L’importance des tests de sécurité physique dans les organisations

Par Bertrand Milot

Dans la majeure partie des cas, les incidents et brèches de sécurité majeurs sont aidés et facilités par la négligence, l’excès de curiosité ou l’avidité de l’utilisateur interne.

 

Pour vérifier la résistance des systèmes informatiques, votre entreprise exécute déjà annuellement des tests de vulnérabilité sur son site Internet et ses services informatiques disponibles directement depuis le Web ou sur le « Cloud ». C’est bien. Mais, sachant que les cyber-brèches les plus destructrices et/ou coûteuses ont été facilitées volontairement ou involontairement par un humain à l’interne, il serait aussi intéressant de tester la résistance de votre première « ressource » : l’humain.

 

L’ingénierie sociale existe depuis longtemps. Je vous conseille les excellents ouvrages de l’ancien pirate informatique, Kevin Mitnick, si vous souhaitez lire plus sur cette pratique. Grossièrement, l’ingénierie sociale est la capacité de jouer sur les leviers psychologiques et émotionnels de quelqu’un pour obtenir des informations ou des actions de sa part qu’il n’aurait pas données s’il avait pu détecter l’agenda réel. Imaginez, quelqu’un vous appelle et vous demande sur quels projets confidentiels vous travaillez actuellement pour votre employeur. Votre réponse est sans appel, vous ne donnerez pas ce genre d’information. Si maintenant, cette même personne arrive avec quelques connaissances (même disponibles publiquement) de l’organisation et se présente comme une importante cliente ou partenaire et vous menace d’une erreur que vous n’avez pas commise. Votre réponse ou défense pourrait contenir de l’information confidentielle dans le but de vous justifier.

Crédit: depositphotos.com

Sachez, que l’ingénierie sociale se pratique en distanciel : téléphone, clavardage, courriels, médias sociaux, mais aussi en présentiel : faux rendez-vous de démonstration, faux audit de surveillance, fausse maintenance informatique… Une des attaques pour tester la cyberrésilience des entreprises est de laisser une clé USB de stockage, un peu maganée (pour faire vrai), avec une étiquette stipulant « Grille des salaires », « Dossiers RH », « Confidentiel - CA » ou encore « Avantages Direction »; imaginez en plus que la clé a été customisée avec le logo, à moitié effacé, de l’organisation. L’employé retrouvant cette clé à côté de sa voiture dans le stationnement semi-public de son entreprise risque très fortement d’insérer cette clé USB dans son ordinateur par simple curiosité. Peut-être même son ordinateur corporatif…!? En réalité, cette clé USB contient un emplacement de mémoire cache, non détectable ou difficilement détectable par votre antivirus, qui va tenter de voler le maximum d’informations, fichiers, dossiers, mots de passe utilisés, l’ordinateur-victime et tenter, s’il en a la capacité, de se propager à travers le réseau. Les évolutions et mutations actuelles du « Botnet » (genre de virus/maliciel), appelé « Ponmocup » savent faire ça très facilement.

 

Ne préfèreriez-vous pas tester votre cyberrésilience via une entreprise ou une équipe interne que vous auriez vous-même mandatée? Pensez-vous que votre organisation est résiliente à l’ingénierie sociale et aux cyberattaques physiques?