Blog de l'information stratégique
De l’enquête à l’Intelligence économique
Enquêtes, Investigations, Intelligence économique,
Renseignement, Numérique, Cyber, Veilles, TIC, SSI …

Articles taggués ‘homme’

Sécurité informatique : priorité au facteur humain …

Posté par Arnaud Pelletier le 27 juin 2017

humainUne nouvelle étude souligne le recours croissant des cyber-délinquants au hameçonnage pour piéger les internautes et utilisateurs en entreprise. Et cela de manière toujours plus ciblée.

Selon Proofpoint, au cours du second semestre 2016, « le passage aux exploits centrés sur l’humain a été bien établi. Un total de 99 % des attaques de fraude financière par e-mail nécessitait des clics humains plutôt que de s’appuyer sur des exploits automatisés pour installer des logiciels malveillants ». Et la tendance vaut aussi pour le hameçonnage, via des courriels menant vers des pages Web frauduleuses : « en moyenne, 90 % des messages malicieux contenant des URL menaient vers des pages de vol d’identifiant », plutôt que vers des contenus provoquant le téléchargement de code malicieux.

[…]

Par Valéry Marchive pour lemagit.fr

En savoir plus :

Source http://www.lemagit.fr/actualites/450421337/Securite-le-facteur-humain-encore-et-toujours

Crédit Photo : Shutterstock

Qui protège le mieux sa vie privée sur le web ?

Posté par Arnaud Pelletier le 19 avril 2016

salariés78% des femmes contre 63% des hommes se disent peu susceptibles de révéler des informations personnelles (date de naissance, adresse réelle, numéro de sécurité sociale, etc.) en utilisant les médias sociaux  (Facebook, Instagram, sites de rencontre, etc.). Pourquoi ? Les femmes seraient-elles plus malignes que les hommes ? Peut-être… mais ce n’est pas si simple. En fait, les femmes auraient tendance à compter davantage sur leur propre comportement tandis que les hommes s’en remettent aux solutions techniques.

[…]

Par Jérôme Colombain pour franceinfo.fr

En savoir plus :

Source http://www.franceinfo.fr/emission/nouveau-monde/2015-2016/hommes-et-femmes-sur-internet-qui-protege-le-mieux-sa-vie-privee-19-04-2016-07-00

Crédit Photo : Shutterstock

L’ingénierie sociale en piratage informatique c’est quoi ?

Posté par Arnaud Pelletier le 6 mars 2014

imageL’ingénierie sociale est une forme de piratage psychologique présent dans la grande majorité des fraudes, des tentatives de piratage, voire dans la distribution des maliciels. Comment comprendre l’ingénierie sociale ?

Celui qui s’intéresse quelque peu aux questions d’infosécurité aura vraisemblablement déjà entendu l’adage voulant que l’humain soit le maillon faible dans ce domaine. Comme le dirait mononcle Herménégilde, où il y a de l’homme, il y a de l’hommerie. Cependant, qu’est-ce que cela veut dire concrètement ?

Cela vient principalement du fait que dans un grand nombre de cas de fraudes informatiques, ou d’attaques informatiques, il y a l’intervention de la victime dans le processus. Dans les cas d’hameçonnage par exemple, la victime se fait leurrer, mais c’est elle qui donne des informations nominatives importantes, et ce, sans se rendre compte qu’elle se met à risque. Autre cas de figure : le nom de la pièce jointe dans un courriel faisant croire qu’il s’agit d’un document de travail, alors qu’il s’agit en fait d’un logiciel malveillant. Certes, c’est une feinte, mais c’est aussi la victime qui ouvre elle-même la pièce jointe.

