Automatisation des attaques par ingénierie sociale : table ronde sur la prévention des menaces en entreprise

Une table ronde sur la sécurité informatique était organisée en début de mois par le Club des Directeurs de Sécurité des Entreprises et l’éditeur de logiciels de sécurité Check Point. Résumé de cet évènement, où l’ingénierie sociale et autres dangers pour les entreprises ont fait parler les experts.

Une table ronde sur la sécurité informatique en entreprise à l’ère du Bring Your Own Device (BYOD), du Cloud et des réseaux sociaux était organisée le 6 avril 2012 par CheckPoint. Elle a été animée par Olivier Hassid, directeur du Club des Directeurs de Sécurité des Entreprises (CDSE, qui fédère les experts de sécurité IT en entreprise), Thierry Karsenti Directeur Technique Europe de Check Point Software Technologies (un éditeur de solutions de sécurité Web) et Philippe Rondel, Directeur Technique France de cette même entreprise.

D’emblée, ils dressent un constat alarmant : « Les menaces et les risques liés à la sécurité informatique n’ont jamais été aussi forts« , pour toutes les organisations, des PME aux États. En cause, l’amélioration des technologies utilisées par les pirates (comme l’automatisation de l’ingénierie sociale) combinée à une sophistication des attaques, à l’ouverture des réseaux d’entreprise et aux nouveaux moyens de communication utilisé par les employés, difficiles à contrôler.

Les hackers étaient plus sympas avant

Thierry Karsenti a listé les trois plus importantes failles de sécurité des entreprises : les utilisateurs, qui perdent des clés USB contenant des informations confidentielles ou même vendent des informations à des concurrents ; la possibilité grâce au haut débit et aux très nombreux points d’entrée potentiels de pénétrer un réseau et d’en aspirer de très gros volumes de données en quelques minutes ; le développement des attaques à long terme clairement criminelles, quand les menaces étaient auparavant le fait de hackers cherchant l’exploit technique et non des gains pécuniaires.

Justement, le hacker « pour le sport » a laissé place à des organisations criminelles, des services d’espionnage et des activistes. « Le montant de l’argent collecté par le cybercrime s’avère supérieur à celui de la drogue » affirme Thierry Karsenti. « Ce que nous voyons cependant apparaître, ce sont de nouvelles motivations d’attaques : économiques, mais aussi politiques et idéologiques. Ainsi, tous les États sont aujourd’hui mobilisés et actifs sur ces phénomènes d’espionnage informatique ou de cybercriminalité. »

Olivier Hassid, Directeur du CDSE, affirme que l’augmentation des risques de sécurité est aussi liée à la nouvelle organisation des entreprises. Les multinationales sont désormais présentes dans 120 pays en moyenne, au lieu de 10 en 1990, et elles utilisent tellement de sous-traitants et prestataires qu’elles perdent souvent le contrôle sur leur sécurité informatique. Enfin, le Cloud et la virtualisation augmentent le nombre de point d’attaque.

Heureusement, les outils de protection moderne permettent de mieux identifier les attaques, même s’ils ne sont pas encore toujours assez performants pour les empêcher.

L’ingénierie sociale, nouvelle attaque à la mode

Définie comme « l’utilisation des codes sociaux en vigueur pour recueillir des informations confidentielles« , l’ingénierie sociale n’a rien de nouveau. « Ainsi, un concurrent contacte un responsable de l’entreprise sous une fausse identité, en se faisant passer pour un journaliste ou un collègue travaillant sur un site distant, par exemple, afin de lui soutirer des informations telles que son budget informatique, le salaire d’un collaborateur qu’il souhaite débaucher, etc« . Mais les nouvelles technologies, et les réseaux sociaux avant tout, facilitent énormément ces pratiques.

Au point de permettre leur automatisation, et ouvrir la vanne des d’informations de l’entreprise à ses concurrents. Et les pirates utilisent aussi ces techniques, automatisées encore une fois, pour cibler et augmenter l’efficacité de leurs attaques contre les systèmes d’information. Tout ça pour convaincre un utilisateur d’ouvrir une pièce jointe ou de se rendre sur une URL contaminées.

Pour Thierry Karsenti, « la démarche ultime serait de restreindre l’utilisation des réseaux sociaux au sein de l’entreprise, voire de bloquer leur accès. Ceux qui sont le plus à la pointe en matière de sécurité profilent leurs usages en fonction de leur population : possibilité de poster des informations textuelles, mais interdiction de télécharger des documents en provenance de ces plates-formes, contrôle du contenu mis en ligne, limitation de leur utilisation à certains services, etc. Toutefois, le meilleur moyen de se prémunir reste la sensibilisation des utilisateurs aux risques qu’ils encourent en utilisant ces nouveaux médias. »

Des chiffres d’une étude de CheckPoint montrent que les principales motivations des attaques par ingénierie sociale sont l’appât du gain à 51%, l’accès à des informations propriétaires à 46%, la possibilité de bénéficier d’avantages concurrentiels à 40% et la vengeance à 14%. Ces attaques coûteraient entre 20 000 et 75 000 € par incident de sécurité.

Des réponses concertées

Pour limiter les risques, et même s’attaquer directement aux pirates, Olivier Hassid souligne les progrès dans le domaine législatif avec en France la loi sur « le secret des affaires » votée en janvier (sur fond de polémique sur les possibles effets néfastes contre les sonneurs d’alarmes, ou « whistle blowers ») qui marque selon le directeur du CDSE « une avancée dans la confidentialité des données sensibles de l’entreprise. »

Mais c’est avant tout en interne que les entreprises doivent s’organiser, en créant de vraies « Direction de la Sûreté » (absentes d’un tiers des entreprises du CAC 40), avec de vrais moyens et dont le président doit siéger au comité exécutif. « Nous notons une évolution vers une plus grande considération de la Direction de la Sûreté. Toutefois, il faut nuancer le propos, car aujourd’hui très peu de Directeurs de la Sureté sont présents au comité opérationnel et encore moins au comité exécutif, » affirme Olivier Hassid.

Une fois la sécurité informatique affirmée comme centrale pour les entreprises, il s’agira de sensibiliser les utilisateurs finaux, et de contrôler les types de données qui peuvent passer par les différents terminaux. Car le BYOD est désormais impossible à ralentir, et il vaut mieux en restreindre la dangerosité au maximum.

Or, « ce qui est important ce n’est pas tant l’équipement utilisé, mais la donnée qui circule dessus. Le responsable informatique va répondre technologiquement et au cas par cas aux problématiques, alors qu’il devrait nourrir une réflexion plus globale, très axée sur l’utilisateur, de façon à interagir avec lui, » résume Philippe Rondel. Dans l’état actuel, 71% des entreprises jugent que les terminaux mobiles ont provoqué une augmentation des incidents de sécurité.

 

logo : © Aeolos – Fotolia.com

 

BYOD et ingénierie sociale : table ronde sur a prévention des menaces en entreprise