MGM Resorts a connu une faille de cybersécurité importante lorsque des attaquants ont utilisé une technique de phishing via un appel au service d'assistance. L'incident met en évidence le besoin urgent d'une meilleure formation des employés dans la gestion des e-mails et des appels téléphoniques. À la suite de cette violation, MGM a été confrontée à de graves perturbations, le logiciel malveillant se propageant rapidement sur tous ses systèmes, provoquant un arrêt complet. Les grandes entreprises de cybersécurité, comme le géant du secteur CrowdStrike, mettent l'accent sur la formation régulière du personnel non chargé de la sécurité, souvent mensuellement, pour prévenir de tels incidents, mais les organisations hôtelières peuvent ou non proposer des protocoles de formation aussi rigoureux. Les attaquants ont eu recours à l'ingénierie sociale pour persuader les employés d'ouvrir des pièces jointes malveillantes lors d'un appel. Cette méthode est un outil privilégié par les pirates informatiques, parallèlement à la création de virus. Une fois la pièce jointe malveillante, qui peut être un fichier PDF, Excel ou d’autres formats, ouverte, le logiciel malveillant s’active. Il recherche ensuite des réseaux partagés ouverts, s'injectant dans divers processus et se propageant à d'autres machines. La vitesse de cette propagation est alarmante, affectant potentiellement jusqu'à 100 000 ordinateurs en quelques secondes.

« La formation annuelle sur l'ingénierie sociale et le phishing destinée aux employés constitue le bouclier qui assure la sécurité de la forteresse numérique de nombreuses organisations. Il est important chaque jour de permettre aux équipes de différents départements de reconnaître et de contrecarrer les tactiques en constante évolution des cybermenaces », déclare Ryan , chercheur principal en sécurité chez CrowdStrike. Cornateanu .

La récente cyberattaque contre MGM Resorts souligne les profondes vulnérabilités auxquelles même les grandes entreprises sont confrontées à l'ère numérique d'aujourd'hui. Le fait que la violation provienne d’une plateforme aussi courante que LinkedIn nous rappelle brutalement les dangers d’un partage excessif d’informations professionnelles en ligne. Il ne s’agit pas seulement des implications financières immédiates, même si elles sont importantes. Alors que les propriétés de MGM à Las Vegas rapportent à elles seules plus de 13 millions de dollars par jour, les retombées économiques d'une telle attaque sont stupéfiantes. Mais au-delà des pertes tangibles, il faut considérer les dommages intangibles. Le ternissement de la réputation de MGM, en particulier parmi les clients dont les expériences de rêve à Vegas ont été gâchées, est un coup dur dont il faudra peut-être des années pour se remettre. Cet incident devrait sonner l’alarme pour les hôteliers du monde entier sur l’importance primordiale de mesures de cybersécurité robustes et sur les conséquences potentielles à long terme de toute défaillance.

1. Le pouvoir de l'ingénierie sociale : l'origine de l'attaque provenant d'une plateforme comme LinkedIn met en évidence les risques potentiels liés au partage excessif de données professionnelles en ligne. Comment les individus et les entreprises peuvent-ils mieux se protéger contre de telles vulnérabilités ?

2. Impact économique : Les propriétés de MGM à Las Vegas générant quotidiennement plus de 13 millions de dollars, les répercussions financières d'une telle attaque sont immenses. Comment cet incident influencera-t-il les investissements en cybersécurité d’autres grandes entreprises ?

3. Réputation en jeu : au-delà des pertes financières immédiates, quel impact cette cyberattaque pourrait-elle avoir sur la réputation à long terme de MGM, en particulier si l'on considère les clients dont l'expérience unique à Vegas aurait pu être ruinée ?

Dans le contexte de la cybersécurité, l'ingénierie sociale fait référence à la manipulation d'individus pour qu'ils accomplissent des actions spécifiques ou divulguent des informations confidentielles. Plutôt que d’exploiter les vulnérabilités logicielles ou matérielles, les attaques d’ingénierie sociale ciblent les faiblesses humaines. L’objectif est d’inciter les individus à révéler des informations sensibles, à accorder l’accès à des zones restreintes ou à effectuer des actions susceptibles de compromettre la sécurité.

Il existe diverses formes d’attaques d’ingénierie sociale, notamment :

1. Phishing : Il s’agit de l’une des formes d’ingénierie sociale les plus courantes. Les attaquants envoient des e-mails, des messages ou des sites Web frauduleux qui semblent légitimes pour inciter les victimes à fournir des données sensibles, telles que des identifiants de connexion ou des numéros de carte de crédit.
2. Prétexte : Ici, l'attaquant fabrique un scénario (ou un prétexte) pour obtenir des informations auprès d'une victime. Par exemple, ils peuvent se faire passer pour un représentant d’une banque et demander des détails sur leur compte, affirmant qu’ils en ont besoin à des fins de vérification.
3. Appâtage : Il s'agit d'offrir quelque chose d'attrayant à la victime, comme un logiciel gratuit, pour l'inciter à télécharger des logiciels malveillants.
4. Tailgating ou Piggybacking : dans cette méthode, un attaquant cherche à entrer dans une zone restreinte sans authentification appropriée en suivant de près une personne autorisée. Par exemple, ils pourraient entrer dans un bâtiment sécurisé juste derrière un employé qui y a accès.
5. Quiz : les attaquants utilisent des quiz ou des enquêtes sur les réseaux sociaux pour inciter les utilisateurs à révéler des informations personnelles.
6. Vishing : Semblable au phishing, mais effectué par téléphone. L'attaquant peut se faire passer pour un représentant de banque, un agent des impôts ou un agent de support technique pour extraire des informations sensibles de la victime.

Le succès des attaques d’ingénierie sociale repose en grande partie sur la capacité de l’attaquant à manipuler les émotions humaines, telles que la peur, la curiosité ou le désir d’aider. Étant donné que ces attaques ciblent le comportement humain, l’éducation et la sensibilisation continues sont cruciales pour aider les individus à reconnaître et à résister à de telles tactiques manipulatrices.

Les hôtels, en tant que cibles privilégiées des cybermenaces, doivent donner la priorité à la sécurité de leur infrastructure numérique et à la formation de leur personnel. L'une des mesures les plus efficaces consiste à proposer des sessions de formation régulières aux employés, afin de garantir qu'ils maîtrisent bien l'identification et l'atténuation des menaces potentielles, telles que les e-mails de phishing ou les activités en ligne suspectes. En favorisant une culture de sensibilisation à la cybersécurité, les hôtels peuvent réduire considérablement le risque d’erreur humaine, qui constitue souvent le maillon le plus faible de la chaîne de sécurité. De plus, le partenariat avec des fournisseurs de logiciels qui ont massivement investi dans la cybersécurité garantit que les systèmes numériques de l'hôtel sont dotés des derniers protocoles de sécurité. Ces fournisseurs apportent leur expertise, leur technologie de pointe et leurs mises à jour continues, offrant ainsi une couche de défense supplémentaire contre le paysage en constante évolution des cybermenaces.