[…]

Par Benoît Gagnon pour branchez-vous.com

En savoir plus :

Source http://branchez-vous.com/2014/02/19/lingenierie-sociale-larme-de-les-pirates-informatique/

Les risques en entreprises, l’Homme au cœur du système …

Posté par Arnaud Pelletier le 12 février 2013

Les entreprises sont confrontées à des risques économiques de trois natures différentes : le premier risque concerne les fraudes et les vols internes ; le second porte sur l’acquisition d’informations détenues par les salariés ; le troisième est lié à la méconnaissance des marchés et de son environnement économique. Marc Meneses aborde dans cette émission les risques comportementaux ainsi que les moyens de les éviter.

[…]

  • Invité : Marc Meneses, directeur commercial de la société Insiders ; consultant en Intelligence Économique

Par Jérôme Bondu pour actuentreprise.com

En savoir plus :

source http://www.actuentreprise.com/page_de_garde/risques-comportementaux-comment-les-eviter/

Production & Réalisation : Bernard Berge  (Yodise TV)

Rédaction : Franck Herbault

Les entreprises s’appuient trop souvent sur les technologies de sécurité et ignorent l’impact qu’un «pare-feu humain» peut avoir sur la sécurité, explique le spécialiste renommé Hugh Thompson (Blue Coat Systems), dans un entretien accordé à Searchsecurity.com. Hugh Thompson explique que les attaques par ingénierie sociale rendent la tâche très difficile aux employés dès lors qu’il faut faire le tri entre messages légitimes et messages conçus pour les amener à lâcher des données sensibles.

[…]

  • Nous observons constamment une composante d’ingénierie sociale dans les violations de données. Dans certains cas, les attaquants n’ont pas même besoin d’exploiter une vulnérabilité : ils poussent les employés à la faute. N’est-ce pas un échec de l’instruction ?

Hugh Thompson : C’est le point faible de la sécurité de nos jours. Le facteur humain. Si vous êtes un attaquant et que vous cherchez à vous infiltrer dans une organisation, entendez-vous passer des semaines, voire des mois, à chercher une vulnérabilité spécifique inconnue dans ses systèmes ou allez-vous privilégier l’ingénierie sociale ? Identifiez des employés spécifiques puis récupérez des informations sur les réseaux sociaux avant de leur passer un coup de fil ou de leur expédier un e-mail ! C’est évidemment le plus simple.

[…]

  • Les équipes chargées de la sécurité IT échouent-elles à créer une culture de la sécurité ? Cela prend-il du temps à développer au sein d’une organisation ?

Hugh Thompson : C’est un sujet de controverse dans l’industrie. Je suis un optimiste et un formateur. De mon côté, je crois donc fermement que chacun peut s’améliorer en matière de sécurité. En apportant à chacun les bonnes opportunités d’instruction, les bonnes formations au bon moment… avec le temps, il est possible de s’améliorer et de renforcer sa résilience en cas d’attaque.

[…]

  • À quoi ressemble cette voie dangereuse ?

Hugh Thompson : Vous renoncez à améliorer l’hygiène de sécurité des personnes; vous ne misez plus que sur des outils tiers ou sur des contrôles censés compenser. Je pense plus que jamais que c’est ce pare-feu humain, ces processus et ces pensées qui vous traversent l’esprit avant que vous ne cliquiez sur quelque chose ou installiez une extension de navigateur Web inconnue qui deviennent de plus en plus importants.

[…]

  • Les smartphones et autres terminaux mobiles compliquent-ils les stratégies de sécurité des entreprises ?

Hugh Thompson : Ce mouvement vers plus de choix pour les personnes est un mouvement de notre temps. Cela ne concerne pas que l’IT; cela touche aussi la sécurité. Pensez à toutes les manières dont vous pouvez aujourd’hui partager un fichier avec un collègue. Vous pouvez utiliser un système d’entreprise, accessible via un VPN, par exemple. Ou encore utiliser quelque chose comme Dropbox : c’est toujours là à portée de main; un simple dossier. Et pas besoin de lancer son VPN pour y accéder…

[…]

Nous observons beaucoup d’efforts sur ces trois fronts. Mais je pense que l’approche qui va gagner sera celle consistant à permettre aux utilisateurs de faire leurs choix tandis que les responsables de la sécurité, en coulisses, s’attacheront à apporter à tout cela un niveau de sécurité raisonnable.

