Blog de l'information stratégique
De l’enquête à l’Intelligence économique
Enquêtes, Investigations, Intelligence économique,
Renseignement, Numérique, Cyber, Veilles, TIC, SSI …

Sécurité informatique : l’ingénierie sociale et les failles de l’humain méritent plus d’attention …

Posté par Arnaud Pelletier le 14 décembre 2012

Les entreprises s’appuient trop souvent sur les technologies de sécurité et ignorent l’impact qu’un «pare-feu humain» peut avoir sur la sécurité, explique le spécialiste renommé Hugh Thompson (Blue Coat Systems), dans un entretien accordé à Searchsecurity.com. Hugh Thompson explique que les attaques par ingénierie sociale rendent la tâche très difficile aux employés dès lors qu’il faut faire le tri entre messages légitimes et messages conçus pour les amener à lâcher des données sensibles.

[…]

  • Nous observons constamment une composante d’ingénierie sociale dans les violations de données. Dans certains cas, les attaquants n’ont pas même besoin d’exploiter une vulnérabilité : ils poussent les employés à la faute. N’est-ce pas un échec de l’instruction ?

Hugh Thompson : C’est le point faible de la sécurité de nos jours. Le facteur humain. Si vous êtes un attaquant et que vous cherchez à vous infiltrer dans une organisation, entendez-vous passer des semaines, voire des mois, à chercher une vulnérabilité spécifique inconnue dans ses systèmes ou allez-vous privilégier l’ingénierie sociale ? Identifiez des employés spécifiques puis récupérez des informations sur les réseaux sociaux avant de leur passer un coup de fil ou de leur expédier un e-mail ! C’est évidemment le plus simple.

[…]

  • Les équipes chargées de la sécurité IT échouent-elles à créer une culture de la sécurité ? Cela prend-il du temps à développer au sein d’une organisation ?

Hugh Thompson : C’est un sujet de controverse dans l’industrie. Je suis un optimiste et un formateur. De mon côté, je crois donc fermement que chacun peut s’améliorer en matière de sécurité. En apportant à chacun les bonnes opportunités d’instruction, les bonnes formations au bon moment… avec le temps, il est possible de s’améliorer et de renforcer sa résilience en cas d’attaque.

[…]

  • À quoi ressemble cette voie dangereuse ?

Hugh Thompson : Vous renoncez à améliorer l’hygiène de sécurité des personnes; vous ne misez plus que sur des outils tiers ou sur des contrôles censés compenser. Je pense plus que jamais que c’est ce pare-feu humain, ces processus et ces pensées qui vous traversent l’esprit avant que vous ne cliquiez sur quelque chose ou installiez une extension de navigateur Web inconnue qui deviennent de plus en plus importants.

[…]

  • Les smartphones et autres terminaux mobiles compliquent-ils les stratégies de sécurité des entreprises ?

Hugh Thompson : Ce mouvement vers plus de choix pour les personnes est un mouvement de notre temps. Cela ne concerne pas que l’IT; cela touche aussi la sécurité. Pensez à toutes les manières dont vous pouvez aujourd’hui partager un fichier avec un collègue. Vous pouvez utiliser un système d’entreprise, accessible via un VPN, par exemple. Ou encore utiliser quelque chose comme Dropbox : c’est toujours là à portée de main; un simple dossier. Et pas besoin de lancer son VPN pour y accéder…

[…]

Nous observons beaucoup d’efforts sur ces trois fronts. Mais je pense que l’approche qui va gagner sera celle consistant à permettre aux utilisateurs de faire leurs choix tandis que les responsables de la sécurité, en coulisses, s’attacheront à apporter à tout cela un niveau de sécurité raisonnable.

Par Valéry Marchive pour lemagit.fr

En savoir plus :

source http://www.lemagit.fr/technologie/securite-technologie/2012/12/13/lingenierie-sociale-et-les-failles-de-lhumain-meritent-plus-dattention/



Répondez

L’objectif de ce blog créé en 2006, qui n’est pas à proprement parler un blog puisque je ne donne que très peu mon avis, est d’extraire de mes veilles web informationnelles quotidiennes, un article, un billet qui me parait intéressant et éclairant sur des sujets se rapportant directement ou indirectement à la gestion de l’information stratégique des entreprises et des particuliers.
Depuis fin 2009, je m’efforce que la forme des publications soit toujours la même ; un titre, éventuellement une image, un ou des extrait(s) pour appréhender le sujet et l’idée, l’auteur quand il est identifiable et la source en lien hypertexte vers le texte d’origine afin de compléter la lecture.
En 2012, pour gagner en précision et efficacité, toujours dans l’esprit d’une revue de presse (de web), les textes évoluent, ils seront plus courts et concis avec uniquement l’idée principale.
En 2022, les publications sont faite via mon compte de veilles en ligne : http://veilles.arnaudpelletier.com/
Bonne découverte à tous …


Arnaud Pelletier

Note sur les billets de ce blog et droit de réserve

Facebook


Twitter

Abonnez vous