Protection du personnel interne contre les menaces d'ingénierie sociale
Paru le 18 août 2006
Sur cette page
Introduction
Menaces d'ingénierie sociale et défenses
Mise en place des défenses contre les menaces d'ingénierie sociale
Mise en œuvre des défenses contre les menaces d'ingénierie sociale
Annexe 1 : Listes de contrôle pour la stratégie de sécurité des menaces d'ingénierie sociale
Annexe 2 : Glossaire
Introduction
Bienvenue dans ce document de la collection Guides de sécurité pour les entreprises de taille moyenne. Microsoft espère que les informations suivantes vous aideront à mettre en place un environnement informatique plus sûr et plus productif.
Personnes concernées par ce guide
Ce guide fournit des informations sur la gestion de la sécurité concernant les menaces engendrées par l'ingénierie sociale et les défenses permettant de résister aux pirates. L'ingénierie sociale désigne essentiellement les menaces non techniques dirigées contre la sécurité des entreprises. L'étendue de ces menaces potentielles exige que les personnels d'encadrement et techniques de l'entreprise soient bien informés sur celles-ci ainsi que sur les défenses potentielles, notamment :
Le comité de direction
Les responsables des opérations techniques et des services
Le personnel du support technique
Le personnel de sécurité
Les responsables commerciaux
Présentation
Pour attaquer votre organisation, les pirates qui utilisent l''ingénierie sociale exploitent la crédulité, la paresse, la gentillesse ou même l'enthousiasme de votre personnel. Par conséquent, il est difficile de se défendre contre une attaque de ce type, car les cibles peuvent ne pas se rendre compte qu'elles ont été dupées ou préfèrent ne pas l'admettre. Les objectifs de ce genre de pirate, qui essaie d'obtenir un accès non autorisé à vos systèmes informatiques, sont similaires à ceux de tout autre pirate : il convoite l'argent, les informations ou les ressources informatiques de votre entreprise.
Il tente de persuader votre personnel de fournir des informations qui lui permettront d'utiliser vos systèmes ou leurs ressources. Généralement, cette approche est désignée comme abus de confiance. Nombre de petites et moyennes entreprises estiment que les attaques de pirates ciblent essentiellement les grandes entreprises ou organisations qui sont plus gratifiantes financièrement. Même si cela a pu être le cas dans le passé, l'évolution croissante du cyber-crime implique que les pirates ciblent désormais tous les secteurs de la communauté, des entreprises aux individus. Les criminels peuvent voler directement une entreprise, en détournant des fonds ou des ressources, mais celle-ci peut aussi leur servir de plaque tournante pour perpétrer des crimes contre d'autres utilisateurs. Cette approche complique la tâche des autorités chargées de les retrouver.
Pour protéger votre personnel contre les attaques par ingénierie sociale, vous devez savoir à quels types d'attaques vous êtes exposé, comprendre les objectifs du pirate et évaluer les pertes pour votre organisation. Fort de ces connaissances, vous pouvez renforcer votre stratégie de sécurité en y intégrant des défenses contre l'ingénierie sociale. Ce document suppose que vous disposez d'une stratégie de sécurité qui définit les objectifs, les pratiques et les procédures que l'entreprise juge nécessaires pour protéger ses informations, ses ressources et son personnel contre les attaques technologiques ou physiques. Les modifications de votre stratégie de sécurité permettront d'offrir au personnel des conseils sur l'attitude à adopter lorsqu'il est confronté à une personne ou une application informatique qui tente de le forcer ou le persuader d'exposer les ressources de l'entreprise ou de divulguer des informations sur la sécurité.
Menaces d'ingénierie sociale et défenses
Les pirates se servant de l'ingénierie sociale utilisent cinq vecteurs d'attaque principaux :
Internet
Le téléphone
La gestion des déchets
Les approches personnelles
L'ingénierie sociale inverse
Une fois ces points d'entrée reconnus, vous devez aussi savoir ce que le pirate espère gagner. Comme la plupart des gens, leurs objectifs sont : l'argent, l'avancement social et l'estime de soi. Les pirates souhaitent s'emparer de votre argent ou de vos ressources, être reconnus dans la société ou parmi leurs pairs et avoir une bonne estime d'eux-mêmes. Malheureusement, ils atteignent ces objectifs illégalement par le vol ou la détérioration des systèmes informatiques. Toute attaque vous coûte de l'argent, par la perte de revenus, de ressources, d'informations, de disponibilité de l'entreprise ou encore de crédibilité de l'entreprise. Lors de la conception des défenses contre de telles menaces, il convient d'estimer le coût d'une attaque.
Menaces en ligne
Dans un monde professionnel où Internet joue un rôle de plus en plus important, le personnel communique et répond souvent à des demandes envoyées via le courrier électronique par des utilisateurs internes ou externes. Cette connectivité permet aux pirates de profiter du relatif anonymat d'Internet pour approcher votre personnel. Vous entendez souvent parler des attaques en ligne dans la presse, comme les attaques par courrier électronique, application intempestive et message instantané qui utilisent les chevaux de Troie, les vers ou les virus, collectivement appelés logiciels malveillants, pour endommager ou corrompre les ressources informatiques. L'implémentation de protections antivirus peut constituer une première ligne de défense efficace contre la plupart de ces attaques malveillantes.
Remarque Pour plus d'informations sur les défenses antivirus, consultez le Guide de défense antivirus renforcée à l'adresse suivante : http://go.microsoft.com/fwlink/?linkid=28732.
Au lieu d'infecter un ordinateur directement avec un logiciel malveillant, le pirate qui utilise l'ingénierie sociale persuade un membre du personnel de fournir des informations grâce à une ruse crédible . Une attaque peut fournir des informations qui permettront au pirate d'utiliser par la suite un logiciel malveillant, mais cela ne fait pas partie de l'ingénierie sociale. Par conséquent, vous devez conseiller le personnel sur la manière d'identifier et d'éviter les attaques d'ingénierie sociale en ligne.
Menaces par courrier électronique
Nombreux sont les employés qui reçoivent chaque jour des dizaines ou même des centaines de messages électroniques venant de systèmes de messagerie privés ou d'entreprises. Le volume de courrier électronique est tel qu'il est difficile d'accorder toute son attention à chaque message. Le pirate profite de cela. La plupart des utilisateurs de messagerie électronique sont satisfaits lorsqu'ils ont traité leur courrier; cela équivaut à déplacer un document papier du registre de courrier entrant au registre de courrier sortant. Si le pirate fait une simple demande facile à traiter, la cible répondra souvent sans même réfléchir.
Un exemple d'attaque facile est l'envoi à un employé d'un message électronique annonçant que le patron souhaite que tous les plannings de congés soient envoyés pour une réunion et que chaque personne de la liste soit mise en copie dans le message. Il est simple de glisser un nom externe dans la copie de la liste et de maquiller le nom de l'expéditeur pour que le courrier semble provenir d'une source interne. L'usurpation d'identité est particulièrement simple si un pirate obtient l'accès au système informatique d'une entreprise, car il n'a pas besoin de franchir les pare-feu de périmètre. La connaissance du planning de congés d'un service ne semble pas constituer une menace pour la sécurité, mais permet au pirate de savoir à quel moment un employé est absent. Le pirate peut ensuite emprunter l'identité de cette personne avec un moindre risque d'être découvert.
L'utilisation du courrier électronique comme outil d'ingénierie sociale s'est répandue au cours des dix dernières années. L'hameçonnage désigne l'utilisation du courrier électronique pour obtenir des informations personnelles identifiables ou confidentielles d'un utilisateur. Les pirates peuvent envoyer des messages électroniques qui semblent provenir de vraies organisations, telles que des banques ou des entreprises partenaires.
La figure suivante présente un lien apparemment valide vers le site de gestion du compte Contoso.
.gif)
Figure 1. Lien hypertexte de message d'hameçonnage
Toutefois, à y regarder de plus près, vous pouvez constater deux différences :
Le texte du message indique que le site est sécurisé, en utilisant https, bien que l'info-bulle de lien hypertexte indique que le site utilise en fait http.
Le nom de la société dans le message est « Contoso », mais le lien dirige vers une société appelée « Comtoso ».
