La pêche aux informations
Pourquoi essayer de forcer brutalement la porte d'un coffre-fort, quand on peut convaincre le banquier de gentiment l'ouvrir pour nous?
Pourquoi essayer d'entrer de force dans le système d'information d'une entreprise, quand il suffit d'ouvrir ses oreilles ou ses e-yeux pour en obtenir les accès?
Le XXIème siècle est celui de la propagation instantanée de l'information. Il suffit donc d'être au bon endroit au bon moment pour la pêcher…
Phishing et téléphone
Le phishing (hameçonnage en français) est l'une des méthodes utilisées pour obtenir frauduleusement de l'information, parmi l'ensemble des méthodes faisant partie de ce que l'on appelle "social engineering" (ingénierie sociale, en français).
Le phishing, c'est généralement une attaque par e-mail, avec des liens frauduleux et des formulaires qui permettent de collecter les informations voulues. Les e-mails imitent ceux de compagnies bien établies. L'appât du gain, souvent utilisé, est une arme redoutable. Difficile en effet de résister à la tentation du clic si l'on vous annonce avoir gagné (ou pouvoir gagner) le voyage de vos rêves...
Le bon vieux téléphone est l'une des autres méthodes de collecte d'informations. Quelqu'un vous appelle, se fait passer pour un étudiant, un institut de sondage, ou un fournisseur de l'entreprise, puis essaye de vous soustraire des informations précieuses, sous un faux prétexte.
La menace interne
Menace
Plus l'information manipulée en entreprise est sensible, plus elle a de la valeur. Et plus il est tentant pour les employés de fuir avec l'information, puis la revendre. Les cas récents de fuites d'employés avec des CDs de données de clients dans diverses banques sont suffisamment explicites.
Une menace bien réelle
Ça n'arrive pas qu'aux autres, et surtout, pas seulement à de petites entreprises inconnues. Apple, Boeing et Disney, pour ne citer que trois exemples, se sont véritablement fait dépouiller l'été dernier lors de la conférence DEF CON 21 à Las Vegas!
Les réseaux sociaux, du pain béni
L'avènement des réseaux sociaux est un grand facilitateur de cette pêche au gros! Même plus besoin de s'asseoir en première classe dans le train ou de prendre le bus ou le tram dans les quartiers d'affaires pour tendre l'oreille. Il suffit d'être l'ami du cousin du frère de l'oncle du manager de l'entreprise lambda sur facebook ou linkedin, et hop, ça mord!
C'est aussi valable dans la vie non professionnelle! Un statut du genre: "Je suis en vacances aux Seychelles pendant deux semaines, tralala, je m'éclate" peut avoir pour réponse: "Tralala, c'est la serrure de ton appartement que j'éclate"... Et un appartement vide de ses valeurs au retour de vacances.
Plus dramatique, des soldats australiens sont tombés sous le charme des profils de charmantes demoiselles sur facebook, profils derrière lesquels se cachaient des adversaires aux intentions peu pacifiques.
L'humain, ce maillon faible
L'être humain est bien sûr le composant essentiel d'une entreprise, son maillon fort. Il est paradoxalement aussi son maillon faible, celui par qui la fuite d'informations est rendue possible.
Il est donc essentiel d'avoir la modestie de reconnaître qu'on n'est pas invulnérable. Qu'on n'est pas à l'abri d'une intrusion. Et de prendre les mesures préventives adéquates.
Une mesure préventive indispensable, c'est la sensibilisation de ses employés.
Si la direction de l'entreprise n'est pas convaincue, rien ne vaut une piqûre interne, sous forme d'un exercice de hameçonnage contrôlé. Cela permettra de convaincre les plus sceptiques de la nécessité de prévenir plutôt que guérir, ou de valider l'efficacité des mesures de prévention existante.
Faites appel au CeRFI
Le CeRFI propose un cours de sensibilisation à la sécurité de l'information, certifié U-CH.