Pare-feu humain: votre meilleure protection
Suite à un récent article publié sur ce blog et intitulé Cyber-sécurité – Ingénierie sociale: un risque majeur, je voudrais maintenant prendre un peu de recul et tenter d’explorer ce qui précède généralement une cyber-attaque d’ingénierie sociale réussie.
Dans le cadre d’une discussion récente, un expert en ingénierie sociale m‘affirmait avec force que l’ingénierie sociale est quasiment toujours liée à un besoin de reconnaissance qui peut être satisfait grâce aux réseaux sociaux.
De nombreux articles portent sur les méthodes d’attaque qui donnent finalement lieu à une violation de données, mais négligent de mentionner l’aspect le plus important de ces violations réussies: la reconnaissance.
La quête de reconnaissance comme motivation
Grâce aux médias sociaux et aux progrès technologiques réalisés ces dernières années dans les outils d’analyse de logiciels, il est maintenant facile pour un pirate de pénétrer en profondeur au cœur même de votre organisation, sans jamais avoir à franchir l’enceinte physique des murs de votre bureau.
Nous connaissons tous le vieil adage Une chaîne n’a jamais que la solidité de son maillon le plus faible, qui, lorsqu’on l’applique à la sécurité de l’information pourrait se terminer par c’est à dire le maillon humain.
Cela n’a jamais été plus vrai qu’aujourd’hui.
Une récente enquête sur la sécurité (réalisée par PwC entre Mars 2014 et Mai 2015) a révélé que 31% de l’ensemble des incidents de sécurité de l’information étaient directement dus au personnel des Entreprises. Cette statistique fait bien sûr référence aux prédateurs, mais aussi aux téméraires et aux dupes. Peu importe, le fait est que les employés sont un vecteur d’attaque efficace pour le cyber-ennemi, et, si la faiblesse a une origine humaine, elle peut rendre les contrôles techniques en place, aussi évolués soient-ils, totalement inefficaces.
Les réseaux sociaux sont le vecteur essentiel grâce auquel les criminels peuvent profiter de cette faiblesse.
Il existe maintenant des outils open-source permettant de retrouver l’ensemble des comptes connectés à un individu sur les réseaux sociaux, plus leurs relations avec les autres, tout cela complété par un ensemble de données personnelles intéressantes, le tout présenté sous des formes faciles à exploiter.
Il existe même un logiciel propriétaire qui reprendra tous les médias sociaux émanant d’un emplacement donné grâce à la géo-localisation.
Tout ceci n’est qu’une entrée en matière avant même que nous ne considérions l’utilisation de sites tels que LinkedIn, sur lesquels sévissent de nombreux pirates avec de faux comptes, certains usurpant même des identités de professionnels de l’industrie de la sécurité – avec un certain succès, avouons-le – aidés et légitimés en cela par tous ceux qui, trop laxistes pour effectuer les vérifications sur le travail qu’ils revendiquent dans leur profil fournissent trop facilement des références. Certains faux comptes peuvent ensuite, forts de leur crédibilité, obtenir des informations privées, des offres d’emploi, des données critiques et même des invitations à dialoguer par téléphone.
La collecte d’informations
Mis à part l’ingénierie sociale s’appuyant les réseaux sociaux, il y a également d’autres moyens très simples de collecter des informations. Je ne vais pas chercher à obtenir de votre part des informations confidentielles qui relèvent de la protection des données, mais des informations qui semblent tout à fait innocentes et sont cependant très utiles à un pirate: qui est actuellement en vacances, quel département est actuellement débordé par manque de personnel, quel employé est mécontent et pour quelle raison, et ainsi de suite…
Et n’imaginez pas un seul instant que votre département informatique est à l’abri.
J’ai, personnellement, été témoin de cas d’administrateurs IT donnant publiquement, sur des forums de support, des informations techniques détaillées sur leur environnement IT sans savoir qui lisait réellement ces informations, tweetant sur les dernières mises à jour de leurs infrastructures ou de leurs applications, sur les correctifs déployés, les problèmes internes, et même sur des cyber-attaques en cours.