Comme l'implique le terme hameçonnage, ces approches sont en général spéculatives, avec une demande générale d'informations sur un client. Le maquillage des messages électroniques avec des logos, des polices et même des numéros de téléphone de services d'assistance gratuits, apparemment valides, rend ces courriers plus crédibles. Chaque message d'hameçonnage contient une demande d'informations sur les utilisateurs, bien souvent pour faciliter une mise à niveau ou un service supplémentaire. L'harponnage est une extension du phishing, qui consiste à approcher une cible explicite ou un service. Cette approche est beaucoup plus sophistiquée, car elle s'appuie sur des informations confidentielles et pertinentes concernant la société pour rendre la tromperie plus crédible. Elle nécessite une meilleure connaissance de la cible, mais permet de soutirer d'autres informations plus spécifiques et détaillées.
Le courrier électronique peut aussi comporter des liens hypertexte qui peuvent amener un membre du personnel à violer la sécurité de la société. Comme le montre la figure 1, les liens ne conduisent pas toujours un utilisateur à l'emplacement attendu ou promis. Le pirate dispose d'une série d'autres possibilités dans un message d'hameçonnage, notamment des images constituant des liens hypertexte qui téléchargent des programmes malveillants, comme des virus ou logiciels espions. Il peut aussi utiliser du texte intégré à une image pour contourner les filtres de sécurité des liens.
La plupart des mesures de sécurité permettent d'interdire l'accès aux utilisateurs non autorisés. Un pirate peut contourner un certain nombre de défenses s'il amène un utilisateur à introduire un cheval de Troie, un ver ou un virus dans l'entreprise via un lien. Le lien hypertexte peut aussi conduire une personne à un site qui utilise des applications intempestives pour demander des informations ou offrir une assistance.
Utilisez une matrice de vecteurs d'attaque, d'objectifs d'attaque, de descriptions et de coûts pour votre entreprise similaire à celle illustrée dans le tableau ci-dessous pour classer les attaques et à évaluer leurs risques pour votre entreprise. Une menace peut parfois présenter plusieurs risques. Lorsque c'est le cas, les risques sont illustrés en gras dans les exemples suivants.
Tableau 1. Attaques par courrier électronique en ligne et coûts
| Objectifs des attaques | Description | Coût |
|---|---|---|
| Vol d'informations de l'entreprise | Le pirate emprunte l'identité d'un utilisateur interne pour obtenir des informations sur l'entreprise. | Informations confidentielles Crédibilité de l'entreprise |
| Vol d'informations financières | Le pirate utilise l'hameçonnage (ou l'harponnage) pour demander des informations confidentielles, telles que des numéros de comptes. | Argent Informations confidentielles Crédibilité de l'entreprise |
| Téléchargement de fichiers malveillants | Le pirate invite un utilisateur à cliquer sur un lien ou à ouvrir une pièce jointe, infectant ainsi le réseau de l'entreprise. | Disponibilité de l'entreprise Crédibilité de l'entreprise |
| Téléchargement des logiciels du pirate | Le pirate invite un utilisateur à cliquer sur un lien ou à ouvrir une pièce jointe pour télécharger son programme qui utilise les ressources réseau de l'entreprise. | Ressources Crédibilité de l'entreprise Argent |
Pour se protéger contre les attaques des pirates d'ingénierie sociale il convient de se méfier de tout courrier inattendu arrivant dans votre boîte de réception. Pour appliquer cette approche dans une organisation, vous devez inclure dans la stratégie de sécurité des conseils d'utilisation de la messagerie électronique qui couvrent les points suivants :
Pièces jointes dans les documents.
Liens hypertexte dans les documents.
Demandes d'informations personnelles ou relatives à l'entreprise en interne.
Demandes d'informations personnelles ou relatives à l'entreprise venant de l'extérieur.
Outre ces conseils, vous devez inclure des exemples d'attaques d'hameçonnage. Une fois qu'un utilisateur reconnaît une escroquerie par hameçonnage, il détectera les autres beaucoup plus facilement.
Applications et boîtes de dialogue intempestives
Ce serait manquer de réalisme que de penser que les employés d'une entreprise n'utilisent l'accès Internet que pour des activités professionnelles. La plupart d'entre eux naviguent sur le Web pour des raisons personnelles, comme des achats ou des recherches en ligne. La navigation personnelle peut amener les employés et par conséquent les systèmes informatiques de l'entreprise à entrer en contact avec des pirates d'ingénierie sociale. Même s'ils ne ciblent pas votre entreprise en particulier, ils se servent de vos employés pour accéder aux ressources de l'entreprise. L'un des objectifs les plus courants est d'intégrer un moteur de messagerie dans votre environnement informatique via lequel le pirate peut lancer l'hameçonnage ou d'autres attaques par courrier électronique contre d'autres entreprises ou utilisateurs.
La figure suivante montre un exemple de lien conduisant en apparence à un site de gestion de compte sécurisé (secure.contosa.com account_id?Amendments), alors que la barre d'état indique qu'il conduit l'utilisateur à un site de pirate. En fonction du navigateur que vous utilisez, un pirate peut supprimer ou reformater les informations de la barre d'état.
.gif)
Figure 2. Lien hypertexte d'hameçonnage sur une page Web
Pour inciter un utilisateur à cliquer sur un bouton dans une boîte de dialogue, les deux méthodes les plus courantes consistent à signaler un problème en affichant un message d'erreur réaliste du système d'exploitation ou d'une application, ou à offrir des services supplémentaires, par exemple, un téléchargement gratuit pour augmenter la vitesse de votre ordinateur. Pour les utilisateurs d'ordinateurs et les internautes expérimentés, ces méthodes apparaissent comme des mensonges évidents. Mais pour les personnes inexpérimentées, ces applications ou boîtes de dialogue intempestives peuvent être intimidantes ou attrayantes.
Tableau 2. Attaques par fenêtres et boîtes de dialogue intempestives en ligne et coûts
| Objectifs des attaques | Description | Coût |
|---|---|---|
| Vol d'informations sur le personnel | Le pirate demande des informations confidentielles à un membre du personnel | Informations confidentielles Argent (membre du personnel) |
| Téléchargement de fichiers malveillants | Le pirate invite un utilisateur à cliquer sur un lien ou à ouvrir une pièce jointe | Disponibilité de l'entreprise Crédibilité de l'entreprise |
| Téléchargement des logiciels du pirate | Le pirate invite un utilisateur à cliquer sur un lien ou à ouvrir une pièce jointe | Ressources Crédibilité de l'entreprise Argent |
La protection des utilisateurs contre les applications intempestives d'ingénierie sociale constitue essentiellement une tâche de sensibilisation. Pour éviter le problème, vous pouvez configurer le navigateur afin de bloquer les fenêtres publicitaires intempestives et les téléchargements automatiques, mais certaines fenêtres publicitaires contournent les paramètres de navigateur. Il est plus efficace de s'assurer que les utilisateurs comprennent qu'ils ne doivent pas cliquer sur ces fenêtres avant de consulter l'équipe de support. Par conséquent, votre personnel ne doit pas craindre que l'équipe de support leur reproche de naviguer sur le Web. Cette relation de confiance peut être influencée par la stratégie de votre entreprise concernant la navigation personnelle sur Internet.
Messagerie instantanée
La messagerie instantanée (IM) est un moyen de communications relativement récent, mais elle a gagné en popularité en tant qu'outil métier et certains analystes estiment qu'on comptera 200 millions d'utilisateurs de produits de messagerie instantanée en 2006. La spontanéité et la familiarité de la messagerie instantanée en font un vaste terrain de chasse pour les attaques d'ingénierie sociale, car les utilisateurs l'assimilent au téléphone et ne l'associent pas à des menaces logicielles potentielles contre les ordinateurs. Les deux principales attaques lancées par messagerie instantanée sont l'intrusion de liens vers des logiciels malveillants et de fichiers réels. Bien entendu, la messagerie instantanée représente aussi un autre moyen de demander simplement des informations.
Un certain nombre de menaces potentielles sont inhérentes à ce type de messagerie lorsqu'il est utilisé à des fins d'ingénierie sociale. La première d'entre elles est le caractère informel de la messagerie instantanée. Son caractère interactif, ainsi que le choix d'utiliser un pseudonyme, impliquent que vos interlocuteurs ne sont pas forcément ceux qu'ils prétendent être, ce qui augmente les risques d'usurpation d'identité.
La figure suivante illustre le fonctionnement de l'usurpation d'identité pour les messageries électronique et instantanée.
