Protection du personnel interne contre les menaces d'ingénierie sociale

Paru le 18 août 2006


Sur cette page

Introduction
Menaces d'ingénierie sociale et défenses
Mise en place des défenses contre les menaces d'ingénierie sociale
Mise en œuvre des défenses contre les menaces d'ingénierie sociale
Annexe 1 : Listes de contrôle pour la stratégie de sécurité des menaces d'ingénierie sociale
Annexe 2 : Glossaire

Introduction

Bienvenue dans ce document de la collection Guides de sécurité pour les entreprises de taille moyenne. Microsoft espère que les informations suivantes vous aideront à mettre en place un environnement informatique plus sûr et plus productif.

Personnes concernées par ce guide

Ce guide fournit des informations sur la gestion de la sécurité concernant les menaces engendrées par l'ingénierie sociale et les défenses permettant de résister aux pirates. L'ingénierie sociale désigne essentiellement les menaces non techniques dirigées contre la sécurité des entreprises. L'étendue de ces menaces potentielles exige que les personnels d'encadrement et techniques de l'entreprise soient bien informés sur celles-ci ainsi que sur les défenses potentielles, notamment :

  • Le comité de direction

  • Les responsables des opérations techniques et des services

  • Le personnel du support technique

  • Le personnel de sécurité

  • Les responsables commerciaux

Présentation

Pour attaquer votre organisation, les pirates qui utilisent l''ingénierie sociale exploitent la crédulité, la paresse, la gentillesse ou même l'enthousiasme de votre personnel. Par conséquent, il est difficile de se défendre contre une attaque de ce type, car les cibles peuvent ne pas se rendre compte qu'elles ont été dupées ou préfèrent ne pas l'admettre. Les objectifs de ce genre de pirate, qui essaie d'obtenir un accès non autorisé à vos systèmes informatiques, sont similaires à ceux de tout autre pirate : il convoite l'argent, les informations ou les ressources informatiques de votre entreprise.

Il tente de persuader votre personnel de fournir des informations qui lui permettront d'utiliser vos systèmes ou leurs ressources. Généralement, cette approche est désignée comme abus de confiance. Nombre de petites et moyennes entreprises estiment que les attaques de pirates ciblent essentiellement les grandes entreprises ou organisations qui sont plus gratifiantes financièrement. Même si cela a pu être le cas dans le passé, l'évolution croissante du cyber-crime implique que les pirates ciblent désormais tous les secteurs de la communauté, des entreprises aux individus. Les criminels peuvent voler directement une entreprise, en détournant des fonds ou des ressources, mais celle-ci peut aussi leur servir de plaque tournante pour perpétrer des crimes contre d'autres utilisateurs. Cette approche complique la tâche des autorités chargées de les retrouver.

Pour protéger votre personnel contre les attaques par ingénierie sociale, vous devez savoir à quels types d'attaques vous êtes exposé, comprendre les objectifs du pirate et évaluer les pertes pour votre organisation. Fort de ces connaissances, vous pouvez renforcer votre stratégie de sécurité en y intégrant des défenses contre l'ingénierie sociale. Ce document suppose que vous disposez d'une stratégie de sécurité qui définit les objectifs, les pratiques et les procédures que l'entreprise juge nécessaires pour protéger ses informations, ses ressources et son personnel contre les attaques technologiques ou physiques. Les modifications de votre stratégie de sécurité permettront d'offrir au personnel des conseils sur l'attitude à adopter lorsqu'il est confronté à une personne ou une application informatique qui tente de le forcer ou le persuader d'exposer les ressources de l'entreprise ou de divulguer des informations sur la sécurité.

Menaces d'ingénierie sociale et défenses

Les pirates se servant de l'ingénierie sociale utilisent cinq vecteurs d'attaque principaux :

  • Internet

  • Le téléphone

  • La gestion des déchets

  • Les approches personnelles

  • L'ingénierie sociale inverse

Une fois ces points d'entrée reconnus, vous devez aussi savoir ce que le pirate espère gagner. Comme la plupart des gens, leurs objectifs sont : l'argent, l'avancement social et l'estime de soi. Les pirates souhaitent s'emparer de votre argent ou de vos ressources, être reconnus dans la société ou parmi leurs pairs et avoir une bonne estime d'eux-mêmes. Malheureusement, ils atteignent ces objectifs illégalement par le vol ou la détérioration des systèmes informatiques. Toute attaque vous coûte de l'argent, par la perte de revenus, de ressources, d'informations, de disponibilité de l'entreprise ou encore de crédibilité de l'entreprise. Lors de la conception des défenses contre de telles menaces, il convient d'estimer le coût d'une attaque.

