Compétences interpersonnelles pour la réponse à l'infrastructure malveillante/hameçonnage

Cas d’utilisation

Dans presque tous les cas d’intervention ou de soutien, les participants travailleront directement avec les personnes touchées par une attaque ou une tentative d’attaque. Cela peut souvent être une expérience stressante et anxiogène pour les personnes ciblées, et chaque participant devrait savoir comment atténuer ces pressions.

Objectifs

Après avoir terminé ce sous-thème, les participants seront en mesure de soutenir ceux qui pourraient avoir reçu ou cliqué sur des e-mails ou des liens malveillants de manière responsable, en procurant de l’empathie et en se concentrant sur la réduction des dommages éclairée par le modèle de menace subi par la personne ciblée.

Connaissances de base

Le Security Education Companion contient une multitude de conseils sur les façons réfléchies, prudentes et de réduction des risques permettant d’interagir en tant qu’assistant technologique. Si vous n’êtes pas déjà familiarisé(e) avec ce type de contenu, nous vous conseillons vivement de consulter les ressources dans Formation en matière de sécurité 101.

Après avoir lu les ressources ci-dessus, vous devriez être en mesure de faire ce qui suit :

• Comprendre l’importance de l’évaluation des risques dans chaque interaction ;
• Comprendre les risques d’utiliser les appareils des gens ou d’avoir accès à leurs comptes ;
• Comprendre que lorsque vous partagez des informations concernant le cas ou l’attaque avec des collègues ou d’autres membres de la communauté, vous avez besoin du consentement éclairé de la personne ciblée. Cela signifie lui expliquer quels renseignements vous partagerez, comment vous traiterez ces renseignements, quels sont les risques possibles liés au partage de ces renseignements et lui demander la permission explicite de le faire ;
• Comprendre les risques de s’engager dans un discours alarmiste ;
• Comprendre vos propres limites, tant sur le plan de la capacité technique que de votre aptitude à soutenir une personne ou une collectivité donnée et les risques inhérents à le faire ;
• Éviter d’injecter des préférences concernant les plateformes, la technologie, l’open-source par rapport aux solutions propriétaires, etc. dans les interactions d’assistance.

Connaissances propres au parcours

Une fois que vous avez les connaissances de base ci-dessus, prenez le temps de réfléchir aux compétences interpersonnelles particulières qui pourraient être nécessaires pour ce parcours d’apprentissage spécifique. Chaque parcours d’apprentissage et chaque intervention sont légèrement différents. Chacun peut apporter des récits ou des préoccupations différentes aux apprenants.

Vous devriez être capable de :

• Déterminer la manière la plus empathique possible de parler d’hameçonnage et d’infrastructure malveillante. Tout le monde peut cliquer sur un mauvais lien ou mal lire une URL. Assurez-vous de n’humilier personne. Lorsque vous discutez publiquement d’études de cas, faites preuve de prudence et d’empathie pour ne pas blâmer les utilisateurs individuels ou identifier les personnes qui préféreraient rester anonymes ;
• Préparez-vous à discuter de la différence entre l’analyse active et l’analyse passive de l’infrastructure de tolérance au risque ;
• Préparez-vous à expliquer comment la même méthode d’analyse peut parfois produire beaucoup de données et parfois très peu, et à gérer les attentes en conséquence.

Notez que les compétences décrites plus loin dans ce parcours d’apprentissage contiennent également des conseils sur le développement des compétences interpersonnelles afin de fournir un soutien réfléchi et permettant de réduire les dommages.

Comprendre : réduction des dommages et sécurité opérationnelle

Au moment où un e-mail d’hameçonnage est partagé avec vous, il est possible que la cible visée ait déjà subi des dommages : elle a peut-être cliqué dessus et saisi des données, ou elle peut être affectée par l’impact psychosocial de se sentir ciblée ou surveillée. Il est important de soutenir la cible visée tout en évitant de subir des dommages lors d’une interaction active avec le contenu malveillant.

