Les hackers considèrent désormais qu’il est bien plus rentable de concevoir des attaques sur-mesure pour dévaliser les entreprises. Le ciblage des salariés atteint un niveau de personnalisation tel que les phishing, ransomware et autres cryptojacking passent sous les radars des systèmes classiques de sécurité.
Oubliez les campagnes de ransomwares lancées au hasard et les e-mails de phishing remplis de fautes d’orthographe. Désormais, les pirates cibleront les salariés et leurs entreprises en leur envoyant des messages personnalisés ou des codes spécifiquement adaptés à leurs failles. D’abord, parce que les professionnels ont plus de patrimoine à dévaliser que le grand public : pourquoi, en effet, demander une rançon de 100 € à des individus pris au hasard quand un hôpital accepterait de payer 50 000 € pour récupérer les données critiques de ses patients ?
Pour les experts en cybersécurité, peaufiner une attaque contre une entreprise ne demande en fin de compte qu’un investissement minimal. « La seule complexité du ciblage est de trouver le cybercriminel qui parle la bonne langue. Tout le reste – quel secteur d’activité souffre de quelles failles, quels gens y travaillent, quels malwares sont possibles – est disponible en ligne. L’effort est donc devenu mineur par rapport à la valeur de ce que le cybercriminel peut mettre en péril », lance ainsi Florent Fortuné, ingénieur-ventes chez Forcepoint.
