonnage sur les terminaux mobiles se porte les utilisateurs commencent à prendre des décisions de
LES MESSAGERIES bien, très bien même. Et les raisons ne manquent pas : sécurité, des choses qui échappent au contrôle du service
ÉLECTRONIQUES, des appareils qui ne profitent pas des mécanismes de informatique sont susceptibles de survenir.
VECTEURS DE TANT
DE CYBERMENACES filtrage et de protection pouvant être déployés au sein de
l’infrastructure interne des entreprises ; des clients de Ce que le service informatique peut faire de mieux,
messagerie qui n’offrent pas forcément la même visibilité c’est former les utilisateurs. Ceux-ci ne prennent pas
ET VADE SECURE sur les contenus que leurs homologues pour postes de systématiquement le temps de la réflexion avant d’agir
travail classiques ; ou encore une méfiance des utilisateurs sur leurs terminaux mobiles. Ils apprennent à ne pas
PHISHING : émoussée par des appareils qui s’inscrivent encore plus cliquer ou ouvrir des liens suspects, mais l’expérience est
L’AUTHENTIFICATION dans l’immédiateté. différente sur un terminal mobile. Là, les utilisateurs ne
RESTE UN (BON) DÉBUT peuvent pas survoler un lien de la même façon que sur un
Michel Shaulov, chef de produit sécurité cloud de Check ordinateur classique.
COMMENT PROTÉGER
LES UTILISATEURS
Point, le reconnaissait d’ailleurs début 2017 : protéger
DU PHISHING SUR LES contre le hameçonnage les utilisateurs de terminaux Le service informatique doit donc s’assurer que les
TERMINAUX MOBILES ?
mobiles est une chose difficile. À l’époque, Sandblast utilisateurs savent comment examiner le lien avant
QUELS OUTILS Mobile n’était capable de détecter que des liens malicieux d’ouvrir effectivement la page correspondante. Des
POUR SENSIBILISER connus envoyés par SMS ou le service iMessage d’Apple. mécanismes de remontée rapide de liens suspects vers le
AU PHISHING ?
Mais les capacités de blocage d’ouverture de ces URL service informatique ou les équipes de sécurité doivent
PHISHING : étaient encore limitées. également avoir été mis en place.
LA FORMATION
DES UTILISATEURS
CONDAMNÉE À ÉCHOUER ? Les utilisateurs constituent aujourd’hui l’un des plus
LA SENSIBILISATION, ENCORE ET TOUJOURS grands risques pour les entreprises. Mais les services
CYBERSÉCURITÉ :
LES LABORATOIRES THÉA Contrer la menace d’hameçonnage sur les appareils informatiques ne doivent pas s’attendre à ce que les
MISENT SUR LA mobiles commence par le recours aux technologies de utilisateurs soient des experts en sécurité. Il convient alors
SENSIBILISATION
protection classiques contre le phishing et de filtrage des d’identifier les faiblesses dans le contexte du phishing
À PROPOS e-mails indésirables. Car le fait que le phishing parvienne mobile, pour ensuite réfléchir à la manière dont il serait
au terminal mobile est un problème en soi : une fois possible d’éliminer les risques les plus faciles à traiter.

CO N S E IL S
HOME
ÉDITO :
L’ART DÉLICAT BLOQUER L’OUVERTURE D’ADRESSES FRAUDULEUSES s’appuie sur une passerelle –, celle de Lookout qui vérifie
DE L’ÉQUILIBRE
Les éditeurs s’intéressent de plus en plus à la protection les URL demandées avant le chargement de la page, voire
LES MESSAGERIES sur les terminaux eux-mêmes. Lancé à l’été dernier, celle de Fyde qui s’appuie sur un pseudo-VPN en local
ÉLECTRONIQUES, Sandblast Mobile 3.0 est ainsi désormais capable d’assurer sur le terminal. Et cela vaut également pour SEP Mobile,
VECTEURS DE TANT
DE CYBERMENACES un filtrage d’URL « dans tous les navigateurs Web, ainsi que de Symantec, dans de la cadre de son intégration avec le
les applications autres comme Facebook Messenger, Slack, service WSS, ou Web Security Service. n
WhatsApp et d’autres encore ». Il profite pour cela de la
ET VADE SECURE base de connaissance du ThreatCloud de l’équipementier.
PHISHING : Avec cette exhaustivité du périmètre couvert, Sandblast VALÉRY MARCHIVE & KEVIN BEAVER
L’AUTHENTIFICATION Mobile rejoint ainsi des concurrents comme la (rédacteur SearchSecurity - groupe Techtarget propriétaire du
RESTE UN (BON) DÉBUT solution de Better Mobile Security, avec sa technologie MagIT - et consultant sécurité de l’information)
SmartBlocker, ou encore celle de Wandera – mais qui
COMMENT PROTÉGER
LES UTILISATEURS
DU PHISHING SUR LES
TERMINAUX MOBILES ?
QUELS OUTILS
POUR SENSIBILISER
AU PHISHING ?
PHISHING :
LA FORMATION
DES UTILISATEURS
CYBERSÉCURITÉ :
MISENT SUR LA
SENSIBILISATION
À PROPOS

