3 leçons à tirer de la perte de 100 millions de dollars subie par Facebook et Google à la suite d'une attaque de spear phishing

21 janvier 2020
Kaseya
Technologie cloud, Hameçonnage ciblé

La BBC a récemment rapporté que Facebook et Google avaient chacun versé plus de 100 millions de dollars à un seul pirate informatique en Lituanie. Même s’il s’agit là de géants mondiaux, il y a des leçons à tirer pour tout le monde en matière de cybersécurité en 2017.

  1. Un seul pirate informatique peut causer d'importantes pertes financières
  2. Quelle que soit la sophistication de vos systèmes de cybersécurité, vous n'êtes pas à l'abri
  3. Le spear phishing et l'ingénierie sociale contournent les mesures de sécurité des réseaux et des terminaux

Des cybercriminels se faisant passer pour un fournisseur

Facebook et Google ne sont pas vraiment les seuls à se faire piéger par ce genre d'arnaque. Il y a peu, la société Ubiquiti Networks s'est fait escroquer de 47 millions de dollars à la suite d'une attaque par ingénierie sociale similaire. La BBC a décrit la méthode qui a permis de mettre Facebook et Google à genoux.

« Des courriels frauduleux de type hameçonnage ont été envoyés aux employés et aux agents des entreprises victimes, qui effectuaient régulièrement des transactions de plusieurs millions de dollars avec cette société [asiatique] », a déclaré en mars le (DOJ) a déclaré en mars.

Selon le ministère américain de la Justice, ces courriels prétendaient provenir d'employés de cette entreprise basée en Asie et avaient été envoyés à partir de comptes de messagerie conçus pour donner l'impression qu'ils provenaient de l'entreprise, alors qu'en réalité ce n'était pas le cas.

Et voilà. Un cas classique de spear phishing (vous trouverez ici les définitions du phishing, du spear phishing, de l'ingénierie sociale et du whaling). Des employés spécifiques ont été ciblés par des e-mails frauduleux. L'auteur a falsifié des documents pour se faire passer pour un fournisseur chinois légitime. Deux entreprises ont viré 100 millions de dollars à un pirate informatique isolé. Ce qui est inhabituel dans cette histoire, c'est que le pirate a été arrêté et qu'une partie des fonds a pu être récupérée. S'il s'était agi d'un réseau sophistiqué comme celui qui a réussi à détourner 81 millions de dollars via le système de virement Swift de la Banque du Bangladesh, on peut parier que tous les fonds auraient disparu depuis longtemps et qu'il aurait été impossible de les récupérer.

Qu'est-ce qui cloche ici ? Les humains se laissent facilement berner.

L'article citait un « expert en sécurité » qui explique très bien pourquoi ces attaques continueront de se produire. Il a déclaré : « Mais les personnes font partie de la meilleure sécurité dont vous pouvez disposer – c'est pourquoi vous devez les former. » Les lecteurs du blog Kaseya savent que nous sommes partisans de la formation pour aider les employés à identifier les attaques de phishing et de spear phishing. Cependant, les lecteurs savent également que les employés formés à repérer le phishing ouvrent encore 30 % des e-mails frauduleux. C'est probablement la raison pour laquelle 65 % des entreprises ont déclaré avoir été victimes d'attaques d'ingénierie sociale réussies l'année dernière.

L'idée selon laquelle on peut compter sur les humains pour servir de pare-feu contre les cyberattaques sophistiquées relève d'un vœu pieux dépassé. N'hésitez pas à organiser des formations. Cela peut s'avérer utile. Mais vous devez reconnaître que les gens se laissent facilement berner. Vos employés ont besoin de l'aide de l'automatisation.

Les systèmes de cyberdéfense actuels ne parviennent pas à bloquer les attaques de spear phishing.

Tout comme la formation, la sécurité des réseaux et la protection des terminaux constituent également des mesures de défense indispensables. Le problème, c'est que les techniques d'ingénierie sociale, telles que le spear phishing, contournent ces défenses, car ce sont vos employés qui leur accordent l'accès. Soit l'employé est amené, par la ruse, à effectuer une action au nom du pirate informatique se faisant passer pour un partenaire commercial, soit il est incité à divulguer ses identifiants, qui permettent un accès direct à vos systèmes.