Menaces en ligne

Dans un monde professionnel où Internet joue un rôle de plus en plus important, le personnel communique et répond souvent à des demandes envoyées via le courrier électronique par des utilisateurs internes ou externes. Cette connectivité permet aux pirates de profiter du relatif anonymat d'Internet pour approcher votre personnel. Vous entendez souvent parler des attaques en ligne dans la presse, comme les attaques par courrier électronique, application intempestive et message instantané qui utilisent les chevaux de Troie, les vers ou les virus, collectivement appelés logiciels malveillants, pour endommager ou corrompre les ressources informatiques. L'implémentation de protections antivirus peut constituer une première ligne de défense efficace contre la plupart de ces attaques malveillantes.

Remarque   Pour plus d'informations sur les défenses antivirus, consultez le Guide de défense antivirus renforcée à l'adresse suivante : http://go.microsoft.com/fwlink/?linkid=28732.

Au lieu d'infecter un ordinateur directement avec un logiciel malveillant, le pirate qui utilise l'ingénierie sociale persuade un membre du personnel de fournir des informations grâce à une ruse crédible . Une attaque peut fournir des informations qui permettront au pirate d'utiliser par la suite un logiciel malveillant, mais cela ne fait pas partie de l'ingénierie sociale. Par conséquent, vous devez conseiller le personnel sur la manière d'identifier et d'éviter les attaques d'ingénierie sociale en ligne.

Menaces par courrier électronique

Nombreux sont les employés qui reçoivent chaque jour des dizaines ou même des centaines de messages électroniques venant de systèmes de messagerie privés ou d'entreprises. Le volume de courrier électronique est tel qu'il est difficile d'accorder toute son attention à chaque message. Le pirate profite de cela. La plupart des utilisateurs de messagerie électronique sont satisfaits lorsqu'ils ont traité leur courrier; cela équivaut à déplacer un document papier du registre de courrier entrant au registre de courrier sortant. Si le pirate fait une simple demande facile à traiter, la cible répondra souvent sans même réfléchir.

Un exemple d'attaque facile est l'envoi à un employé d'un message électronique annonçant que le patron souhaite que tous les plannings de congés soient envoyés pour une réunion et que chaque personne de la liste soit mise en copie dans le message. Il est simple de glisser un nom externe dans la copie de la liste et de maquiller le nom de l'expéditeur pour que le courrier semble provenir d'une source interne. L'usurpation d'identité est particulièrement simple si un pirate obtient l'accès au système informatique d'une entreprise, car il n'a pas besoin de franchir les pare-feu de périmètre. La connaissance du planning de congés d'un service ne semble pas constituer une menace pour la sécurité, mais permet au pirate de savoir à quel moment un employé est absent. Le pirate peut ensuite emprunter l'identité de cette personne avec un moindre risque d'être découvert.

L'utilisation du courrier électronique comme outil d'ingénierie sociale s'est répandue au cours des dix dernières années. L'hameçonnage désigne l'utilisation du courrier électronique pour obtenir des informations personnelles identifiables ou confidentielles d'un utilisateur. Les pirates peuvent envoyer des messages électroniques qui semblent provenir de vraies organisations, telles que des banques ou des entreprises partenaires.

La figure suivante présente un lien apparemment valide vers le site de gestion du compte Contoso.

Figure 1. Lien hypertexte de message d'hameçonnage

Figure 1. Lien hypertexte de message d'hameçonnage

Toutefois, à y regarder de plus près, vous pouvez constater deux différences :

  • Le texte du message indique que le site est sécurisé, en utilisant https, bien que l'info-bulle de lien hypertexte indique que le site utilise en fait http.

  • Le nom de la société dans le message est « Contoso », mais le lien dirige vers une société appelée « Comtoso ».

Comme l'implique le terme hameçonnage, ces approches sont en général spéculatives, avec une demande générale d'informations sur un client. Le maquillage des messages électroniques avec des logos, des polices et même des numéros de téléphone de services d'assistance gratuits, apparemment valides, rend ces courriers plus crédibles. Chaque message d'hameçonnage contient une demande d'informations sur les utilisateurs, bien souvent pour faciliter une mise à niveau ou un service supplémentaire. L'harponnage est une extension du phishing, qui consiste à approcher une cible explicite ou un service. Cette approche est beaucoup plus sophistiquée, car elle s'appuie sur des informations confidentielles et pertinentes concernant la société pour rendre la tromperie plus crédible. Elle nécessite une meilleure connaissance de la cible, mais permet de soutirer d'autres informations plus spécifiques et détaillées.