S E N S IBIL IS A T IO N
HOME
ÉDITO :
Quels outils
L’ART DÉLICAT
DE L’ÉQUILIBRE
LES MESSAGERIES
ÉLECTRONIQUES, pour sensibiliser
VECTEURS DE TANT
DE CYBERMENACES
au phishing ?
BARRACUDA, PROOFPOINT La prise de conscience semble C’ÉTAIT AU MOIS DE FÉVRIER 2018 : PhishMe annonçait son
ET VADE SECURE
MUSCLENT LEURS OFFRES là : le volet technique de la rachat par un fonds d’investissement non dévoilé, ainsi
que son changement de nom pour Cofense. Objectif : se
PHISHING :
prévention du hameçonnage ne donner les moyens de lancer de futures « initiatives de
À FACTEURS MULTIPLES, suffit plus. Plusieurs opérations croissance organique et externe ».
capitalistiques l’ont récemment Dans l’édition 2017 de son quadrant magique sur la
COMMENT PROTÉGER
LES UTILISATEURS
montré. Ainsi que la multiplication formation (Security Awareness Computer-Based Training
DU PHISHING SUR LES
TERMINAUX MOBILES ?
des outils. - SACBT) à la cybersécurité, Gartner plaçait PhishMe
parmi les leaders, aux côtés notamment de KnowBe4
QUELS OUTILS et de Wombat Technologies. Et justement, ce dernier
POUR SENSIBILISER a depuis été racheté par Proopoint pour 225 M$ en
AU PHISHING ?
numéraire. Pour l’éditeur, c’est bien simple, il convient
PHISHING : de former mieux et plus, mais également d’utiliser
LA FORMATION
DES UTILISATEURS
les remontées des collaborateurs – via la plateforme
CONDAMNÉE À ÉCHOUER ? PhishAlarm de Wombat – pour enrichir la connaissance
de la menace. Cofense propose également un tel outil,
CYBERSÉCURITÉ :
LES LABORATOIRES THÉA avec l’agent PhishMe Reporter.
MISENT SUR LA
SENSIBILISATION
Au mois de janvier 2018, c’était Barracuda Networks
À PROPOS Par Valéry Marchive qui avait annoncé le rachat de PhishLine. Comme pour
Proofpoint, il s’agissait d’ajouter la sensibilisation des

