Trop d’entreprises sont convaincues, à tort, qu’une cyberattaque n’arrive forcément qu’aux autres.
- Elles pensent avoir investi dans les bons process et les bons outils ;
- Leurs services informatiques sont vigilants à ce que leurs réseaux soient bien protégés ;
- Elles ont mis en place une veille pour pouvoir anticiper tout nouveau risque potentiel.
Et les trois entreprises dont nous allons vous parler aujourd’hui étaient, elles aussi, certaines d’avoir fait le nécessaire.
Sauf qu’elles avaient oublié un élément, responsable de la plupart des cyberattaques dans les entreprises : l’erreur humaine.
Dans cet article, nous allons vous raconter l’histoire de trois des cyberattaques qui auraient pu être facilement évitées
Et vous allez voir qu’une simple formation de leurs équipes aurait pu aisément les éviter.
Cyberattaque n°1 : Le Centre Hospitalier Universitaire de Rennes (2023)
Au sein d’un hôpital, une cyberattaque peut avoir des conséquences réellement dramatiques.
Le 21 juin 2023, les équipes informatiques du CHU de Rennes, en France, détectent une cyberattaque majeure qui entraîne la fuite de données particulièrement sensibles.
De nombreuses données tombent ainsi entre les mains des cybercriminels, dont des données de patients et de membres du personnel. L’objectif pour les cybercriminels est de trouver des données personnelles vérifiées : noms, prénoms, adresses, données médicales, etc. Ces données ont de la valeur sur le « marché noir » de l’internet, le darkweb. Une base de données peut se vendre plusieurs dizaines de milliers d’euros.
Après analyse, on a découvert que les pirates auraient exploité une faille provenant d’un prestataire du CHU. Au-delà des mesures techniques qui ont été prises, afin d’éviter qu’une nouvelle cyberattaque se reproduise, les équipes du CHU ont mis en place une campagne de sensibilisation de ses équipes ET de ses prestataires aux bonnes pratiques de cybersécurité.
Cyberattaque n°2 : Sequoia Capital (2021)
En février 2021, Sequoia Capital, une des firmes de capital-risque les plus réputées de Silicon Valley, a été piratée.
Lorsqu’un de ses employés a cliqué sur un lien dans un e-mail de phishing, il a involontairement ouvert une porte dérobée à des cybercriminels. Ces derniers n’ont pas hésité à s’engouffrer, accédant à des informations personnelles et financières sensibles d’investisseurs.
Cette cyberattaque a mis en lumière la vulnérabilité des entreprises, même dans le secteur technologiquement avancé, face aux erreurs humaines.
Cyberattaque n°3 : Ubiquity Networks (2015)
Même si cette attaque n’est pas nécessairement récente, elle reste à ce jour un des meilleurs exemples d’une attaque de type “fraude au président”.
Ubiquiti Networks, une entreprise américaine spécialisée dans les équipements réseau pour les fournisseurs d’accès internet et les entreprises a subi en 2015 une attaque, devenue aujourd’hui un véritable cas d’école dans le secteur de la cybersécurité.
L’attaque contre Ubiquiti Networks a été réalisée par le biais d’une escroquerie par phishing : les escrocs ont usurpé l’identité de cadres supérieurs de l’entreprise dans des emails envoyés à des employés du service financier, avec l’objectif de les convaincre de transférer des fonds vers des comptes bancaires contrôlés par les attaquants.
Les attaquants ont ainsi créé des adresses email qui ressemblaient à s’y méprendre à celles des cadres supérieurs d’Ubiquiti Networks et ont communiqué avec le personnel financier, leur demandant de réaliser des virements urgents pour des raisons en apparence légitimes et liées à l’activité de l’entreprise.
Ubiquiti Networks a signalé que l’attaque avait entraîné une perte d’environ 46,7 millions de dollars. Bien que l’entreprise ait réussi à récupérer une partie des fonds, l’impact financier a été significatif. Mais au-delà des pertes financières directes, l’attaque a eu un impact sur la réputation de l’entreprise et a souligné la nécessité d’améliorer les procédures internes de sécurité et de vérification.
Les Cybercafés : une formation pour éviter les cyberattaques liées à l’erreur humaine.
Les leçons à tirer de ces trois cyberattaques, qui font partie des plus coûteuses de l’histoire, sont bien entendu nombreuses.
Mais selon les experts en cybersécurité qui les ont étudiées, la plus importante est celle-ci : une simple formation des collaborateurs de ces entreprises aux risques informatiques aurait pu les éviter.
C’est pour cette raison que nous avons conçu les Cybercafés : une formation en ligne à la cybersécurité et à la protection des données ludique et accessible à tous les publics, même débutants.
Dans cette formation, nous ne voulons pas nous adresser à des spécialistes : nous l’avons pensée pour celles et ceux qui utilisent les outils informatiques tous les jours au travail, et sur qui repose la sécurité de l’organisation (alors même qu’ils sont la plupart du temps les moins informés).
Quant au contenu, rien de barbant dans cette formation : nous avons conçu des mini capsules de formation de 10 minutes maximum, aux formats variés et aux designs soignés.
Notre objectif : offrir à vos équipes toutes les informations dont ils ont besoin pour prendre en main leur cybersécurité, mais sans jamais les ennuyer.
Vous voulez en savoir plus sur les cybercafés ? Contactez-nous dès aujourd’hui pour demander une démo gratuite.