Une étude PhishMe réalisée en 2016 a révélé que 91 % des cyberattaques commençaient par une tentative d’hameçonnage. Le rapport DBIR de Verizon de 2015, largement cité, a montré que 90 % des incidents de sécurité étaient imputables à des erreurs humaines. Sécurisez vos réseaux et vos terminaux, mais sachez que ce que le FBI appelle le « Business Email Compromise » (BEC) est un vecteur d’attaque très répandu. Vous ne pouvez tout simplement pas compter sur les humains pour identifier correctement toutes les attaques de cybersécurité. Les cyberattaquants font leurs recherches et affichent un taux de réussite élevé.

Que faites-vous pour protéger vos employés contre le spear phishing ?

Il existe aujourd'hui deux solutions automatisées utilisées pour protéger les employés contre le spear phishing : DMARC et TrustGraph™. DMARC aide à protéger les entreprises contre un type d'attaque de spear phishing. C'est mieux que rien. Cependant, le Trust Graph, mis au point par Kaseya 365 , protège les entreprises contre les quatre types d'attaques de spear phishing.

Le Trust Graph s'appuie sur la théorie des graphes et l'apprentissage automatique pour analyser rapidement les relations entre l'expéditeur d'un e-mail externe et l'employé destinataire ; il compare également d'autres indicateurs à des sources de renseignements sur les menaces provenant tant de sources externes qu'internes. Au cours d'une phase bêta de 15 mois menée auprès de 10 entreprises de taille moyenne, le Kaseya 365 Trust Graph a permis d'identifier avec succès des attaques de spear phishing et d'ingénierie sociale. Vous pouvez activer Kaseya 365 en une minute seulement et l'essayer gratuitement pour voir comment cela fonctionne.

Une plateforme complète pour la gestion informatique et de la sécurité

Kaseya 365 la solution tout-en-un pour la gestion, la sécurisation et l'automatisation de l'informatique. Grâce à des intégrations transparentes entre les fonctions informatiques essentielles, elle simplifie les opérations, renforce la sécurité et améliore l'efficacité.

Demander une démonstration Découvrez Kaseya 365

Une seule plateforme. Tout l'informatique.

Kaseya 365 bénéficient des avantages des meilleurs outils de gestion informatique et de sécurité, le tout dans une solution unique.

Découvrez Kaseya 365

Votre succès est notre priorité absolue.

Partner First, c'est l'engagement d'offrir des conditions flexibles, un partage des risques et un accompagnement dédié à votre entreprise.

Découvrez Partner First Pledge »

Rapport Kaseya 2026 sur la situation des MSP

Kaseya - Rapport 2026 sur la situation des MSP - Image web - 1200 x 800 - MISE À JOUR

Découvrez les perspectives 2026 sur le MSP, issues des témoignages de plus de 1 000 prestataires, et apprenez comment augmenter votre chiffre d'affaires, vous adapter aux pressions du marché et rester compétitif.

Télécharger maintenant

Explorer les catégories

Qu'est-ce que la virtualisation des serveurs ? Comment ça marche, quels sont les différents types et quels sont les avantages ?

Découvrez ce qu'est la virtualisation des serveurs, son fonctionnement, ses principaux avantages, ses cas d'utilisation, les bonnes pratiques, ainsi que la manière dont elle contribue à la continuité des activités et à la reprise après sinistre.

Lire l'article de blog

Le modèle de responsabilité partagée dans le cloud : quelles sont les responsabilités réelles des MSP et des clients ?

Le modèle de responsabilité partagée dans le cloud est l'un des concepts les plus importants en matière de sécurité du cloud, et l'un des plus

Lire l'article de blog

Qu'est-ce que le cloud computing ? Services, types, avantages et cas d'utilisation

À mesure que l'horizon numérique s'élargit, les entreprises du monde entier adoptent le cloud, conscientes de son pouvoir de transformation pour favoriser l'efficacité, le progrès et

Lire l'article de blog