S E N S IBIL IS A T IO N
HOME
ÉDITO :
L’ART DÉLICAT utilisateurs à la lutte technique contre le hameçonnage, Mais l’offre est loin d’être limitée à ces quelques
DE L’ÉQUILIBRE
via le filtrage de la messagerie. exemples. Rapid7 propose, avec InsightPhishing, sa
LES MESSAGERIES propre plateforme de test et de simulation, à l’instar
ÉLECTRONIQUES, La question de la place des collaborateurs de l’entreprise de Sophos, Trend Micro, ou de Duo Security, et même
VECTEURS DE TANT
DE CYBERMENACES dans sa stratégie de sécurité est régulièrement posée. Ce de Microsoft avec Attack Simulator for Office 365
fut d’ailleurs le sujet d’une table ronde aux Assises de la Threat Intelligence. Le Français Conscio Technologies
Sécurité, à l’automne 2017. Jérôme Saiz, consultant et propose également un outil de gestion de campagnes
ET VADE SECURE animateur de cette table ronde soulignait alors la nature de simulation de phishing, dans le cadre de son offre de
clivante du sujet. sensibilisation Sensiwave. Et il ne faut pas oublier les
PHISHING : incontournables SecurityIQ PhishSim et Lucy.
L’AUTHENTIFICATION Mais les investisseurs – et les entreprises clientes des
RESTE UN (BON) DÉBUT plateformes telles que celles de Wombat et PhishMe – Autant de plateformes auxquelles il convient d’en ajouter
semblent avoir tranché et choisi de miser résolument d’autres, disponibles en open source, à l’instar du célèbre
COMMENT PROTÉGER
LES UTILISATEURS
sur l’utilisateur final. Wombat s’est ainsi vendu 225 M$ GoPhish, et de ReelPhish, développé par FireEye.
DU PHISHING SUR LES alors qu’il avait levé moins de 11 M$ depuis sa création en
TERMINAUX MOBILES ?
2008. De son côté, en près de 7 ans d’existence, PhishMe Les équipes du Cert (Computer Emergency Readiness
QUELS OUTILS avait levé près de 60 M$. Il indique que sa vente le Team) de la Société Générale, ont également mis au point
POUR SENSIBILISER valorise aujourd’hui à 400 M$. leur propre plateforme de lancement de simulation de
AU PHISHING ?
campagnes de hameçonnage, Swordphish. Développée
PHISHING : « Même des partenaires spécialistes de la cybersécurité se font en Python et tout juste rendue publique, elle vise à aider à
LA FORMATION
DES UTILISATEURS
piéger ». C’était le constat de Sébastien Gest, évangéliste élever la conscience de la menace chez les utilisateurs en
CONDAMNÉE À ÉCHOUER ? chez Vade Secure, alors qu’il présentait à la rédaction le entreprise – mais également à vérifier le fait qu’ils informent
site Web développé par l’éditeur pour aider à la prise de correctement les équipes de sécurité – et s’appuie sur
CYBERSÉCURITÉ :
LES LABORATOIRES THÉA conscience : il propose un simple test de reconnaissance Django, Celery, PostgreSQL et Bootstrap pour fonctionner. n
MISENT SUR LA de courriels de hameçonnage basé sur dix exemples bien
SENSIBILISATION
réels. Le piège ? Après quelques succès, le visiteur peut se
À PROPOS laisser à gagner en confiance ; la vigilance se relâche ; les VALÉRY MARCHIVE
résultats reculent.

F O R MA T IO N
HOME
ÉDITO :
Phishing :
L’ART DÉLICAT
DE L’ÉQUILIBRE
LES MESSAGERIES
ÉLECTRONIQUES, la formation
VECTEURS DE TANT
DE CYBERMENACES
des utilisateurs
ET VADE SECURE
condamnée à
échouer ?
PHISHING :
L’AUTHENTIFICATION Forte de plusieurs expériences
conduites en interne, Karla
COMMENT PROTÉGER Burnett, de Stripe, estime que la

LES UTILISATEURS
DU PHISHING SUR LES sensibilisation des utilisateurs au LE FACTEUR HUMAIN reste clé dans de nombreuses attaques.
TERMINAUX MOBILES ?
hameçonnage ne peut pas réussir. Selon Proofpoint, au cours du second semestre 2016, « le
QUELS OUTILS
POUR SENSIBILISER
Elle explique pourquoi et articule passage aux exploits centrés sur l’humain a été bien établi.
Un total de 99 % des attaques de fraude financière par e-mail
AU PHISHING ?
une piste de réflexion technique. nécessitait des clics humains plutôt que de s’appuyer sur des
PHISHING : exploits automatisés pour installer des logiciels malveillants ».
LA FORMATION
DES UTILISATEURS
Et la tendance vaut aussi pour le hameçonnage, via des
CONDAMNÉE À ÉCHOUER ? courriels menant vers des pages Web frauduleuses : « en
moyenne, 90 % des messages malicieux contenant des URL
CYBERSÉCURITÉ :
LES LABORATOIRES THÉA menaient vers des pages de vol d’identifiants », plutôt que
MISENT SUR LA vers des contenus provoquant le téléchargement de code
SENSIBILISATION
malicieux. Dans le cas des rançongiciels, Malwarebyte
À PROPOS Par Valéry Marchive estimait mi-2017, que 22 % des infections en Europe
trouvent leur origine dans des e-mails.