.gif)
Figure 3. Usurpation des identifiants de messageries électronique et instantanée
Le pirate (rouge) emprunte l'identité d'un autre utilisateur et envoie un message électronique ou instantané dont la cible suppose qu'il provient d'une personne connue. Le sentiment de familiarité trompe la vigilance de l'utilisateur au point qu'il est plus facilement amené à cliquer sur un lien ou à ouvrir une pièce jointe venant d'une personne connue ou qu'il croit connaître. La plupart des fournisseurs de messagerie instantanée identifient les utilisateurs par leurs adresses électroniques, ce qui permet à un pirate qui a identifié une norme d'adressage dans votre entreprise d'envoyer des invitations de contact de messagerie instantanée à des personnes de l'organisation. Cette fonctionnalité ne constitue pas une menace, mais elle signifie que le nombre de cibles dans votre entreprise augmente sensiblement.
Tableau 3. Attaques par messagerie instantanée et coûts
| Objectifs des attaques | Description | Coût |
|---|---|---|
| Demande d'informations confidentielles sur l'entreprise | Le pirate se fait passer pour un collègue en usurpant son identifiant de messagerie instantanée, afin de demander des informations sur l'entreprise. | Informations confidentielles Crédibilité de l'entreprise |
| Téléchargement de fichiers malveillants | Le pirate invite un utilisateur à cliquer sur un lien ou à ouvrir une pièce jointe, infectant ainsi le réseau de l'entreprise. | Disponibilité de l'entreprise Crédibilité de l'entreprise |
| Téléchargement des logiciels du pirate | Le pirate invite un utilisateur à cliquer sur un lien ou à ouvrir une pièce jointe pour télécharger un programme, tel qu'un moteur de messagerie, qui utilise les ressources réseau de l'entreprise. | Ressources Crédibilité de l'entreprise Argent |
Si vous souhaitez bénéficier de l'immédiateté et des réductions de coût offertes par la messagerie instantanée, vous devez inclure des défenses spécifiques à ce type de messagerie dans vos stratégies de sécurité. Pour contrôler la messagerie instantanée dans votre entreprise, vous devez appliquer les cinq règles d'utilisation suivantes :
Utilisez une seule plate-forme de messagerie instantanée. Cette règle minimisera les tâches de support et découragera les utilisateurs à discuter en ligne en utilisant leur fournisseur de messagerie instantanée personnel. Pour réaliser une approche plus contrôlée qui limite le choix des utilisateurs, vous pouvez bloquer les ports utilisés par les services de messagerie instantanée courants.
Définissez les paramètres de sécurité du déploiement. Les clients de messagerie instantanée offrent un large éventail d'options de sécurité et de confidentialité, telles que l'analyse antivirus.
Établissez des règles de contact. Recommandez aux utilisateurs de ne pas accepter de nouvelles invitations de contact par défaut.
Établissez des normes de mot de passe. Créez des mots de passe de messagerie instantanée conformes aux normes de mots de passe forts que vous avez définies pour les mots de passe d'hôtes.
Fournissez des conseils d'utilisation. Développez un ensemble de recommandations pour vos utilisateurs, en expliquant le raisonnement qui les a inspirées.
Menaces par téléphone
Le téléphone offre un vecteur d'attaque unique pour les pirates pratiquant l'ingénierie sociale. C'est un moyen familier quoique impersonnel, car la cible ne peut pas voir le pirate. Les options de communications de la plupart des systèmes informatiques peuvent aussi faire des réseaux PBX (Private Branch Exchange) une cible attrayante. Une autre attaque, certainement très grossière, est de voler les codes PIN des cartes de crédit ou des cartes téléphoniques dans des cabines téléphoniques. Cette attaque est plus généralement dirigée contre une personne, mais les cartes de crédit des entreprises sont tout aussi utiles. La plupart des gens savent qu'ils doivent se protéger des regards indiscrets lorsqu'ils utilisent un ATM, mais ils sont moins prudents avec un code PIN dans une cabine téléphonique.
La voix sur Internet Protocol (VoIP) est un marché en développement qui réduit les coûts des entreprises. Actuellement, en raison du nombre relativement restreint d'installations, le piratage VoIP n'est pas considéré comme une menace importante. Toutefois, comme de plus en plus d'entreprises adoptent cette technologie, l'usurpation d'identité de VoIP est appelée à s'étendre autant que celle des messageries électronique et instantanée actuelle.
Private Branch Exchange Un pirate qui attaque un PBX a trois objectifs principaux :
Demander des informations, généralement en imitant un utilisateur légitime, pour accéder au système téléphonique lui-même ou pour obtenir un accès distant aux systèmes informatiques.
Accéder à l'utilisation « gratuite » du téléphone.
Accéder au réseau de communications.
Chacun de ces objectifs est une variation sur un thème, le pirate appelant l'entreprise et essayant d'obtenir les numéros de téléphone qui fournissent l'accès direct à un PBX ou via un PBX vers le réseau téléphonique public. Il s'agit de piratage téléphonique que l'on désigne par le terme phreaking. L'approche la plus courante pour un pirate est de se faire passer pour un technicien téléphonique, demandant une ligne externe ou un mot de passe pour analyser et résoudre les problèmes signalés dans le système téléphonique interne, comme illustré dans la figure suivante.
.gif)
Figure 4. Attaques contre la téléphonie PBX
Les demandes d'informations ou d'accès par téléphone sont une forme d'attaque relativement peu risquée. Si la cible devient méfiante ou refuse d'accéder à la demande, le pirate peut simplement raccrocher. Mais sachez que ces attaques sont plus sophistiquées qu'un simple appel demandant à une entreprise un ID utilisateur et un mot de passe. Le pirate présente généralement un scénario qui consiste à solliciter ou offrir de l'aide, avant de demander des informations personnelles ou d'entreprise, comme si de rien n'était. .
Tableau 4. Attaques contre Private Branch Exchange et coûts
| Objectifs des attaques | Description | Coût |
|---|---|---|
| Demande d'informations sur l'entreprise | Le pirate emprunte l'identité d'un utilisateur légitime pour obtenir des informations confidentielles. | Informations confidentielles Crédibilité de l'entreprise |
| Demande d'informations téléphoniques | Le pirate emprunte l'identité d'un technicien téléphonique pour accéder au PBX afin de passer des appels externes. | Ressources Argent |
| Utilisation de PBX pour accéder aux systèmes informatiques | Le pirate s'introduit dans les systèmes informatiques, via PBX, pour voler ou manipuler des informations, infecter les systèmes par logiciel malveillant ou utiliser des ressources. |
| Objectifs des attaques | Description | Coût |
|---|---|---|
| Demande d'informations | Le pirate emprunte l'identité d'un utilisateur légitime pour obtenir des informations sur l'entreprise. | Informations confidentielles |
| Demande d'accès | Le pirate emprunte l'identité d'un utilisateur légitime pour obtenir l'accès de sécurité aux systèmes d'information. | Informations confidentielles Crédibilité de l'entreprise Disponibilité de l'entreprise Ressources Argent |
Le support technique doit établir un juste équilibre entre la sécurité et l'efficacité commerciale, et les stratégies et procédures de sécurité doivent l'aider dans cette voie. Des preuves d'identification, telles que le numéro d'employé, le service et le nom du directeur, constituent les informations de base qu'un analyste du support technique doit demander, car tous les employés les possèdent. Mais ces preuves ne sont pas toujours totalement fiables, car un pirate peut les avoir volées. C'est un début réaliste, toutefois. En réalité, le seul moyen d'identification précis à 99.99 % est le test de prélèvement d'ADN, ce qui est tout à fait irréaliste.
Il est plus difficile de défendre l'analyste du support technique contre un pirate qui est membre du personnel interne ou temporaire. Ce type de pirate maîtrise les procédures internes et a le temps de s'assurer qu'il dispose de toutes les informations requises, avant d'appeler le support technique. Les procédures de sécurité doivent jouer un double rôle dans ce cas :
L'analyste du support technique doit s'assurer qu'il existe une trace d'audit de toutes les actions. Si un pirate réussit à accéder sans autorisation aux informations ou ressources via un appel au support technique, ce dernier doit enregistrer toutes les activités pour pouvoir corriger ou limiter les dommages et les pertes. Si chaque appel entraîne un message électronique automatique ou manuel signalant le problème ou la demande, l'employé victime d'un vol d'identité comprendra plus facilement ce qui s'est passé et appellera le support technique.