La réduction des dommages pour la personne ciblée devrait commencer par la collecte de renseignements sur les mesures qu’elle a prises et les circonstances dans lesquelles elle a reçu et interagi avec l’e-mail. Vous pourriez poser différentes séries de questions aux personnes que vous connaissez bien, comme vos collègues, et aux destinataires que vous connaissez moins bien. Certaines questions méritent d’être posées : quel est son modèle de menace? S’agit-il d’un blogueur anonyme? Un dissident en exil qui tente de dissimuler son emplacement? Utilisait-il un VPN? Son navigateur et son système d’exploitation sont-ils à jour? Dans quel système de messagerie a-t-il reçu et ouvert l’e-mail? A-t-il interagi avec des liens, des formulaires ou des pièces jointes? A-t-il répondu à l’e-mail ou l’a-t-il transmis à quelqu’un d’autre? D’autres membres de son organisation ou de sa collectivité ont-ils reçu le même e-mail ou un e-mail semblable?

Les réponses à ces questions aideront à la fois à fournir un soutien utile en matière de réduction des dommages et à faciliter vos enquêtes. À mesure que vous progressez dans l’analyse et la compréhension du contenu malveillant, informez la personne ciblée des avancées, en particulier dans la mesure où cela est pertinent pour la réduction des risques.

Dans un souci de sécurité opérationnelle pour vous protéger lorsque vous travaillez avec des e-mails malveillants, il convient de consulter le sous-thème suivant.

Pratique

Réfléchissez à ce qui suit et discutez-en avec des pairs, des collègues, des amis ou un mentor. Le cas échéant, parlez à un « client » avec qui vous avez déjà travaillé pour lui demander ses commentaires et son expérience sur certaines de ces questions.

• Décrivez comment le fait de toucher et d’accéder à l’appareil d’un tiers peut présenter des risques imprévus.
• Imaginez que vous aidez quelqu’un avec des données sensibles sur son appareil. Comment aborderiez-vous la discussion avec cette personne concernant votre accès et le traitement des données?
• Comment la compréhension du modèle de menace spécifique d’une personne affecte-t-elle vos efforts de réduction des risques, par exemple s’il s’agit d’un blogueur anonyme ou d’un dissident en exil?
• Comment vous y prenez-vous pour fournir des preuves techniques factuelles en fonction de votre capacité, tout en équilibrant la nécessité de ne pas tomber dans l’excès de confiance tout en évitant la paranoïa?
• Décrivez vos propres capacités et limites dans l’exécution des travaux d’analyse de l’infrastructure. Après avoir fait une première tentative de description, essayez d’ajouter plus de nuances et d’exactitude à votre description.
• Quels pourraient être les risques si vous procédez sans cette reconnaissance de vos limites?

Contrôle de compétence

Faites un exercice de jeu de rôle avec un pair ou un mentor, dans lequel vous jouez le rôle du protecteur numérique, et où votre pair ou mentor joue le rôle d’une personne qui a reçu un e-mail d’hameçonnage qui se trouve toujours dans sa boîte de réception. La personne a reçu l’e-mail il y a plusieurs heures, ne se souvient pas si elle a cliqué dessus, et a seulement pensé que c’était peut-être suspect et qu’il convenait d’alerter quelqu’un. La personne est très stressée et craint de mettre ses collègues et son organisation en danger. Voici quelques-uns des sujets que la conversation pourrait aborder :

• Expliquez ce qu’est un message d’hameçonnage et quels pourraient être les objectifs des cybercriminels.
• Parlez à la personne ciblée du risque auquel elle pourrait être exposée si elle cliquait sur l’e-mail d’hameçonnage.
• Parlez des cybercriminels potentiels et du nombre d’attaques qui ne sont pas ciblées.
• Discutez des prochaines étapes que la personne et l’organisation ciblées pourraient prendre pour assurer la sécurité.

Ressources d’apprentissage