Le courrier électronique peut aussi comporter des liens hypertexte qui peuvent amener un membre du personnel à violer la sécurité de la société. Comme le montre la figure 1, les liens ne conduisent pas toujours un utilisateur à l'emplacement attendu ou promis. Le pirate dispose d'une série d'autres possibilités dans un message d'hameçonnage, notamment des images constituant des liens hypertexte qui téléchargent des programmes malveillants, comme des virus ou logiciels espions. Il peut aussi utiliser du texte intégré à une image pour contourner les filtres de sécurité des liens.  

La plupart des mesures de sécurité permettent d'interdire l'accès aux utilisateurs non autorisés. Un pirate peut contourner un certain nombre de défenses s'il amène un utilisateur à introduire un cheval de Troie, un ver ou un virus dans l'entreprise via un lien. Le lien hypertexte peut aussi conduire une personne à un site qui utilise des applications intempestives pour demander des informations ou offrir une assistance.

Utilisez une matrice de vecteurs d'attaque, d'objectifs d'attaque, de descriptions et de coûts pour votre entreprise similaire à celle illustrée dans le tableau ci-dessous pour classer les attaques et à évaluer leurs risques pour votre entreprise. Une menace peut parfois présenter plusieurs risques. Lorsque c'est le cas, les risques sont illustrés en gras dans les exemples suivants.

Tableau 1. Attaques par courrier électronique en ligne et coûts

Objectifs des attaques

Description

Coût

Vol d'informations de l'entreprise

Le pirate emprunte l'identité d'un utilisateur interne pour obtenir des informations sur l'entreprise.

Informations confidentielles

Crédibilité de l'entreprise

Vol d'informations financières

Le pirate utilise l'hameçonnage (ou l'harponnage) pour demander des informations confidentielles, telles que des numéros de comptes.

Argent

Informations confidentielles

Crédibilité de l'entreprise

Téléchargement de fichiers malveillants

Le pirate invite un utilisateur à cliquer sur un lien ou à ouvrir une pièce jointe, infectant ainsi le réseau de l'entreprise.

Disponibilité de l'entreprise

Crédibilité de l'entreprise

Téléchargement des logiciels du pirate

Le pirate invite un utilisateur à cliquer sur un lien ou à ouvrir une pièce jointe pour télécharger son programme qui utilise les ressources réseau de l'entreprise.

Ressources

Crédibilité de l'entreprise

Argent


Pour se protéger contre les attaques des pirates d'ingénierie sociale il convient de se méfier de tout courrier inattendu arrivant dans votre boîte de réception. Pour appliquer cette approche dans une organisation, vous devez inclure dans la stratégie de sécurité des conseils d'utilisation de la messagerie électronique qui couvrent les points suivants :

  • Pièces jointes dans les documents.

  • Liens hypertexte dans les documents.

  • Demandes d'informations personnelles ou relatives à l'entreprise en interne.

  • Demandes d'informations personnelles ou relatives à l'entreprise venant de l'extérieur.

Outre ces conseils, vous devez inclure des exemples d'attaques d'hameçonnage. Une fois qu'un utilisateur reconnaît une escroquerie par hameçonnage, il détectera les autres beaucoup plus facilement.

Applications et boîtes de dialogue intempestives

Ce serait manquer de réalisme que de penser que les employés d'une entreprise n'utilisent l'accès Internet que pour des activités professionnelles. La plupart d'entre eux naviguent sur le Web pour des raisons personnelles, comme des achats ou des recherches en ligne. La navigation personnelle peut amener les employés et par conséquent les systèmes informatiques de l'entreprise à entrer en contact avec des pirates d'ingénierie sociale. Même s'ils ne ciblent pas votre entreprise en particulier, ils se servent de vos employés pour accéder aux ressources de l'entreprise. L'un des objectifs les plus courants est d'intégrer un moteur de messagerie dans votre environnement informatique via lequel le pirate peut lancer l'hameçonnage ou d'autres attaques par courrier électronique contre d'autres entreprises ou utilisateurs.

La figure suivante montre un exemple de lien conduisant en apparence à un site de gestion de compte sécurisé (secure.contosa.com account_id?Amendments), alors que la barre d'état indique qu'il conduit l'utilisateur à un site de pirate. En fonction du navigateur que vous utilisez, un pirate peut supprimer ou reformater les informations de la barre d'état.