Par Valéry Marchive pour lemagit.fr

En savoir plus :

source http://www.lemagit.fr/technologie/securite-technologie/2012/12/13/lingenierie-sociale-et-les-failles-de-lhumain-meritent-plus-dattention/

Intelligence économique – Le maillon faible c’est l’Homme …

Posté par Arnaud Pelletier le 21 mars 2011
  • Négligence et malveillance, l’humain reste le premier facteur de risque

Fépie, Synfie, Adit, Rapport Carayon, “Cohen Act”. Protéger ses informations sensibles pour sauvegarder sa compétitivité est une préoccupation croissante des entreprises. L’affaire Renault, quelle qu’en soit l’issue, ou encore la cyber-attaque contre Bercy en décembre dernier, mettent en lumière la difficulté de prévenir puis de gérer une crise lorsqu’elle survient. Or, la majorité des pertes d’informations sont liées à des négligences ou à des procédures de sécurité non respectées. Les entreprises doivent former leurs salariés à acquérir les bons réflexes, mais également cloisonner la circulation de l’information en interne, pour limiter les opportunités de fuite. Et en cas de crise, il est nécessaire de ne pas hésiter à porter plainte.

Les entreprises font face à un nombre croissant de risques en tout genre : attaques sur les systèmes d’information, intrusions, vols… Le développement exponentiel de l’utilisation des technologies de l’information et de la communication rend les menaces plus prégnantes encore. Mais l’image de hackers spécialisés dans l’intrusion des systèmes d’information semble révolue. Car au final, la plupart des informations fuitent à cause d’une défaillance, ou d’une malveillance humaine. La crise, en rendant la compétition économique plus rude, a accru l’éventualité de comportements malveillants, les pratiques de concurrence déloyale, mais aussi la vigilance des entreprises. “Auparavant, lorsqu’une société perdait un marché, elle avait tendance à se dire que ça faisait partie du jeu, alors qu’aujourd’hui, elle va essayer de savoir ce qu’il s’est passé, relève Laurent Lebois, directeur général aux opérations du Groupe Synergie Globale. Et les cas de malveillance interne ne sont pas rares.” Ce qui explique que le recours aux sociétés spécialisées en intelligence économique (IE), prévention des risques ou encore aux agents de recherche privés, est plus fréquent. “Les risques externes ont toujours existé, mais ils sont désormais démultipliés, avec les moyens de communication”, explique Hervé Séveno, président du cabinet d’intelligence économique I2F, de la Fépie (fédération des professionnels de l’IE) et du Synfie (syndicat français d’IE). L’information n’a plus de frontières.

[…]

  • Identifier les informations convoitées

Toutes les informations relatives aux points forts de l’entreprise, “qu’elles concernent sa stratégie commerciale, ses domaines d’excellence en recherche, les perspectives de développement de nouveaux produits, les projets de fusion/acquisition, voire son organisation, susciteront la convoitise”, affirme Philippe Caduc. Il convient donc de les identifier et de les protéger. Pour Hervé Séveno, “le choix de décider quelles informations sont stratégiques est crucial pour la compétitivité”. Souvent, ce sont des critères de bon sens qui permettent de les déterminer et la première question à se poser est “quelles sont les informations qui intéressent nos concurrents ?”. L’entreprise “bunker” ne peut pas exister, remarque Philippe Caduc, selon qui “le progrès passe par le partage de l’information. Partage en interne quand l’entreprise met en place des plateformes réunissant des compétences particulières pour faire avancer un projet ; partage en externe quand l’entreprise fait appel à de la sous-traitance ou développe des partenariats”. Or, en partageant ainsi ses informations, l’entreprise accroît sa vulnérabilité.

