+33 (0)1.34.16.10.50 
Le développement des objets communiquants et leur usage quotidien sont aujourd’hui à l’origine de l’omniprésence des réseaux sans-fil WiFi, tant chez les particuliers que dans le monde professionnel.
Internet évolue et les cybercriminels aussi. 
Les entreprises s’appuient trop souvent sur les technologies de sécurité et ignorent l’impact qu’un «pare-feu humain» peut avoir sur la sécurité, explique le spécialiste renommé Hugh Thompson (Blue Coat Systems), dans un entretien accordé à Searchsecurity.com. Hugh Thompson explique que les attaques par ingénierie sociale rendent la tâche très difficile aux employés dès lors qu’il faut faire le tri entre messages légitimes et messages conçus pour les amener à lâcher des données sensibles.- Nous observons constamment une composante d’ingénierie sociale dans les violations de données. Dans certains cas, les attaquants n’ont pas même besoin d’exploiter une vulnérabilité : ils poussent les employés à la faute. N’est-ce pas un échec de l’instruction ?
Hugh Thompson : C’est le point faible de la sécurité de nos jours. Le facteur humain. Si vous êtes un attaquant et que vous cherchez à vous infiltrer dans une organisation, entendez-vous passer des semaines, voire des mois, à chercher une vulnérabilité spécifique inconnue dans ses systèmes ou allez-vous privilégier l’ingénierie sociale ? Identifiez des employés spécifiques puis récupérez des informations sur les réseaux sociaux avant de leur passer un coup de fil ou de leur expédier un e-mail ! C’est évidemment le plus simple.
[...]
- Les équipes chargées de la sécurité IT échouent-elles à créer une culture de la sécurité ? Cela prend-il du temps à développer au sein d’une organisation ?
Hugh Thompson : C’est un sujet de controverse dans l’industrie. Je suis un optimiste et un formateur. De mon côté, je crois donc fermement que chacun peut s’améliorer en matière de sécurité. En apportant à chacun les bonnes opportunités d’instruction, les bonnes formations au bon moment… avec le temps, il est possible de s’améliorer et de renforcer sa résilience en cas d’attaque.
[...]
- À quoi ressemble cette voie dangereuse ?
Hugh Thompson : Vous renoncez à améliorer l’hygiène de sécurité des personnes; vous ne misez plus que sur des outils tiers ou sur des contrôles censés compenser. Je pense plus que jamais que c’est ce pare-feu humain, ces processus et ces pensées qui vous traversent l’esprit avant que vous ne cliquiez sur quelque chose ou installiez une extension de navigateur Web inconnue qui deviennent de plus en plus importants.
[...]
- Les smartphones et autres terminaux mobiles compliquent-ils les stratégies de sécurité des entreprises ?
Hugh Thompson : Ce mouvement vers plus de choix pour les personnes est un mouvement de notre temps. Cela ne concerne pas que l’IT; cela touche aussi la sécurité. Pensez à toutes les manières dont vous pouvez aujourd’hui partager un fichier avec un collègue. Vous pouvez utiliser un système d’entreprise, accessible via un VPN, par exemple. Ou encore utiliser quelque chose comme Dropbox : c’est toujours là à portée de main; un simple dossier. Et pas besoin de lancer son VPN pour y accéder…
[...]
Nous observons beaucoup d’efforts sur ces trois fronts. Mais je pense que l’approche qui va gagner sera celle consistant à permettre aux utilisateurs de faire leurs choix tandis que les responsables de la sécurité, en coulisses, s’attacheront à apporter à tout cela un niveau de sécurité raisonnable.
Par Valéry Marchive pour lemagit.fr
En savoir plus :
Le cocktail mobilité + BYOD + cloud est explosif dans un paysage nouveau : « un écosystème numérique où les frontières entre l’entreprise, ses clients, ses partenaires, ses fournisseurs et ses propres collaborateurs sont de plus en plus floues », explique le Clusif (Club de la sécurité de l’information français), alors que la production d’information s’emballe et que l’interconnexion des systèmes est généralisée. Un risque concret : selon le Clusif, 81 % des entreprises jugent lourdes de conséquences une indisponibilité - même inférieure à 24 heures -de leurs outils informatiques, et 71 % des petites entreprises qui subissent une cyberattaque ne s’en remettent jamais.
L’ ANSSI a publié un guide contenant 40 règles pour veiller à l’hygiène informatique et à la sécurité informatique des des entreprises. Il s’agit de règles élémentaires et « ceux qui n’auront pas appliqué ces mesures ne pourront s’en prendre qu’à eux-mêmes » estime Patrick Pailloux, le directeur général de l’ANSSI.
Il s’appelle Gauss et il a déjà infecté des centaines d’ordinateurs au Proche-Orient. Ce nouveau virus informatique est capable d’espionner les transactions bancaires et de voler des mots de passe. Selon l’agence de sécurité Kaspersky Lab, il aurait été créé par les mêmes laboratoires qui ont mis au point Stuxnet, le virus utilisé pour contrer le programme nucléaire iranien.
Les opérations de cyber-espionnage sur Internet seraient de plus en plus nombreuses et de plus en plus ciblées, selon un chercheur en sécurité informatique qui intervenait lors de la Black Hat Conference de Las Vegas. Des campagnes dans lesquelles les sociétés de protection informatique joueraient un rôle décisif. “Bon nombre de sociétés de sécurité informatique ne sont pas étrangères aux attaques et intrusions alors même qu’elles prétendent offrir des services éthiques” a ainsi affirmé Joe Stewart, directeur de recherche chez Dell SecureWorks. Dans le contexte actuel, “il y a des centaines de minuscules petit botnets” ajoute l’expert.