Cc875841.HPISET02(fr-fr,TechNet.10).gif

Figure 2. Lien hypertexte d'hameçonnage sur une page Web

Pour inciter un utilisateur à cliquer sur un bouton dans une boîte de dialogue, les deux méthodes les plus courantes consistent à signaler un problème en affichant un message d'erreur réaliste du système d'exploitation ou d'une application, ou à offrir des services supplémentaires, par exemple, un téléchargement gratuit pour augmenter la vitesse de votre ordinateur. Pour les utilisateurs d'ordinateurs et les internautes expérimentés, ces méthodes apparaissent comme des mensonges évidents. Mais pour les personnes inexpérimentées, ces applications ou boîtes de dialogue intempestives peuvent être intimidantes ou attrayantes.

Tableau 2. Attaques par fenêtres et boîtes de dialogue intempestives en ligne et coûts

Objectifs des attaques

Description

Coût

Vol d'informations sur le personnel

Le pirate demande des informations confidentielles à un membre du personnel

Informations confidentielles

Argent (membre du personnel)

Téléchargement de fichiers malveillants

Le pirate invite un utilisateur à cliquer sur un lien ou à ouvrir une pièce jointe

Disponibilité de l'entreprise

Crédibilité de l'entreprise

Téléchargement des logiciels du pirate

Le pirate invite un utilisateur à cliquer sur un lien ou à ouvrir une pièce jointe

Ressources

Crédibilité de l'entreprise

Argent


La protection des utilisateurs contre les applications intempestives d'ingénierie sociale constitue essentiellement une tâche de sensibilisation. Pour éviter le problème, vous pouvez configurer le navigateur afin de bloquer les fenêtres publicitaires intempestives et les téléchargements automatiques, mais certaines fenêtres publicitaires contournent les paramètres de navigateur. Il est plus efficace de s'assurer que les utilisateurs comprennent qu'ils ne doivent pas cliquer sur ces fenêtres avant de consulter l'équipe de support. Par conséquent, votre personnel ne doit pas craindre que l'équipe de support leur reproche de naviguer sur le Web. Cette relation de confiance peut être influencée par la stratégie de votre entreprise concernant la navigation personnelle sur Internet.

Messagerie instantanée

La messagerie instantanée (IM) est un moyen de communications relativement récent, mais elle a gagné en popularité en tant qu'outil métier et certains analystes estiment qu'on comptera 200 millions d'utilisateurs de produits de messagerie instantanée en 2006. La spontanéité et la familiarité de la messagerie instantanée en font un vaste terrain de chasse pour les attaques d'ingénierie sociale, car les utilisateurs l'assimilent au téléphone et ne l'associent pas à des menaces logicielles potentielles contre les ordinateurs. Les deux principales attaques lancées par messagerie instantanée sont l'intrusion de liens vers des logiciels malveillants et de fichiers réels. Bien entendu, la messagerie instantanée représente aussi un autre moyen de demander simplement des informations.

Un certain nombre de menaces potentielles sont inhérentes à ce type de messagerie lorsqu'il est utilisé à des fins d'ingénierie sociale. La première d'entre elles est le caractère informel de la messagerie instantanée. Son caractère interactif, ainsi que le choix d'utiliser un pseudonyme, impliquent que vos interlocuteurs ne sont pas forcément ceux qu'ils prétendent être, ce qui augmente les risques d'usurpation d'identité.

La figure suivante illustre le fonctionnement de l'usurpation d'identité pour les messageries électronique et instantanée.

Figure 3. Usurpation des identifiants de messageries électronique et instantanée

Figure 3. Usurpation des identifiants de messageries électronique et instantanée

Le pirate (rouge) emprunte l'identité d'un autre utilisateur et envoie un message électronique ou instantané dont la cible suppose qu'il provient d'une personne connue. Le sentiment de familiarité trompe la vigilance de l'utilisateur au point qu'il est plus facilement amené à cliquer sur un lien ou à ouvrir une pièce jointe venant d'une personne connue ou qu'il croit connaître. La plupart des fournisseurs de messagerie instantanée identifient les utilisateurs par leurs adresses électroniques, ce qui permet à un pirate qui a identifié une norme d'adressage dans votre entreprise d'envoyer des invitations de contact de messagerie instantanée à des personnes de l'organisation. Cette fonctionnalité ne constitue pas une menace, mais elle signifie que le nombre de cibles dans votre entreprise augmente sensiblement.