L'analyste doit disposer d'une procédure bien structurée pour gérer les différents types d'appel. Par exemple, si le directeur de l'employé doit effectuer des demandes de modification d'accès par courrier électronique, les modifications informelles ou non autorisées des niveaux de sécurité sont impossibles.
Si les utilisateurs connaissent ces règles et que la direction prend en charge leur implémentation, cela compliquera la tâche des pirates qui seront détectés plus facilement. La trace d'audit à 360 degrés est un outil très précieux pour éviter et découvrir les activités illicites.
Menaces contre la gestion des déchets
L'analyse illicite des déchets, appelée couramment dumpster diving, est une activité très utile aux pirates. Les déchets papier des entreprises peuvent contenir des informations d'un grand intérêt pour un pirate, comme les numéros de compte et les ID utilisateur, ou des informations générales, par exemple des listes téléphoniques et des chartes d'entreprise. Ce dernier type d'information est précieux pour un pirate, car cela le rend crédible lors d'une attaque. Par exemple, si le pirate connaît bien les employés d'un département de l'entreprise, ceux-ci se laisseront approcher plus facilement. Ils présumeront qu'une personne possédant beaucoup d'informations sur l'entreprise fait partie du personnel.
Les supports électroniques peuvent être encore plus utiles. Si les entreprises ne disposent pas de règles de gestion des déchets comprenant une élimination des supports redondants, il est possible de trouver toutes sortes d'informations sur les disques durs, les CD et les DVD jetés à la poubelle. Les supports fixes et amovibles étant solides, les employés responsables de la sécurité informatique doivent définir des stratégies de gestion des supports comprenant des instructions de nettoyage ou de destruction des données.
Tableau 6 : Attaques contre la gestion des déchets et coûts
| Objectifs des attaques | Description | Coût |
|---|---|---|
| Déchets papier dans les poubelles extérieures | Le pirate dérobe des documents contenant des informations sur l'entreprise dans les bennes situées à l'extérieur des immeubles. | Informations confidentielles Crédibilité de l'entreprise |
| Déchets papier dans les poubelles intérieures | Le pirate dérobe des documents dans les poubelles intérieures, contournant ainsi les instructions de gestion des déchets papier extérieurs. | Informations confidentielles Crédibilité de l'entreprise |
| Déchets des supports électroniques | Le pirate dérobe des informations et des applications provenant des supports électroniques mis au rebut. Il vole aussi les supports. | Informations confidentielles Ressources Crédibilité de l'entreprise |
Vos employés doivent mesurer les risques encourus lorsqu'ils jettent à la poubelle des papiers ou des supports électroniques. Une fois que ces déchets sortent de l'entreprise, leur possession peut confronter l'entreprise à une obscurité juridique. Le dumpster diving n'est pas considéré comme illégal en toutes circonstances, vous devez donc conseiller les employés sur la manière de traiter les déchets. Il faut toujours broyer les documents et effacer ou détruire les supports magnétiques. Si un document est trop volumineux ou rigide pour être placé dans un broyeur, comme un annuaire téléphonique, ou s'il est techniquement impossible de le détruire, vous devez élaborer un protocole spécifique pour vous en débarrasser. Les bennes à ordures doivent aussi être placées dans une zone sécurisée inaccessible au public.
Lors de la conception d'une stratégie de gestion des déchets, il est important de respecter la réglementation locale sur la santé et la sécurité. Il convient également d'adopter des stratégies de gestion des déchets respectueuses de l'environnement.
Outre les déchets externes, le papier ou les supports électroniques qui peuvent être accessibles aux personnes extérieures à l'entreprise, vous devez aussi gérer les déchets internes. Les stratégies de sécurité négligent souvent ce problème, car les personnes qui ont accès à l'entreprise sont supposées être dignes de confiance. Il est évident que ce n'est pas toujours le cas. L'une des mesures les plus efficaces pour gérer les déchets papier est de définir une classification des données. Cela consiste à définir différentes catégories d'informations imprimées et d'indiquer comment les employés doivent gérer l'élimination des déchets. Par exemple, les catégories peuvent se décomposer comme suit :
Confidentiel entreprise. Broyer tous les documents confidentiels de l'entreprise avant de les jeter à la corbeille.
Privé. Broyer tous les documents privés avant de les jeter à la corbeille.
Services. Broyer tous les documents des services avant de les jeter dans les bennes à ordures publiques.
Public. Jeter les documents publics dans une poubelle ou les recycler comme déchets papier.
Pour plus d'informations sur la classification des données, consultez la page relative aux fonctions de gestion de la sécurité SMF sur Microsoft® TechNet à l'adresse http://go.microsoft.com/fwlink/?linkid=37696. (cette page peut être en anglais)
Approches personnelles
Le moyen le plus simple et le moins onéreux pour un pirate d'obtenir des informations est de les demander directement. Cette approche peut paraître grossière et évidente, mais elle a toujours été à l'origine des abus de confiance. Quatre approches principales se révèlent efficaces pour les pirates :
L'intimidation. Cette approche peut impliquer l'usurpation de l'identité d'une autorité pour obliger une cible à répondre à une demande.
La persuasion. Les formes les plus courantes de persuasion comprennent la flatterie ou l'utilisation de noms.
La relation de confiance. Cette approche constitue généralement un stratagème à plus long terme, par lequel un subordonné ou un collègue établit une relation pour gagner la confiance d'une cible et, finalement, obtenir des informations.
L'assistance. Dans cette approche, le pirate propose de l'aide à la cible. L'assistance exigera au final que la cible divulgue des informations personnelles qui permettront au pirate de voler son identité.
La plupart des gens considèrent que leurs interlocuteurs sont dignes de confiance, ce qui est surprenant car ils reconnaissent qu'ils mentent eux-mêmes. (The Lying Ape: An Honest Guide to a World of Deception, Brian King, Icon Books Limited). Gagner la confiance totale de leurs interlocuteurs est l'un des objectifs des pirates qui pratiquent l'ingénierie sociale.
Il est très difficile de défendre les utilisateurs contre ces types d'approches personnelles. Certains utilisateurs sont naturellement doués pour lancer l'une de ces quatre attaques. La meilleure défense contre une attaque par intimidation est le développement d'une culture de la « non-peur » dans une entreprise. Le comportement normal des personnes étant la politesse, l'approche par intimidation n'est pas très efficace, car individuellement les membres d'une équipe sont plus enclins à aggraver les situations de confrontation. Le soutien de la direction et de l'encadrement face à la montée des problèmes et la prise de décision décourage fortement les pirates. Leur objectif est d'encourager une cible à prendre une décision rapide. Lorsque le problème est transféré à une autorité supérieure, les pirates sont moins susceptibles d'atteindre leur objectif.
Les hommes ont depuis toujours utilisé l'art de la persuasion pour atteindre leurs objectifs personnels. Votre personnel n'échappe pas à cette particularité, mais vous pouvez fournir des instructions strictes sur ce qu'une personne doit et ne doit pas faire. Le pirate crée toujours un scénario dans lequel un utilisateur fournit spontanément des informations sensibles. Des campagnes de sensibilisation continues et des instructions de base sur les dispositifs de sécurité tels que les mots de passe constituent votre meilleure défense.
Le pirate a besoin de temps pour gagner la confiance de vos utilisateurs. Il devra être en contact régulier, peut-être en se faisant passer pour un collègue. Pour la plupart des entreprises de taille moyenne, la menace principale vient du personnel interne ou temporaire. Le groupe des ressources humaines doit être aussi vigilant pour le contrôle de sécurité du personnel temporaire que pour celui du personnel permanent. Ce travail peut être effectué en majorité par le fournisseur sous-traitant. Pour vous assurer que son contrôle est efficace, vous pouvez lui demander d'appliquer vos propres stratégies de contrôle du personnel permanent. Si un pirate par ingénierie sociale obtient un emploi permanent dans votre entreprise, la meilleure défense est la sensibilisation des employés et le respect des stratégies de sécurité des informations.
Au final, les attaques par assistance peuvent être minimisées si vous disposez d'un support technique efficace. Le recours à un assistant interne résulte souvent d'un mécontentement à l'égard des services de support technique de l'entreprise. Deux points doivent être respectés pour vous assurer que le personnel contacte le support technique plutôt qu'un expert interne non autorisé, ou pire un expert extérieur à l'entreprise :
Spécifiez dans votre stratégie de sécurité que le support technique est le seul service auquel les utilisateurs doivent signaler des problèmes.