F O R MA T IO N
HOME
ÉDITO :
L’ART DÉLICAT Mais alors, la sensibilisation des utilisateurs est-elle Elle estime ainsi que « pour le moment, la formation au
DE L’ÉQUILIBRE
insuffisante ou inefficace ? Pour Karla Burnett, ingénieure phishing est centrée sur l’entraînement des personnes à
LES MESSAGERIES en sécurité chez Stripe, un spécialiste du paiement en regarder des URL ou à survoler des liens. Tout cela relève
ÉLECTRONIQUES, ligne, la bonne réponse est hélas la seconde. du second mode de pensée, pas du premier ». Et c’est
VECTEURS DE TANT
DE CYBERMENACES pourtant sur celui-là qu’il conviendrait de s’appuyer car
« l’entrainement au hameçonnage n’est utile que lorsque l’on
TROP PEU DE TEMPS DE CERVEAU DISPONIBLE est déjà méfiant ».
ET VADE SECURE À l’occasion de l’édition 2017 de la conférence Black Hat,
Karla Burnett a présenté ses travaux de recherche, citant
PHISHING : notamment le livre de Daniel Kahneman publié en 2011, DES EXPÉRIENCES ÉDIFIANTES
L’AUTHENTIFICATION « Penser, vite et lentement ». Celui-ci décrit deux modes Pour étayer sa réflexion, Karla Burnett a « testé » les
RESTE UN (BON) DÉBUT de pensée distincts à l’œuvre dans le cerveau humain : ingénieurs de son entreprise, à travers trois campagnes
le premier est rapide, instinctif et souvent… crédule. Le de phishing interne. La première a été lancée fin 2014,
COMMENT PROTÉGER
LES UTILISATEURS
second est plus lent, méthodique et sceptique. en répliquant des messages légitimes de Slack. Le taux de
DU PHISHING SUR LES conversion de l’e-mail au faux site Web mis en place était
TERMINAUX MOBILES ?
Pour Karla Burnett, c’est simple : il est virtuellement bon, mais baissait ensuite car le « domaine incorrect, et le
QUELS OUTILS impossible, y compris pour les utilisateurs les plus manque de connexion HTTPS alertaient » les utilisateurs.
POUR SENSIBILISER préparés, de faire la différence entre un mail légitime et
AU PHISHING ?
une copie visant à le piéger : « cela ne dépend pas de vos La seconde campagne a été lancée quelques mois plus
PHISHING : capacités techniques. Cela s’applique à tous. Tout le monde tard, en copiant GitHub cette fois-ci. En essayant
LA FORMATION
DES UTILISATEURS
est vulnérable à cela ». Mais pourquoi donc ? d’affiner, notamment avec l’utilisation d’une connexion
CONDAMNÉE À ÉCHOUER ? HTTPS à la page Web frauduleuse, mais aussi d’un sous-
Parce que le temps manque pour analyser les messages domaine sur github.io : logln.github.io (mais pas login.
CYBERSÉCURITÉ :
LES LABORATOIRES THÉA entrants avec le second mode de pensée décrit par Daniel github.io, bloqué par GitHub). La version HTML du faux
MISENT SUR LA Kahneman : « il n’y a tout simplement pas assez de temps pour e-mail a converti plus de 50 % de ses destinataires.
SENSIBILISATION
cela dans une journée ». Surtout, selon Karla Burnett, les
À PROPOS efforts de sensibilisation et de formation sont inadaptés. Karla Brunett n’indique pas ici la part des utilisateurs
piégés par la page Web. Mais elle relève que certains ont

F O R MA T IO N
HOME
ÉDITO :
L’ART DÉLICAT ignoré les avertissements de leur gestionnaire de mots dans ma carrière et je ne crois pas qu’elles aient changé le
DE L’ÉQUILIBRE
de passe et ont utilisé le copier/coller pour s’authentifier. comportement de beaucoup de monde ».
LES MESSAGERIES Pire : une part très faible d’utilisateurs a signalé un e-mail
ÉLECTRONIQUES, ou un site Web douteux. Et c’est pour lui d’autant plus difficile que tout est fait pour
VECTEURS DE TANT
DE CYBERMENACES imprégner les utilisateurs de la culture du clic : « inverser
Fin 2016, Stripe a lancé une vaste campagne de cette tendance me parait très difficile ». À commencer par
formation, avant de lancer une troisième campagne de exemple par l’authentification à facteurs multiples.
ET VADE SECURE hameçonnage, utilisant cette fois-ci les codes graphiques
d’AWS. La page Web mensongère était là particulièrement Mais Karla Brunett souligne aussi les limites de
PHISHING : élaborée, allant jusqu’à demander un second facteur l’authentification à double facteur pour la lutte contre la
L’AUTHENTIFICATION d’authentification. Et là, seulement trois mois après compromission de comptes d’utilisateurs par usurpation
RESTE UN (BON) DÉBUT la formation, le taux de conversation a atteint plus de d’identité. Pour elle, il convient en fait de combiner
25 %, depuis l’ouverture de l’e-mail frauduleux jusqu’à la plusieurs technologies : SSO, via un service de fédération
COMMENT PROTÉGER
LES UTILISATEURS
saisie d’identifiants complets, permettant de détourner d’identités, certificats SSL clients, ou encore clés U2F
DU PHISHING SUR LES effectivement des comptes d’utilisateurs. comme celles de Yubico.
TERMINAUX MOBILES ?
QUELS OUTILS Dans un tel scénario, le service final délègue