Rien que des morceaux de choix pour les cyber-criminels…
Vous êtes sans doute en train de vous dire, « qu’est-ce que cela a à voir avec ma petite organisation? Aucun criminel ne va dépenser autant d’efforts pour nous cibler alors que nous n’avons aucune information de valeur ».
Détrompez-vous.
Êtes-vous un sous-traitant, un consultant ou un fournisseur dans une relation d’affaires avec une grande organisation? Alors, vous êtes une cible potentielle. Encore plus si cette relation business se situe dans le domaine IT.
La même enquête mentionnée ci-dessus conclut:
« Un nombre croissant de personnes interrogées attribue les incidents de sécurité à des partenaires business ayant un accès à leur réseau et à leurs données ».
Votre organisation pourrait bien être le point d’entrée parfait ouvrant la route vers de plus gros poissons. Vous pourriez être le point de départ idéal pour progresser, en utilisant des relations de confiance existantes, et remonter vers le sommet de la pyramide.
Le pare-feu humain. Que faire?
Nous pouvons prendre modèle sur les procédés appliqués par le renseignement et les militaires, et intégrer la sécurité opérationnelle (OPSEC) à notre activité. Mais non, je ne me prends pas pour James Bond. Attendez un peu !
La page Wiki sur OPSEC n’est pas particulièrement instructive, mais elle a le mérite d’en donner une définition:
La sécurité opérationnelle (OPSEC) est le processus consistant à protéger de petits morceaux de données susceptibles d’être regroupés pour donner une image plus générale.
OPSEC ou Sécurité opérationnelle (en Français : le renseignement) est une méthode pour se prémunir des risques que peut courir une structure si des informations sensibles sont acquises par les adversaires de cette structure. Elle fut formalisée par une équipe de l’armée américaine pendant la guerre du Viêt Nam.
Nous ne devons pas nécessairement dupliquer ce modèle au sein des Entreprises, mais, au moins, un premier niveau de sensibilisation ne serait pas superflu. Nous devons inculquer cet état d’esprit et la nécessité de prudence au personnel de nos organisations. Ce modèle est utilisé en dehors des limites des murs de l’Entreprise, et donne de bons résultats. L’ennemi auquel vous faites face n’est peut-être pas un geek boutonneux dans sa chambre mais il s’agit peut-être d’un état ou d’une multinationale.
Nous devons créer une focalisation sur la sécurité opérationnelle qui restera en permanence dans le subconscient des employés, même pendant leur temps libre, agissant sur eux en dehors de l’organisation lorsqu’ils se lâchent sur leur plate-forme de médias sociaux préférés. Nous devons créer une sensibilisation forte sur le fait que chaque élément d’information interne de l’entreprise, ou privée, partagée en ligne peut servir à un adversaire pour reconstituer notre environnement et, finalement, faciliter son travail de découverte des vecteurs d’attaque.
Nous avons besoin d’avoir des employés fortement sensibilisés à la menace de l’environnement de telle sorte qu’ils ressentent un véritable coup de pied au derrière à chaque fois qu’ils parlent de l’entreprise en ligne.
Malheureusement, c’est bien au-delà de l’ambition de ce court article d’explorer la meilleure façon d’atteindre cet objectif, mais je vous laisse avec cette dernière pensée que j’ai, de nouveau, tirée de l’enquête et qui résume bien la situation actuelle:
« Une autre constatation inquiétante est la diminution constante des programmes de sensibilisation et de formation des employés. »
Il est grand temps de mettre à jour votre pare-feu humain. La technologie ne suffit pas !!
Par contre, ne vous limitez pas à votre personnel informatique, qui est bien sûr critique, mais pensez à sensibiliser l’ensemble du personnel de votre organisation car chaque personne ayant un accès à votre système d’information vous fait courir un risque.
Une bonne approche serait d’organiser des séances de sensibilisation pour les personnels non techniques et des séances plus complètes pour vos personnels informatique.
Voici quelques exemples.
Pour le personnel non technique (membres du Comité de Direction et du Conseil d’Administration inclus):
Sensibilisation à la sécurité du SI basée sur ISO 27001: Découverte, en une journée, des bonnes pratiques pour se protéger contre les menaces en matière de cyber-criminalité.