Assurez-vous que le support technique applique un processus de réponse convenu dans le cadre des contrats de niveau de service par départements. Auditez régulièrement les performances du support technique pour vous assurer que les utilisateurs reçoivent des réponses et des solutions adaptées.
Vous ne devez pas sous-estimer l'importance du support technique qui fournit le premier niveau de défense contre les attaques par ingénierie sociale.
Approches virtuelles
Les pirates doivent contacter leurs cibles pour lancer leurs attaques. Le plus souvent, ce contact a lieu par le biais d'un support électronique, tel qu'un message électronique ou une fenêtre contextuelle. Le volume de courrier indésirable qui arrive dans la plupart des boîtes aux lettres personnelles a rendu cette méthode d'attaque moins efficace, à mesure que les utilisateurs deviennent plus méfiants à l'égard des chaînes de messages et des demandes douteuses de participation à des transactions financières « légales » et lucratives. Malgré cela, le volume de ce type de courrier et l'utilisation de moteurs de messagerie pour installer des chevaux de Troie indique que cette méthode reste attrayante, avec seulement un taux de réussite minimal, pour certains pirates. La plupart de ces attaques sont personnelles et visent à découvrir des informations sur l'identité des cibles. Toutefois, pour les entreprises, le grand nombre d'infractions contre les systèmes d'information, tels que les ordinateurs et l'accès Internet, pour une utilisation personnelle signifie que les pirates peuvent s'introduire dans le réseau de l'entreprise.
Les téléphones permettent une méthode d'approche plus personnelle, avec un volume plus faible. Le risque d'arrestation étant limité, certains pirates utilisent le téléphone comme moyen d'approche. Mais cette approche vise essentiellement les PBX et les supports techniques car la plupart des utilisateurs se méfient des inconnus qui les appellent pour demander des informations.
Approches physiques
Le contact direct et personnel avec une cible est moins courant, mais plus efficace pour le pirate. Seul un employé très méfiant doute de l'identité d'une personne qui se présente et demande ou offre de l'aide pour un système informatique. Bien que ces approches soient plus risquées pour le fraudeur, les avantages sont évidents. Le pirate peut accéder librement aux systèmes informatiques de l'entreprise, à l'intérieur des défenses périphériques technologiques existantes.
L'utilisation croissante des technologies mobiles qui permettent aux utilisateurs de se connecter aux réseaux d'entreprise lors de leurs déplacements ou chez eux, constitue une autre menace majeure pour les ressources informatiques des entreprises. Les attaques possibles vont de la simple observation, pendant laquelle un pirate regarde par-dessus l'épaule d'un utilisateur d'ordinateur portable pour voir son ID utilisateur et son mot de passe, à des attaques plus sophistiquées où un lecteur de carte ou une mise à niveau de routeur est livrée et installée par un ingénieur du support technique très serviable qui obtient l'accès au réseau de l'entreprise en demandant l'ID utilisateur, le mot de passe et peut-être même un café. Un pirate expérimenté peut aller jusqu'à demander une signature d'autorisation de l'utilisateur - et le voici maintenant en possession de la signature de l'utilisateur ! Parmi ces types d'attaques, on trouve les menaces telles que l'utilisation par des voisins de la bande passante payée par l'entreprise pour accéder à Internet via un réseau local sans fil non protégé.
Alors que la plupart des grandes sociétés possèdent des infrastructures de sécurité très développées, les petites et moyennes entreprises peuvent être moins strictes en matière d'accès aux bâtiments. Le « tailgating » qui consiste pour une personne non autorisée à suivre dans un bureau un employé muni d'un badge, est une attaque par ingénierie sociale très simple. L'intrus tient la porte pour laisser entrer l'utilisateur autorisé et engage une conversation sur le temps ou le sport pendant qu'ils arrivent ensemble à la réception. Cette approche ne fonctionne pas dans une grande entreprise, où chaque personne dispose d'une carte magnétique pour passer les tourniquets, ou dans une petite entreprise où tout le monde se connaît. Toutefois, cette approche convient parfaitement dans une entreprise qui compte un millier d'employés, où tout le monde ne se connaît pas. Si le fraudeur a précédemment obtenu l'accès aux informations de l'entreprise, et qu'il connaît le nom des différents services, le nom des employés, ou des informations sur les notes de service internes, la conversation de diversion sera plus crédible.
La sécurité de l'employé à domicile est généralement limitée par la technologie. La stratégie de sécurité nécessite des pare-feu pour s'assurer que des pirates externes n'accèdent pas aux réseaux. Au-delà de ces exigences, la plupart des entreprises de taille moyenne autorisent les employés à domicile à gérer leur propre sécurité et même les sauvegardes.
Tableau 7. Attaques par accès physique et coûts
| Objectifs des attaques | Description | Coût |
|---|---|---|
| Vol d'identité des utilisateurs de mobiles | Le pirate observe l'utilisateur légitime pendant qu'il tape les informations de connexion ou autres détails. Il anticipe ainsi le vol de l'équipement physique. | Informations confidentielles |
| Vol de l'identité de l'employé à domicile | Le pirate se fait passer pour un technicien de support informatique ou un partenaire de maintenance pour accéder au réseau d'un employé à domicile, en demandant l'ID d'utilisateur et le mot de passe pour tester la réussite de la mise à niveau. | Informations confidentielles |
| Contact direct avec le réseau de l'entreprise via le réseau de l'employé à domicile | Le pirate accède au réseau de l'entreprise via le réseau de l'employé à domicile en se faisant passer pour un technicien de support. Il accède librement aux ressources réseau et d'entreprise. | Informations confidentielles Crédibilité de l'entreprise Disponibilité de l'entreprise Ressources Argent |
| Accès continu au réseau de l'employé à domicile | Le pirate ou l'utilisateur local obtient un accès Internet haut débit via un réseau domestique non sécurisé. | Ressources |
| Accès non accompagné aux bureaux de l'entreprise | Le pirate suit un employé autorisé dans les bureaux de l'entreprise. | Informations confidentielles Crédibilité de l'entreprise Disponibilité de l'entreprise Argent Ressources |
| Accès à un bureau spécifique de l'entreprise | Le pirate obtient l'accès à un bureau spécifique où il peut tenter d'utiliser un équipement informatique ou des ressources papier, telles que des armoires de classement. | Informations confidentielles Ressources Argent |
Les défenses contre ces menaces dépendent essentiellement de la mise en œuvre de recommandations par les utilisateurs, basées sur une stratégie de sécurité efficace de l'entreprise qui doit s'appliquer dans les trois cas suivants :
Sur le site de l'entreprise
A domicile
En déplacement
Il devrait être impossible d'entrer dans l'immeuble ou sur le site de l'entreprise sans autorisation. Le personnel de la réception doit être poli mais ferme lorsqu'il s'adresse aux employés, sous-traitants et visiteurs. Quelques conditions simples dans la stratégie de sécurité de l'entreprise rendront quasiment impossible une attaque physique par ingénierie sociale au sein des bâtiments. Ces conditions peuvent inclure l'utilisation des éléments suivants :
Des badges avec photos d'identité, que les employés doivent présenter en entrant et en sortant du bâtiment.
Un registre des visiteurs signé par le visiteur et contresigné par l'employé auquel il rend visite à l'arrivée et au départ.
Des badges visiteurs datés visibles à tout moment et rendus à la réception au départ.
Un registre des sous-traitants signé à l'arrivée et au départ par le sous-traitant et contresigné par l'employé qui l'a autorisé à travailler.
Des badges sous-traitants datés visibles à tout moment et rendus à la réception au départ.
L'entreprise doit établir des défenses pour s'assurer que les visiteurs passent à la réception afin de présenter leurs pièces d'identité ou signer le registre. Il n'est pas nécessaire d'installer des tourniquets ou des portillons où l'on doit se faufiler.
Par exemple, un canapé confortable peut être placé à la réception pour conduire les visiteurs au réceptionniste, comme illustré dans les deux exemples de la figure suivante.
