Diplomatie
L'insécurité des données
Quand bien même une entreprise serait équipée de tout l'attirail de défense numérique, il apparaît que cette dernière demeure vulnérable. Il y a en effet deux manières de s'introduire dans un système informatique. Soit passer au travers des pare-feux et des systèmes de détection des intrusions, ce qui peut s'avérer trop complexe, soit exploiter les failles humaines. Et c'est en effet l'humain qui est utilisé comme outil d'infiltration par les pirates. Ainsi, un employé peut, à son insu, transmettre des informations sensibles qui permettront aux assaillants d'agir avec une grande efficacité, et en toute discrétion. Le principe consiste, soit à usurper l’identité d’un salarié pour agir sans éveiller les soupçons de ce dernier, ni ceux de la direction, ou encore d’user de techniques de manipulation pour que les informations soient données de plein gré. En ingénierie sociale, le phishing et les applications des réseaux sociaux sont les outils les plus utilisés pour usurper l’identité des individus. Voyons comment s'opère ce type d’attaques.
Usurper l’identité des employés
Tout l’enjeu d’une attaque résidant dans l’acquisition de mots de passe, de plus en plus de sociétés s’équipent de systèmes de sécurité performants qui empêchent les intrusions externes. Mais pour contourner ces systèmes, les pirates profitent de la méconnaissance des employés en matière de phishing. Ces derniers, par leur crédulité, peuvent fournir des informations sensibles à des interlocuteurs externes en pensant qu'ils sont sur un site web protégé, ou que l’invitation qu’ils ont reçue pour rejoindre un réseau social ne représente pas de danger. Mais une fois leur mot de passe entré pour s’inscrire, le phishing s’opère avec succès. En effet, la majorité des personnes utilise le même mot de passe pour tous leurs comptes. Ayant obtenu ce sésame, les attaquants peuvent alors s’introduire dans les dossiers de l’entreprise, sous le nom de l’employé victime du phishing. Dans ce type d’attaque, l’employé reste passif, et c’est sa méconnaissance des techniques d’hameçonnage qui représente une faille de sécurité pour l’entreprise. C’est pourquoi la sécurité des données de cette dernière repose également sur la sensibilisation des employés aux techniques utilisées par les hackers.
Sensibiliser les employés
Bon nombre d’entreprises oublient de sensibiliser leur personnel aux attaques qu’il peut subir à son insu. Comme nous venons de le voir, ce sont les mots de passe qui intéressent les attaquants. Ainsi, une sensibilisation sur les outils utilisés par les pirates permettrait d’éviter les fuites de données et de réduire les coûts occasionnés. Mais la connaissance de ces outils ne suffit pas, car les attaquants sont aussi de redoutables manipulateurs, et il faut savoir les démasquer. À titre d’exemple, pour mettre en confiance leur interlocuteur, ils utilisent le jargon de l'entreprise ou évoquent les noms des dirigeants dans leurs discussions. De cette manière, l'interlocuteur est vite convaincu que la personne fait partie de l'entreprise et répond à ces demandes, voire le conseille. En effet, l’attaquant va jouer sur les sentiments de culpabilité et de compassion pour que sa victime le soutienne et observe la discrétion. Ainsi, un email d'un soi-disant collègue du deuxième étage réclamant de l'aide, car il a perdu son mot de passe, provoquera de l'empathie. Au risque d’être licencié, l’employé, pour aider son collègue, ira jusqu'à fournir le mot de passe du manager ou celui d’un autre collègue. Cet employé devient alors un acteur actif de l’attaque, et c’est pourquoi le système de sécurité de l’entreprise doit instaurer des dispositifs de contrôle, en plus de la sensibilisation au phishing.