POUR SENSIBILISER COMBINER PLUSIEURS SOLUTIONS TECHNIQUES l’authentification au service de SSO, configuré lui-même
AU PHISHING ?
En fait, les expériences et l’analyse de Karla Burnett pour valider non seulement un certificat SSL client mais
PHISHING : renvoient à celles de Ryan Kalember, responsable de la aussi une clé U2F « afin de s’assurer que l’utilisateur est bien
LA FORMATION
DES UTILISATEURS
stratégie sécurité de Proofpoint. Dans ce contexte, c’est physiquement présent ». n
CONDAMNÉE À ÉCHOUER ? la question du passage d’une culture de la confiance
aveugle à celle de la défiance qui est posée : « tout le
CYBERSÉCURITÉ :
LES LABORATOIRES THÉA monde dans l’industrie de la sécurité le souhaiterait. Mais VALÉRY MARCHIVE
MISENT SUR LA j’ai dû faire quelques centaines d’opérations de sensibilisation
SENSIBILISATION
À PROPOS

T É MO IG N A G E
HOME
ÉDITO :
Cybersécurité :
L’ART DÉLICAT
DE L’ÉQUILIBRE
LES MESSAGERIES
ÉLECTRONIQUES, les laboratoires
VECTEURS DE TANT
DE CYBERMENACES
Théa misent sur la
ET VADE SECURE
sensibilisation
Pour aller au-delà de ce que
PHISHING :
peut fournir la technologie
comme protection contre
les risques de sécurité
informatique, l’entreprise a
COMMENT PROTÉGER
LES UTILISATEURS
choisi de renforcer sa première

DU PHISHING SUR LES
TERMINAUX MOBILES ?
QUELS OUTILS ligne de défense :

POUR SENSIBILISER
AU PHISHING ? ses utilisateurs.
PHISHING : SENSIBILISER, IMPLIQUER LES UTILISATEURS, pour aller plus loin
LA FORMATION
DES UTILISATEURS
dans la sécurité informatique. Le constat n’est pas isolé et
CONDAMNÉE À ÉCHOUER ? c’est lui qui a conduit les laboratoires Théa à chercher des
moyens pour avancer dans cette direction. À ce titre, un
CYBERSÉCURITÉ :
LES LABORATOIRES THÉA audit de sécurité s’est avéré particulièrement éclairant,
MISENT SUR LA explique Laurent Coraziari, chef de projet au sein des
SENSIBILISATION
laboratoires Théa : « même si, d’un point de vue technique,
À PROPOS Par Valéry Marchive nous disposions déjà d’une base très saine, nous avons
identifié des problèmes liés à des pratiques.