.gif)
Figure 5. Plan de la réception
La zone de la réception à gauche permet à un visiteur non autorisé de suivre (tailgate) un employé légitime en se collant à lui. Dans l'exemple de droite le visiteur est obligé de passer à la réception. À cet emplacement, l'ordinateur ne cache pas la vue du réceptionniste. L'espace doit être suffisant pour permettre aux visiteurs, y compris les personnes en chaises roulantes, de circuler facilement. Il est essentiel que les employés de la réception soient bien formés et stricts lorsqu'ils accueillent et contrôlent les visiteurs. Chaque entrée du bâtiment doit respecter ces normes et le personnel ne doit emprunter que les entrées et sorties autorisées, il ne doit pas y avoir de portes de service.
Lors de l'installation d'un portillon ou d'un système de gestion des portes, vous devez veiller à respecter la réglementation relative à la santé, la sécurité et l'accessibilité.
À domicile, il est irréaliste d'autoriser l'entrée de chaque visiteur ou fournisseur. En fait, la plupart des gens sont beaucoup plus prudents vis-à-vis des visiteurs qui arrivent chez eux qu'ils ne le sont au bureau. Plus important encore, vous devez vous assurer qu'une attaque n'est pas lancée contre les ressources de l'entreprise. Un protocole sur les services informatiques hors site doit comporter des règles qui stipulent les conditions suivantes :
Chaque action du support technique, que ce soit un correctif sur site ou une mise à niveau, doit être planifiée et autorisée par l'équipe de support.
Les sous-traitants et le personnel interne qui effectuent la maintenance ou l'installation sur site doivent produire une pièce d'identité, de préférence avec une photo.
L'utilisateur doit contacter le service de support informatique pour leur signaler l'arrivée du technicien et la fin du travail.
Chaque intervention fait l'objet d'une fiche d'intervention, signée et approuvée par l'utilisateur.
L'utilisateur ne doit jamais fournir d'informations d'accès personnel ou se connecter à l'ordinateur pour fournir l'accès au technicien.
Ce dernier point est capital. Les services informatiques doivent s'assurer que tout technicien hors site dispose d'un accès personnel suffisant pour effectuer un travail. Le technicien qui ne dispose pas d'un accès utilisateur suffisant doit contacter le support technique. Cette exigence est essentielle, car le poste de technicien dans une société de services informatiques est l'un des plus intéressants pour un pirate potentiel. Le pirate possède à la fois la qualité d'autorité technique et celle d'assistant.
Les travailleurs mobiles utilisent souvent leurs ordinateurs dans des endroits bondés, tels que dans un train, une station, un aéroport ou un restaurant. Il est évident que dans ces endroits, il est quasiment impossible d'affirmer que personne ne regarde ce que vous écrivez, mais les stratégies de sécurité de l'entreprise doivent conseiller sur la manière de minimiser les risques pour les informations personnelles et professionnelles. Si les employés utilisent des assistants numériques personnels (PDA), vous devez inclure des informations sur la gestion de la sécurité et de la synchronisation.
L'ingénierie sociale inverse
L'ingénierie sociale inverse désigne une situation dans laquelle la cible effectue l'approche initiale et communique au pirate les informations dont il a besoin. Ce scénario peut paraître improbable, mais les personnes qui représentent une autorité, technique ou sociale, en particulier, reçoivent souvent des informations personnelles essentielles, telles que des ID utilisateur et des mots de passe, car ils sont au-dessus de tout soupçon. Par exemple, le support technique ne demande jamais l'ID utilisateur ou le mot de passe de l'appelant, car ils peuvent résoudre les problèmes sans ces informations. Certains utilisateurs communiquent spontanément ces éléments de sécurité essentiels pour accélérer la résolution de leurs problèmes informatiques. Le pirate n'a même pas besoin de les demander. Les attaques par ingénierie sociale ne sont pas réactives, comme ce scénario le suggère.
Une attaque de ce type crée une situation, propose une solution et fournit une assistance le cas échéant, sans doute aussi simplement que dans le scénario suivant :
Un collègue pirate renomme ou déplace un fichier de sorte que la cible pense qu'il est perdu. Le pirate estime qu'il peut récupérer le fichier. La cible, pressée de continuer son travail, ou craignant d'être responsable de la perte des informations, saute sur cette offre. Le pirate affirme qu'il ne peut récupérer le fichier que s'il se connecte avec l'identité de la cible. Il peut même préciser que la stratégie de l'entreprise le lui interdit. La cible le prie de se connecter avec son identité et d'essayer de rétablir le fichier. Le pirate accepte à contrecœur, rétablit le fichier original et vole l'ID utilisateur et le mot de passe. Il a même gagné une réputation au point de recevoir des demandes d'assistance d'autres collègues. Cette approche permet au pirate de contourner les modes de support informatique normaux et de passer inaperçu.
Il n'est pas toujours nécessaire de connaître intimement ou même de rencontrer une cible pour recourir à l'ingénierie sociale inverse. La reproduction de problèmes ou d'incidents à l'aide de boîtes de dialogue peut être efficace dans une attaque non spécifique de ce type. Une boîte de dialogue annonce qu'un problème est survenu ou qu'une mise à jour est nécessaire pour continuer. Un téléchargement est proposé pour résoudre le problème. Une fois le téléchargement terminé, le problème technique disparaît et l'utilisateur continue à travailler, sans se rendre compte qu'il a enfreint les règles de sécurité et téléchargé un programme malveillant.
Tableau 8. Attaques par ingénierie sociale inverse et coûts
| Objectifs des attaques | Description | Coût |
|---|---|---|
| Vol d'identité | Le pirate reçoit l'ID utilisateur et le mot de passe de l'utilisateur autorisé. | Informations confidentielles Crédibilité de l'entreprise Disponibilité de l'entreprise Argent Ressources |
| Vol d'informations | Le pirate utilise l'ID utilisateur et le mot de passe autorisés pour accéder aux fichiers de l'entreprise. | Informations confidentielles Argent Ressources Crédibilité de l'entreprise Disponibilité de l'entreprise |
| Téléchargement de fichiers malveillants | Le pirate invite un utilisateur à cliquer sur un lien ou à ouvrir une pièce jointe, infectant ainsi le réseau de l'entreprise. | Disponibilité de l'entreprise Crédibilité de l'entreprise |
| Téléchargement des logiciels du pirate | Le pirate invite un utilisateur à cliquer sur un lien ou à ouvrir une pièce jointe pour télécharger un programme, tel qu'un moteur de messagerie, qui utilise les ressources réseau de l'entreprise. | Ressources Crédibilité de l'entreprise Argent |
Se défendre contre l'ingénierie sociale inverse constitue probablement le défi le plus difficile. En effet, la cible n'a aucune raison de soupçonner le pirate, car elle a l'impression de maîtriser la situation. La principale défense est de stipuler dans votre stratégie de sécurité que tous les problèmes doivent être résolus via le support technique. Si l'équipe du support technique est efficace, polie et bienveillante, les employés la contacteront, au lieu de demander l'aide du personnel ou d'amis non autorisés.
Mise en place des défenses contre les menaces d'ingénierie sociale
Une fois que vous avez compris que vous pouvez être confronté à une toutes sortes de menaces, vous devez prendre trois mesures pour concevoir une défense contre les menaces d'ingénierie sociale dirigées contre le personnel de votre entreprise. Une défense efficace est est synonyme de planification. Les défenses sont souvent réactives : lorsqu'une attaque est découverte, vous établissez une protection pour vous assurer que ce problème ne surviendra plus. Bien que cette approche démontre un bon niveau de sensibilisation, la solution arrive trop tard si le problème est important ou coûteux. Pour anticiper ce scénario, vous devez prendre les trois mesures suivantes :
Développez un environnement de gestion de la sécurité. Vous devez définir un ensemble d'objectifs de sécurité contre l'ingénierie sociale ainsi que les employés responsables de la réalisation de ces objectifs.
Effectuez une évaluation de la gestion des risques. Des menaces similaires ne présentent pas le même niveau de risque pour différentes entreprises. Vous devez passer en revue toutes les menaces d'ingénierie sociale et rationaliser le danger qu'elles présentent pour votre organisation.
Implémentez des défenses contre l'ingénierie sociale dans votre stratégie de sécurité. Développez un ensemble de stratégies et de procédures écrites qui stipulent comment vos employés doivent gérer des situations considérées comme des attaques d'ingénierie sociale. Cette mesure suppose l'existence d'une stratégie de sécurité, en dehors de la menace représentée par l'ingénierie sociale. Si actuellement vous ne disposez pas de stratégie de sécurité, vous devez en élaborer une. Les éléments identifiés par votre évaluation des risques d'ingénierie sociale constitueront un bon début, mais vous devrez analyser les autres dangers potentiels.