Tableau 3. Attaques par messagerie instantanée et coûts

Objectifs des attaques

Description

Coût

Demande d'informations confidentielles sur l'entreprise

Le pirate se fait passer pour un collègue en usurpant son identifiant de messagerie instantanée, afin de demander des informations sur l'entreprise.

Informations confidentielles

Crédibilité de l'entreprise

Téléchargement de fichiers malveillants

Le pirate invite un utilisateur à cliquer sur un lien ou à ouvrir une pièce jointe, infectant ainsi le réseau de l'entreprise.

Disponibilité de l'entreprise

Crédibilité de l'entreprise

Téléchargement des logiciels du pirate

Le pirate invite un utilisateur à cliquer sur un lien ou à ouvrir une pièce jointe pour télécharger un programme, tel qu'un moteur de messagerie, qui utilise les ressources réseau de l'entreprise.

Ressources

Crédibilité de l'entreprise

Argent


Si vous souhaitez bénéficier de l'immédiateté et des réductions de coût offertes par la messagerie instantanée, vous devez inclure des défenses spécifiques à ce type de messagerie dans vos stratégies de sécurité. Pour contrôler la messagerie instantanée dans votre entreprise, vous devez appliquer les cinq règles d'utilisation suivantes :

  • Utilisez une seule plate-forme de messagerie instantanée. Cette règle minimisera les tâches de support et découragera les utilisateurs à discuter en ligne en utilisant leur fournisseur de messagerie instantanée personnel. Pour réaliser une approche plus contrôlée qui limite le choix des utilisateurs, vous pouvez bloquer les ports utilisés par les services de messagerie instantanée courants.

  • Définissez les paramètres de sécurité du déploiement. Les clients de messagerie instantanée offrent un large éventail d'options de sécurité et de confidentialité, telles que l'analyse antivirus.

  • Établissez des règles de contact. Recommandez aux utilisateurs de ne pas accepter de nouvelles invitations de contact par défaut.

  • Établissez des normes de mot de passe. Créez des mots de passe de messagerie instantanée conformes aux normes de mots de passe forts que vous avez définies pour les mots de passe d'hôtes.

  • Fournissez des conseils d'utilisation. Développez un ensemble de recommandations pour vos utilisateurs, en expliquant le raisonnement qui les a inspirées.

Menaces par téléphone

Le téléphone offre un vecteur d'attaque unique pour les pirates pratiquant l'ingénierie sociale. C'est un moyen familier quoique impersonnel, car la cible ne peut pas voir le pirate. Les options de communications de la plupart des systèmes informatiques peuvent aussi faire des réseaux PBX (Private Branch Exchange) une cible attrayante. Une autre attaque, certainement très grossière, est de voler les codes PIN des cartes de crédit ou des cartes téléphoniques dans des cabines téléphoniques. Cette attaque est plus généralement dirigée contre une personne, mais les cartes de crédit des entreprises sont tout aussi utiles. La plupart des gens savent qu'ils doivent se protéger des regards indiscrets lorsqu'ils utilisent un ATM, mais ils sont moins prudents avec un code PIN dans une cabine téléphonique.

La voix sur Internet Protocol (VoIP) est un marché en développement qui réduit les coûts des entreprises. Actuellement, en raison du nombre relativement restreint d'installations, le piratage VoIP n'est pas considéré comme une menace importante. Toutefois, comme de plus en plus d'entreprises adoptent cette technologie, l'usurpation d'identité de VoIP est appelée à s'étendre autant que celle des messageries électronique et instantanée actuelle.

Private Branch Exchange

Un pirate qui attaque un PBX a trois objectifs principaux :

  • Demander des informations, généralement en imitant un utilisateur légitime, pour accéder au système téléphonique lui-même ou pour obtenir un accès distant aux systèmes informatiques.

  • Accéder à l'utilisation « gratuite » du téléphone.

  • Accéder au réseau de communications.


Chacun de ces objectifs est une variation sur un thème, le pirate appelant l'entreprise et essayant d'obtenir les numéros de téléphone qui fournissent l'accès direct à un PBX ou via un PBX vers le réseau téléphonique public. Il s'agit de piratage téléphonique que l'on désigne par le terme phreaking. L'approche la plus courante pour un pirate est de se faire passer pour un technicien téléphonique, demandant une ligne externe ou un mot de passe pour analyser et résoudre les problèmes signalés dans le système téléphonique interne, comme illustré dans la figure suivante.