T É MO IG N A G E
HOME
ÉDITO :
L’ART DÉLICAT Par exemple, des impressions étaient laissées à L’objectif était tout d’abord de pouvoir toucher tous les
DE L’ÉQUILIBRE
l’imprimante ». Un système de badges a été mis en place collaborateurs de l’entreprise, jusque dans les filiales
LES MESSAGERIES pour éviter cela. Et c’est sans compter avec l’éternelle à l’étranger. Comme le souligne Laurent Coraziari, les
ÉLECTRONIQUES, question des mots de passe et des utilisateurs qui ne laboratoires Théa sont une entreprise âgée de 25 ans
VECTEURS DE TANT
DE CYBERMENACES comprennent pas forcément pourquoi il est important de et, « à l’époque, nous étions 30, alors qu’aujourd’hui, nous
définir un mot de passe robuste, ni ne savent comment le sommes un millier. Le déploiement à travers le monde est
faire. « Alors nous avons expliqué ». très rapide, avec l’ouverture de trois ou quatre nouvelles
ET VADE SECURE filiales par an ». Il faut donc pouvoir toucher les nouveaux
Une première campagne de sensibilisation a eu lieu au collaborateurs, tout en assurant la sensibilisation en
PHISHING : siège français des laboratoires Théa, couvrant un total de continu du reste des effectifs.
L’AUTHENTIFICATION moins de 300 personnes. Concrètement, un intervenant
RESTE UN (BON) DÉBUT externe a passé quelques heures à évoquer plusieurs D’où le besoin d’une plateforme disponible en plusieurs
points clés liés à la sécurité informatique. Mais l’exercice langues, supportant bien les terminaux mobiles, comme
COMMENT PROTÉGER
LES UTILISATEURS
n’était pas sans limites : il n’a pas touché les collaborateurs les tablettes et les smartphones même si, pour ces
DU PHISHING SUR LES nomades, comme les visiteurs médicaux en déplacement, derniers, l’écran peut toutefois s’avérer un peu petit.
TERMINAUX MOBILES ?
ni ceux des filiales. Et pour certains, l’exercice s’est avéré
QUELS OUTILS « trop scolaire », manquant d’interaction ou de mise en Mais la plateforme de Conscio a aussi, voire surtout,
POUR SENSIBILISER contexte des éléments développés. été retenue pour l’expérience qu’elle procure aux
AU PHISHING ?
utilisateurs : « de petites scénettes assurent la mise en
PHISHING : situation. Il y a bien sûr des questions et des explications,
LA FORMATION
DES UTILISATEURS
TOUCHER DES POPULATIONS VARIÉES mais la personne qui suit la formation ne se sent pas
CONDAMNÉE À ÉCHOUER ? C’est alors fin 2016 que les laboratoires Théa ont passive ». L’interactivité est donc appréciée, de même
choisi de s’appuyer sur la plateforme SensiWave de que la dimension ludique de l’univers proposé.
CYBERSÉCURITÉ :
LES LABORATOIRES THÉA Conscio Technologies pour assurer la sensibilisation
MISENT SUR LA initiale et continue de leurs collaborateurs à la sécurité Les thèmes principaux abordés pour les deux campagnes
SENSIBILISATION
informatique, avant de lancer une première campagne il y organisées en 2017 étaient la mobilité et la sécurité des
À PROPOS a tout juste un an. données, « car certaines personnes se déplacent énormément
et ne faisaient pas forcément très attention en se connectant

T É MO IG N A G E
HOME
ÉDITO :
L’ART DÉLICAT à un réseau WiFi, ou pouvaient laisser leur matériel un tentative de phishing, seules 40 ont ouvert le lien piégé.
DE L’ÉQUILIBRE
peu sans surveillance ». Et puis il fallait sensibiliser aux « Parmi celles-ci, certaines ont reconnu avoir cliqué sans
LES MESSAGERIES niveaux de criticité de certains documents, ainsi qu’à la trop faire attention, un peu ‘par réflexe’ ». Une demi-
ÉLECTRONIQUES, manière d’en gérer le stockage et partage en conséquence. surprise qui souligne l’importance de la sensibilisation.
VECTEURS DE TANT
DE CYBERMENACES Et la dernière campagne de 2017 ne s’est pas montrée
moins satisfaisante, avec un taux de réussite de 96,5 %.
ASSURER L’ADHÉSION DES UTILISATEURS Mais Laurent Coraziari souligne un autre succès de la
ET VADE SECURE Les laboratoires Théa visent à organiser deux campagnes plateforme : « certaines personnes refond un second, voire
de sensibilisation par an, une en février et l’autre même un troisième essai ». n
PHISHING : en septembre. L’an dernier, ils ont ajouté à cela une
L’AUTHENTIFICATION fausse campagne de hameçonnage, avec des résultats
RESTE UN (BON) DÉBUT plutôt positifs : sur 600 personnes visées par la fausse VALERY MARCHIVE
COMMENT PROTÉGER
LES UTILISATEURS
DU PHISHING SUR LES
TERMINAUX MOBILES ?
QUELS OUTILS
POUR SENSIBILISER
AU PHISHING ?
PHISHING :
LA FORMATION
DES UTILISATEURS
CYBERSÉCURITÉ :
MISENT SUR LA
SENSIBILISATION
À PROPOS