[…]

  • Le premier risque ? La négligence

Les salariés ne se rendent pas forcément compte qu’ils détiennent des informations capitales. Ce qui peut les amener à négliger les protections de base. Mot de passe laissé sur les bureaux, discussions au restaurant ou sur les réseaux sociaux, utilisation d’un Wifi non sécurisé, etc. Les risques de fuite ou de pertes sont quotidiens dans la vie d’un cadre. Pour y répondre, il est indispensable de sensibiliser et de former ses salariés. “Souvent les tests d’intrusion que nous menons sont un électrochoc”, confie Bertrand de Turckheim, PDG d’Axis&Co. Les entreprises réalisent, par exemple, que les mails professionnels sont aussi peu fiables que les autres, ou encore que ce n’est pas parce que les données ne sont que sur l’intranet qu’elles ne sont pas susceptibles d’être volées. “Tout système est vulnérable, indique Bertrand de Turckheim. Mais quand on dit aux salariés qu’il faut mettre des mots de passe à huit caractères avec des caractères spéciaux, ils sont peu réceptifs. Ce sont des procédures nécessaires, mais qui ne sont pas mises en place par méconnaissance du danger.” Bernard Lage, directeur de Geos Business Intelligence le reconnaît, “la sécurité, c’est contraignant”, et si trop de mesures sont en place, “les collaborateurs cherchent à les contourner pour se simplifier la tâche, il faut donc miser sur la formation”. Autre négligence, il n’est pas rare de trouver des documents jetés tels quels à la poubelle, alors que le vol dans les déchets est encore très fréquent et que le simple achat d’un broyeur peut régler le problème.

Bertrand de Turckheim prévient que le risque peut être différent à l’étranger, car la menace, suivant les pays, peut avoir des moyens étatiques, notamment “dans certains pays, où les salaires des fonctionnaires sont très bas”. Il faut réfléchir sur le niveau de la menace et sur les instruments dont elle peut disposer. Il faut comprendre l’économie de la menace. Attention par exemple aux écoutes dans une dataroom non sécurisée lors d’une réunion. Dans ce cas, l’usage du téléphone portable est à éviter, comme l’utilisation d’une messagerie non protégée. Par ailleurs, “il existe des cas de pays où les gens perdent la maîtrise de leur ordinateur au moment du passage de la frontière, poursuit-il. C’est arrivé en Chine et en Israël. Même si on ne le prend que quelques minutes, on peut craindre un logiciel espion, ou une copie des données”.

Le risque existe partout. “Aujourd’hui on peut se faire pirater son téléphone via une connexion bluetooth, et ce avec des logiciels à très bas prix, accessibles à tous, constate Laurent Lebois. Avec ça, on peut récupérer tous vos contacts. Dans les transports, sur les réseaux sociaux, en fait dès qu’il y a une interaction avec un autre usager, il peut y avoir un risque.”

[…]

  • Les bonnes pratiques

La réponse passe donc par la sensibilisation des salariés pour développer les bons comportements. Pourtant, selon Hervé Séveno, “il ne suffit pas de sensibiliser les cadres à ne plus parler dans les avions, cela doit devenir un réflexe, et pour cela, la notion de protection de la compétitivité doit être intégrée par les salariés”. Des questions qui, selon lui, devraient être abordées dans les grandes écoles qui forment les futurs cadres dirigeants au même titre que la stratégie financière, les RH ou encore la communication.

Au niveau informatique, “il y aura toujours une faille sur les SI, estime Philippe Chabrol, et un hacker pour la trouver. Mais il y a déjà beaucoup de risques que nous pouvons contenir en travaillant sur l’humain. Il faut acquérir des réflexes lors de la présentation d’un produit, d’un salon, d’un déjeuner.” Il cite l’exemple des commerciaux, qui “ont tendance à être très bavards et avec qui, si vous lancez la discussion, il n’est pas rare qu’ils expliquent sur quoi l’entreprise est en train de travailler.”