Sensibilisation à la cyber-résilience basée sur RESILIA : Introduction à la cyber-résilience, ou comment se protéger contre les menaces de sécurité de l’information et, surtout, comment survivre à une cyber-attaque?
COBIT® 5 pour le Board et les Exécutifs : une journée dédiée aux risques en matière de sécurité auxquels font face les Entreprises et quel rôle doivent jouer les conseils d’administration et les comités de direction pour assurer la protection des actifs de l’Entreprise.
Pour le personnel technique du département IT:
ISO 27002 Foundation : Formation de 3 jours conduisant à la certification ISO 27002 Foundation de l’EXIN et couvrant l’ensemble des bonnes pratiques en matière de sécurité de l’information, basées sur ISO 27002.
RESILIA Foundation : cours intensif de trois jours, conduisant à la certification RESILIA Foundation d’AXELOS® et couvrant les méthodes et l‘utilisation de contrôles préventifs, détectifs et correctifs permettant ainsi d‘identifier les risques tout en garantissant un fonctionnement efficace dans un contexte business de plus en plus compétitif. Cette formation est un excellent complément à la certification ITIL® Foundation.
ISO 27001 Foundation : Ce cours intensif de 3 jours permet une bonne compréhension du cadre de gestion de la Sécurité de l‘Information défini par la norme ISO/IEC 27001, des concepts de base, des avantages et des considérations en lien avec l’implémentation d‘un Système de Management de la Sécurité de l‘Information (SMSI). Ce cours, conclu par le passage de le certification ISO 27001 Foundation de l’APMG, est tout particulièrement destiné aux personnels qui ont rôle à jouer dans l’implémentation d’un SMSI au sein de leur organisation.
COBIT® 5 pour la sécurité de l’information : Cette session de deux jours offre une couverture globale et pratique de tous les aspects de COBIT® 5 dans le cadre spécifique de la sécurité de l‘information, y compris ses composantes, les facilitateurs et les conseils de mise en œuvre. Ce cours est tout spécialement destiné aux managers.
Pour les professionnels de la sécurité de votre Entreprise:
ISO 27001 Practitioner : Session pratique de deux jours durant laquelle les participants apprendront, sur la base de scénarios, à implémenter, de façon opérationnelle, un SMSI basé sur les exigences de la norme ISO 27001.
RESILIA Practitioner : Session de deux jours, conclue par le passage de l’examen RESILIA Practitioner d’AXELOS®, au cours de laquelle les participants apprendront comment obtenir le meilleur équilibre entre risques, les coûts, les avantages et la flexibilité au sein d’une organisation en utilisant les bonnes pratiques de cyber-résilience RESILIA.
ISO 27002 Advanced : S‘appuyant sur des études de cas, ce cours intensif de 3 jours permet aux participants de maîtriser les aspects organisationnels et managériaux de la sécurité de l‘information avant de passer, en fin de session, l’examen ISO 27002 Advanced de l’EXIN.
Implementing NIST based on COBIT® 5
COBIT® 5 Security Assessor
ISO 27005 Risk Manager : Ce cours de trois jours permet aux participants de développer la compétence liée à la maîtrise des éléments de gestion des risques de base associés à tous les actifs pertinents pour la sécurité de l’information en utilisant ISO 27005 comme un cadre de référence. Il se conclut par le passage de l’examen de certification ISO 27005 Risk Manager de PECB.
CISM : Le programme CISM® est orienté vers la gouvernance et la gestion de la sécurité de l‘information. Il est reconnu comme un standard pour les professionnels qui conçoivent, créent et mettent en œuvre les programmes de sécurité de l‘information dans les entreprises. Cette formation de quatre jours vous permet de préparer efficacement les passage de l’examen CISM® de l’ISACA.
CRISC : Le programme CRISC™ est orienté vers la gouvernance et la gestion des risques SI. Il est reconnu comme un standard pour les professionnels qui conçoivent, créent et mettent en œuvre les contrôles des risques SI dans les entreprises. Cette formation de 3 jours vous permet de préparer de façon efficace le passage de l’examen CRISC® de l’ISACA.
Pour obtenir plus d’informations, merci de remplir ce formulaire de contact:
5 thoughts on “Pare-feu humain: votre meilleure protection”