TechTarget Security Media Group
HOME
ÉDITO :
L’ART DÉLICAT
DE L’ÉQUILIBRE
INFORMATION SÉCURITÉ
LES MESSAGERIES RÉDACTEUR EN CHEFCyrille Chausson
ÉLECTRONIQUES,
RÉDACTEUR EN CHEF ADJOINT Valéry Marchive
VECTEURS DE TANT
DE CYBERMENACES COORDINATRICE ÉDITORIALE Pascale Roncin
ÉDITEURS Bill Crowley et Byrony Seifert
BARRACUDA, PROOFPOINT ABONNEMENT
ET VADE SECURE
www.lemagit.fr
TechTarget–LeMagIT, 22 rue Léon Jouhaux, 75010 Paris
PHISHING :
COMMENT PROTÉGER
LES UTILISATEURS
DU PHISHING SUR LES
TERMINAUX MOBILES ?
QUELS OUTILS
POUR SENSIBILISER
AU PHISHING ?
PHISHING :
LA FORMATION
DES UTILISATEURS
CYBERSÉCURITÉ :
LES LABORATOIRES THÉA ©2019 TechTarget Inc. Aucun des contenus de cette publication ne peut être transmis ou reproduit quelle que soit sa forme sans l’autorisation écrite de l’éditeur. Les réimpressions
MISENT SUR LA des publications de TechTarget sont disponibles via les services de The YGS Group.
SENSIBILISATION TechTarget édite des publications pour les professionnels de l’IT et propose plus de 100 sites qui fournissent un accès rapide à un stock important d’informations, de conseils,
d’analyses concernant les technologies, les produits et les processus essentiels pour vous aider dans vos fonctions. Nos événements et nos séminaires virtuels vous donnent accès
à l’expertise et aux recommandations d’experts sur les problèmes et défis que vous rencontrez quotidiennement. Notre communauté en ligne “IT Knowledge Exchange” (Echange
À PROPOS de connaissances IT) vous permet de partager vos questions et d’ échanger des informations avec vos pairs et des experts du secteur.

EZINE Secu9

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

EZINE Secu9

Transféré par

Droits d'auteur :

Formats disponibles

FÉVRIER 2019

PHISHING : L’AUTHENTIFICATION À FACTEURS

MULTIPLES RESTE UN (BON) DÉBUT

L’art délicat de l’équilibre

2 INFORMATION SÉCURITÉ ■ FÉVRIER 2019

sont autant de supports de

COMMENT PROTÉGER transmission de menaces. Qu’il

3 INFORMATION SÉCURITÉ ■ FÉVRIER 2019

PHISHING : PERSONNE N’EST À L’ABRI

4 INFORMATION SÉCURITÉ ■ FÉVRIER 2019

5 INFORMATION SÉCURITÉ ■ FÉVRIER 2019

des solutions intégrées et

6 INFORMATION SÉCURITÉ ■ FÉVRIER 2019

7 INFORMATION SÉCURITÉ ■ FÉVRIER 2019

8 INFORMATION SÉCURITÉ ■ FÉVRIER 2019

9 INFORMATION SÉCURITÉ ■ FÉVRIER 2019

10 INFORMATION SÉCURITÉ ■ FÉVRIER 2019

Il est ainsi essentiel d’améliorer

11 INFORMATION SÉCURITÉ ■ FÉVRIER 2019

12 INFORMATION SÉCURITÉ ■ FÉVRIER 2019

13 INFORMATION SÉCURITÉ ■ FÉVRIER 2019

14 INFORMATION SÉCURITÉ ■ FÉVRIER 2019

15 INFORMATION SÉCURITÉ ■ FÉVRIER 2019

COMMENT PROTÉGER Burnett, de Stripe, estime que la

16 INFORMATION SÉCURITÉ ■ FÉVRIER 2019

17 INFORMATION SÉCURITÉ ■ FÉVRIER 2019

QUELS OUTILS Dans un tel scénario, le service final délègue

18 INFORMATION SÉCURITÉ ■ FÉVRIER 2019

choisi de renforcer sa première

QUELS OUTILS ligne de défense :

19 INFORMATION SÉCURITÉ ■ FÉVRIER 2019

20 INFORMATION SÉCURITÉ ■ FÉVRIER 2019

21 INFORMATION SÉCURITÉ ■ FÉVRIER 2019

ÉDITEURS Bill Crowley et Byrony Seifert

22 INFORMATION SÉCURITÉ ■ FÉVRIER 2019

Vous aimerez peut-être aussi