Pour plus d'informations sur les stratégies de sécurité, consultez le site Web sur la sécurité de Microsoft à l'adresse www.microsoft.com/france/securite.
Développement d'une infrastructure de gestion de la sécurité
Une infrastructure de gestion de la sécurité définit une vue d'ensemble des menaces potentielles d'ingénierie sociale contre votre organisation et attribue à des postes précis la responsabilité du développement des stratégies et procédures visant à diminuer ces menaces. Cette approche n'implique pas le recrutement d'employés dont la seule fonction est d'assurer la sécurité des ressources de l'entreprise. Cela est possible dans les grandes organisations, mais dans les entreprises de taille moyenne, un tel scénario est rarement viable ou souhaitable. Il suffit de s'assurer qu'un groupe de personnes assume ces responsabilités clés pour les fonctions de sécurité suivantes :
Sponsor de la sécurité. Cadre supérieur, peut-être membre du conseil d'administration, ayant l'autorité nécessaire pour s'assurer que tout le personnel prend la sécurité au sérieux.
Directeur de la sécurité. Employé de direction qui est chargé de gérer le développement et le maintien d'une stratégie de sécurité.
Responsable de la sécurité informatique. Membre de l'équipe technique qui est responsable du développement de l'infrastructure informatique ainsi que des stratégies et des procédures de sécurité opérationnelles.
Responsable de la sécurité des installations. Membre de l'équipe de maintenance des installations qui est responsable du développement du site ainsi que des stratégies et des procédures de sécurité opérationnelles.
Responsable de la sensibilisation à la sécurité. Employé de direction, souvent dans le service des ressources humaines ou du développement du personnel, qui est responsable du développement et de l'exécution des campagnes de sensibilisation à la sécurité.
Ce groupe, le comité directeur de la sécurité, représente les facilitateurs dans l'entreprise. Composé de responsables investis dans la sécurité, le comité directeur de la sécurité doit établir les objectifs essentiels de l'environnement de gestion de la sécurité. Sans un ensemble d'objectifs bien définis, il est difficile d'encourager la participation des autres employés ou d'évaluer la réussite du projet. La tâche initiale du comité est d'identifier les vulnérabilités d'ingénierie sociale dans l'entreprise. Le tableau suivant permet d'avoir une idée de ces vecteurs d'attaque.
Tableau 9. Vulnérabilités des vecteurs d'attaque d'ingénierie sociale dans l'entreprise
| Vecteur d'attaque | Description de l'utilisation de l'entreprise | Commentaires |
|---|---|---|
| Connexion | ||
| Messagerie électronique | Tous les utilisateurs disposent de Microsoft Outlook® sur les ordinateurs. | |
| Internet | Les utilisateurs mobiles disposent d'Outlook Web Access (OWA) en plus de l'accès client Outlook. | |
| Applications intempestives | Actuellement, il n'existe aucune protection technologique implémentée contre les fenêtres intempestives. | |
| Messagerie instantanée | L'entreprise permet une utilisation non gérée de plusieurs produits de messagerie instantanée | |
| Téléphone | ||
| PBX | ||
| Support technique | Actuellement le « support technique » est une fonction de support courante fournie par le service informatique. | Nous devons étendre les dispositifs d'assistance au-delà du domaine informatique. |
| Gestion des déchets | ||
| Interne | Tous les services gèrent leurs propres déchets. | |
| Externe | Les bennes à ordures sont placées à l'extérieur du site de l'entreprise. La collecte des ordures a lieu le jeudi. | Actuellement nous n'avons pas de place pour les bennes sur le site. |
| Approches personnelles | ||
| Sécurité physique | ||
| Sécurité des bureaux | Les portes des bureaux ne sont pas verrouillées pendant la journée. | 25 % des employés travaillent à domicile. Nous ne disposons d'aucune norme écrite en matière de sécurité du travailleur à domicile. |
| Travailleurs à domicile | Nous ne disposons d'aucun protocole en matière de maintenance sur site du travailleur à domicile. | |
| Divers/Spécifique à l'entreprise | ||
| Franchisés internes | Le service de restauration/traiteur est géré via une franchise. | Nous ne savons rien sur ce personnel et il n'est soumis à aucune stratégie de sécurité. |
| Vecteur d'attaque | Exigence de stratégie possible | Type de risque Informations confidentielles Crédibilité de l'entreprise Disponibilité de l'entreprise Ressources Argent | Niveau de risque Élevé = 5 Faible = 1 | Action |
|---|---|---|---|---|
| Ensemble de stratégies de sécurité écrites contre l'ingénierie sociale | ||||
| Modifications pour inclure la conformité aux stratégies dans le contrat standard des employés | ||||
| Modifications pour inclure la conformité aux stratégies dans le contrat standard des sous-traitants | ||||
| En ligne | ||||
| Messagerie électronique | Stratégie sur les types de pièces jointes et leur gestion | |||
| Internet | Stratégie d'utilisation d'Internet | |||
| Applications intempestives | Stratégie d'utilisation d'Internet, en s'intéressant particulièrement au comportement à adopter face à des boîtes de dialogue inattendues. | |||
| Messagerie instantanée | Stratégie sur les clients de messagerie instantanée pris en charge et autorisés | |||
| Téléphone | ||||
| PBX | Stratégie de gestion du support PBX | |||
| Support technique | Stratégie d'attribution de l'accès aux données | |||
| Gestion des déchets | ||||
| Papier | Stratégie de gestion des déchets papier | |||
| Consignes de gestion des bennes à ordures | ||||
| Support électronique | Stratégie de gestion de l'élimination des supports électroniques | |||
| Approches personnelles | ||||
| Sécurité physique | Stratégie de gestion des visiteurs | |||
| Sécurité des bureaux | Stratégie de gestion de l'ID utilisateur et du mot de passe - par exemple, ne pas coller de papier comportant le mode de passe sur l'écran. | |||
| Travailleurs à domicile | Stratégie d'utilisation des ordinateurs portables à l'extérieur de l'entreprise | |||
| Divers/ Spécifique à l'entreprise |
||||
| Franchisés internes | Stratégie de contrôle des employés franchisés internes |
| Conditions des stratégies | Conditions des procédures/documents | Action le / date |
|---|---|---|
| Ensemble des stratégies de sécurité contre l'ingénierie sociale | Aucun | |
| Modifications pour inclure la conformité aux stratégies dans le contrat standard des employés |
|
|
| Modifications pour inclure la conformité aux stratégies dans le contrat standard des sous-traitants |
|
|
| Stratégie de gestion des visiteurs |
|
|
| Consignes de gestion des bennes à ordures |
|
|
| Stratégie d'attribution d'accès aux données | ||
| Stratégie de gestion des déchets papier | ||
| Stratégie de gestion de l'élimination des supports électroniques | ||
| Stratégie d'utilisation d'Internet, en s'intéressant particulièrement au comportement à adopter face à des boîtes de dialogue inattendues. | ||
| Stratégie de gestion de l'ID utilisateur et du mot de passe - par exemple, ne pas coller de papier comportant le mode de passe sur l'écran. | ||
| Stratégie d'utilisation des ordinateurs portables à l'extérieur de l'entreprise | ||
| Stratégie de gestion des problèmes lors de la connexion avec des applications de partenaires (banque, finance, achat, gestion des stocks) |
| Vecteur d'attaque | Description de l'utilisation de l'entreprise | Commentaires |
|---|---|---|
| En ligne | ||
| Messagerie électronique | ||
| Internet | ||
| Applications intempestives | ||
| Messagerie instantanée | ||
| Téléphone | ||
| PBX | ||
| Support technique | ||
| Gestion des déchets | ||
| Interne | ||
| Externe | ||
| Approches personnelles | ||
| Sécurité physique | ||
| Sécurité des bureaux | ||
| Divers/Spécifique à l'entreprise | ||
| Vecteur d'attaque | Exigence de stratégie possible | Type de risque Informations confidentielles Crédibilité de l'entreprise Disponibilité de l'entreprise Ressources Argent | Niveau de risque Élevé = 5 Faible = 1 | Action |
|---|---|---|---|---|
| En ligne | ||||
| Téléphone | ||||
| Gestion des déchets | ||||
| Approches personnelles | ||||
| Divers/ Spécifique à l'entreprise |
||||
| Conditions des stratégies | Conditions des procédures/documents | Action le / date |
|---|---|---|
| Action | Description | Action le / date |
|---|---|---|
| Développement des stratégies de sécurité en ligne | ||
| Développement des stratégies de sécurité physique | ||