[…]

  • Une affaire de spécialistes

Pourtant, que ce soit par manque de compétences, ou dans un souci d’objectivité, les entreprises peuvent difficilement gérer entièrement leur sécurisation en interne. Selon Hervé Séveno, même si l’entreprise a un “Monsieur intelligence économique” ou une direction sûreté qui traite de la sécurisation des informations, “elle aura besoin d’une compétence externe pour être sûre d’avoir un regard objectif”. Et même dans le cas de la présence d’une direction sûreté, celle-ci est souvent limitée à deux ou trois personnes et rares sont celles qui ont un chargé d’intelligence économique. “C’est une faiblesse notamment pour les PME”, constate Hervé Séveno. Les études de risque demandent en effet des moyens financiers importants – de 20 000 à 30 000 euros – qu’elles n’ont pas forcément. Pourtant, la sous-traitance est par exemple un risque majeur de perte d’informations, notamment pour les grands groupes. Elle est de plus en plus utilisée, que ce soit pour des compétences techniques spécifiques ou pour la gestion des paies. Et souvent, le donneur d’ordre n’a aucune idée de la façon dont sont protégées ses informations chez le sous-traitant.

[…]

Il est vrai que face à un vol ou à une fuite d’informations, l’entreprise est souvent démunie. “Elle doit s’entourer de conseils spécialisés, qui analysent comment, pourquoi, à qui profite le crime, et mettre en œuvre les mesures qui conviennent”, explique Laurent Lebois. Une société spécialisée sera en effet plus à même de mener une analyse. Et lors de l’enquête dans l’entreprise, elle aura plus de légitimité que si ce sont des équipes de la direction. “Si les faits sont avérés, elle doit porter plainte”, plaide Hervé Séveno. Cela permet au parquet d’ouvrir une enquête préliminaire, et de bénéficier des moyens de la DCRI (Direction centrale du renseignement intérieur). “Il est important que les gens soupçonnés soient maintenus en place, car la justice a des moyens, ceux de la DCRI notamment, qui vont lui permettre de confirmer, ou d’infirmer les soupçons, explique Hervé Séveno, qui juge que si les entreprises sont encore réticentes à porter plainte, “c’est à cause de la publicité des débats”. Lors de l’étude des faits à l’audience, l’entreprise doit en effet expliquer publiquement en quoi les données volées sont stratégiques. Le président de la Fépie défend donc l’idée d’un huis clos pour les affaires d’espionnage industriel, qui seraient confiées à des magistrats spécialisés, comme ceux du pôle financier. Pour Philippe Chabrol, il est indispensable de communiquer, et d’abord en interne, “surtout si la crise vient bouleverser l’activité de l’entreprise en termes de vente. Cela sert à prouver son honnêteté. Voire à gagner en confiance.”

Par Isabelle Perrin pour lenouveleconomiste.fr

En savoir plus :

http://www.lenouveleconomiste.fr/intelligence-economique-le-maillon-faible-6104/


L’objectif de ce blog créé en 2006, qui n’est pas à proprement parler un blog puisque je ne donne que très peu mon avis, est d’extraire de mes veilles web informationnelles quotidiennes, un article, un billet qui me parait intéressant et éclairant sur des sujets se rapportant directement ou indirectement à la gestion de l’information stratégique des entreprises et des particuliers.
Depuis fin 2009, je m’efforce que la forme des publications soit toujours la même ; un titre, éventuellement une image, un ou des extrait(s) pour appréhender le sujet et l’idée, l’auteur quand il est identifiable et la source en lien hypertexte vers le texte d’origine afin de compléter la lecture.
En 2012, pour gagner en précision et efficacité, toujours dans l’esprit d’une revue de presse (de web), les textes évoluent, ils seront plus courts et concis avec uniquement l’idée principale.
En 2022, les publications sont faite via mon compte de veilles en ligne : http://veilles.arnaudpelletier.com/
Bonne découverte à tous …


Arnaud Pelletier

Note sur les billets de ce blog et droit de réserve

Facebook


Twitter

Abonnez vous