| Développement des stratégies de sécurité téléphonique | ||
| Développement des stratégies de sécurité pour la gestion des déchets | ||
| Développement des stratégies de gestion de la sécurité du support technique | ||
| Développement d'un modèle de réponse aux incidents | ||
| Développement d'une campagne de sensibilisation | ||
| ... |
| Représentant du support technique | |
| Nom de la cible | |
| Service de la cible | |
| Date | |
| Vecteur d'attaque | |
| Description de l'attaque | |
| Résultat de l'attaque | |
| Effet de l'attaque | |
| Recommandations |
| Terme | Définition |
|---|---|
| accès | Dans le cadre de la confidentialité, capacité d'une personne à afficher, modifier et contester l'exactitude et l'exhaustivité des informations d'identification personnelle recueillies à son sujet. L'accès est un élément des principes d'information loyale. |
| logiciel antivirus (AV) | Programme conçu pour détecter et répondre aux logiciels malveillants tels que les virus et les vers. Il peut répondre en bloquant l'accès utilisateur aux fichiers infectés, en nettoyant les fichiers infectés ou les ordinateurs, ou en informant l'utilisateur qu'un programme infecté a été détecté. |
| attaque | Tentative délibérée de compromettre la sécurité d'un système informatique ou de priver les utilisateurs de l'accès à ce système. |
| authentification | Procédure de validation des informations d'identification d'une personne, d'un processus informatique ou d'un périphérique. L'authentification exige que les informations fournies par la personne, le processus ou le périphérique effectuant la demande prouve qu'il est bien ce qu'il prétend être. Les formes courantes d'informations d'identification sont les signatures numériques, les cartes à puce, les données biométriques et la combinaison de noms d'utilisateur et de mots de passe. |
| autorisation | Procédure permettant d'attribuer à une personne, un processus informatique ou un périphérique un accès à certains services, informations ou fonctionnalités. L'autorisation dépend de l'identité des entités demandant l'accès, qui est vérifiée via l'authentification. |
| gestion des changements | Procédure permettant de gérer les changements avec l'aide de méthodes et techniques testées pour éviter de nouvelles erreurs et minimiser l'impact des changements. |
| sécurité informatique | Protection des ressources informatiques via la technologie, les processus et la formation. |
| pirate | Personne mal intentionnée qui pirate un système informatique via des stratégies technologiques, plutôt que l'ingénierie sociale. |
| télécharger | Transférer une copie d'un fichier d'un ordinateur distant vers un ordinateur demandeur à l'aide d'un modem ou d'un réseau. |
| extranet | Extension de l'intranet d'une organisation permettant de faciliter les communications avec les partenaires approuvés de celle-ci. Un extranet permet à ces partenaires approuvés d'obtenir un accès limité aux données internes de l'entreprise. |
| pare-feu | Solution de sécurité qui isole les différentes parties du réseau, autorisant uniquement le passage du trafic réseau autorisé en fonction des règles de filtrage du trafic. |
| logiciel malveillant | Logiciel qui réalise les desseins volontairement nuisibles d'un attaquant lors de son exécution. Par exemple, les virus, les vers et les chevaux de Troie sont des codes malveillants. |
| connexion au réseau | Processus de connexion à un ordinateur via un réseau. En général, un utilisateur se connecte d'abord de manière interactive à un ordinateur local, puis fournit des informations d'identification à un autre ordinateur du réseau, tel qu'un serveur, qu'il est autorisé à utiliser. |
| mot de passe | Chaîne de caractères entrée par un utilisateur pour vérifier son identité sur un réseau ou un ordinateur local. Voir aussi mot de passe fort. |
| autorisations | Autorisation d'effectuer des opérations associées à une ressource partagée spécifique, telle qu'un fichier, un répertoire ou une imprimante. Les autorisations doivent être attribuées par l'administrateur système à des comptes d'utilisateurs individuels ou à des groupes administratifs. |
| numéro d'identification personnel (PIN) | Code d'identification secret similaire à un mot de passe qui est attribué à un utilisateur autorisé. Un code PIN est utilisé en association avec une carte ATM ou une carte à puce, par exemple, pour déverrouiller une fonctionnalité autorisée telle qu'un accès à un compte bancaire. |
| information d'identification personnelle (PII) | Toute information associée à un utilisateur identifié ou identifiable. Ce type d'informations peut comprendre le nom, le pays, l'adresse postale, l'adresse de courrier électronique, le numéro de carte de crédit, le numéro de sécurité sociale, le code gouvernement, l'adresse IP ou tout identifiant unique associé aux informations PII dans un autre système. Elles sont également appelées informations confidentielles ou données personnelles. |
| Informations confidentielles | Voir information d'identification personnelle (PII) |
| pirate téléphonique (phreaker) | Utilisateur malveillant qui passe des appels téléphoniques frauduleux via les réseaux PBX. |
| escroc à l'hameçonnage (phisher) | Personne malveillante ou site Web qui invite les utilisateurs à divulguer des informations confidentielles, telles que des mots de passe de compte et des numéros de carte de crédit. Ce type d'escroc affiche généralement des messages électroniques trompeurs ou des publicités en ligne pour attirer les utilisateurs qui ne se méfient pas vers des sites Web frauduleux, où ils sont amenés à révéler des informations personnelles. |
| vulnérabilité physique | Absence de protection physique d'un ordinateur, par exemple en ne verrouillant pas un poste de travail dans un environnement accessible aux utilisateurs non autorisés. |
| confidentialité | Contrôle que les clients exercent sur la collecte, l'utilisation et la diffusion de leurs informations personnelles. |
| vulnérabilité de sécurité | Vulnérabilité dans le logiciel, qui est corrigée par une mise à jour de sécurité Microsoft et un bulletin de sécurité ou un service pack. |
| spam | Courrier électronique publicitaire non sollicité. Également appelé courrier indésirable. |
| usurper l'identité d'un utilisateur | Transmettre des informations en se faisant passer pour quelqu'un d'autre. |
| logiciel espion | Logiciel qui affiche des publicités (fenêtres intempestives), récupère des informations vous concernant ou modifie les paramètres de votre ordinateur, généralement sans votre autorisation. |
| mot de passe fort | Mot de passe qui offre une protection efficace contre l'accès non autorisé à une ressource. Un mot de passe fort est composé d'au moins six caractères, ne contient pas tout ou partie du nom du compte de l'utilisateur et contient au moins trois des quatre catégories de caractères suivantes : majuscules, minuscules, chiffres et symboles se trouvant sur le clavier (tels que !, @ et #). |
| Cheval de Troie | Programme qui semble utile ou inoffensif, mais qui contient du code masqué conçu pour exploiter ou endommager l'ordinateur sur lequel il s'exécute. Ces programmes sont généralement diffusés aux utilisateurs par le biais de messages électroniques qui dissimulent leur fonction et leurs caractéristiques réelles. L'autre dénomination est code Troyen. |
| mise à niveau | Suite logicielle qui remplace une version installée par une nouvelle version du même logiciel. Le processus de mise à niveau laisse généralement intactes les données client et les préférences existantes tout en remplaçant le logiciel existant par la nouvelle version. |
| ID utilisateur | Nom unique avec lequel un utilisateur peut se connecter à un système informatique. |
| virus | Code expressément écrit pour se dupliquer. Le virus tente de se propager d'ordinateur à ordinateur en se joignant à un programme hôte. Il peut endommager le matériel, les logiciels ou les données. Comparable au ver. Voir aussi la définition fournie par la Virus Info Alliance (f-secure.com). |
| vulnérabilité | Faiblesse, processus ou acte administratif, ou exposition physique qui rend un ordinateur susceptible d'être exploité par une menace. |
| ver | Code malveillant d'auto-propagation capable de se diffuser automatiquement d'un ordinateur à un autre par le biais de connexions réseau. Le ver peut entreprendre des actions dommageables, telles que la consommation des ressources du système local ou du réseau, qui peuvent générer une attaque de déni de service. Comparable au virus. |