Figure 4. Attaques contre la téléphonie PBX

Figure 4. Attaques contre la téléphonie PBX

Les demandes d'informations ou d'accès par téléphone sont une forme d'attaque relativement peu risquée. Si la cible devient méfiante ou refuse d'accéder à la demande, le pirate peut simplement raccrocher. Mais sachez que ces attaques sont plus sophistiquées qu'un simple appel demandant à une entreprise un ID utilisateur et un mot de passe. Le pirate présente généralement un scénario qui consiste à solliciter ou offrir de l'aide, avant de demander des informations personnelles ou d'entreprise, comme si de rien n'était. .

Tableau 4. Attaques contre Private Branch Exchange et coûts

Objectifs des attaques

Description

Coût

Demande d'informations sur l'entreprise

Le pirate emprunte l'identité d'un utilisateur légitime pour obtenir des informations confidentielles.

Informations confidentielles

Crédibilité de l'entreprise

Demande d'informations téléphoniques

Le pirate emprunte l'identité d'un technicien téléphonique pour accéder au PBX afin de passer des appels externes.

Ressources

Argent

Utilisation de PBX pour accéder aux systèmes informatiques

Le pirate s'introduit dans les systèmes informatiques, via PBX, pour voler ou manipuler des informations, infecter les systèmes par logiciel malveillant ou utiliser des ressources.

  


La plupart des utilisateurs n'ont aucune connaissance du système téléphonique interne, au-delà du téléphone lui-même. C'est la plus importante défense que vous pouvez intégrer à votre stratégie de sécurité. Il est rare que les pirates approchent les utilisateurs courants de cette manière. Les cibles les plus courantes sont les employés de la réception ou les standardistes. Vous devez préciser que seul le support technique a l'autorisation de fournir une assistance aux fournisseurs téléphoniques. Ainsi, le personnel autorisé traite tous les appels de support d'ingénierie. Cette approche permet au personnel ciblé de rediriger ces requêtes efficacement et rapidement vers un employé qualifié.

Support technique

Le support technique, ou service d'assistance, est une des défenses majeures contre les pirates, mais il représente aussi une cible. Bien que les employés du support technique soient conscients des menaces de piratage, ils sont enclins à aider les appelants et répondre à leurs besoins en leur fournissant des conseils et en résolvant leurs problèmes. Parfois, soucieux de fournir une solution, le personnel du service d'assistance fait fi de son engagement aux procédures de sécurité et se trouve confronté à un dilemme : S'il applique des normes de sécurité strictes, en demandant des preuves attestant que la requête ou la question vient d'un utilisateur autorisé, il semble n'être d'aucune utilité ou faire obstruction. Le personnel de production ou de ventes et marketing qui a le sentiment que le département informatique ne fournit pas le service immédiat dont il a besoin a tendance à se plaindre et les cadres supérieurs qui doivent prouver leur identité ne comprennent pas toujours la rigueur de l'équipe de support.

Tableau 5. Attaques contre la téléphonie du support technique et coûts

Objectifs des attaques

Description

Coût

Demande d'informations

Le pirate emprunte l'identité d'un utilisateur légitime pour obtenir des informations sur l'entreprise.

Informations confidentielles

Demande d'accès

Le pirate emprunte l'identité d'un utilisateur légitime pour obtenir l'accès de sécurité aux systèmes d'information.

Informations confidentielles

Crédibilité de l'entreprise

Disponibilité de l'entreprise

Ressources

Argent


Le support technique doit établir un juste équilibre entre la sécurité et l'efficacité commerciale, et les stratégies et procédures de sécurité doivent l'aider dans cette voie. Des preuves d'identification, telles que le numéro d'employé, le service et le nom du directeur, constituent les informations de base qu'un analyste du support technique doit demander, car tous les employés les possèdent. Mais ces preuves ne sont pas toujours totalement fiables, car un pirate peut les avoir volées. C'est un début réaliste, toutefois. En réalité, le seul moyen d'identification précis à 99.99 % est le test de prélèvement d'ADN, ce qui est tout à fait irréaliste.

Il est plus difficile de défendre l'analyste du support technique contre un pirate qui est membre du personnel interne ou temporaire. Ce type de pirate maîtrise les procédures internes et a le temps de s'assurer qu'il dispose de toutes les informations requises, avant d'appeler le support technique. Les procédures de sécurité doivent jouer un double rôle dans ce cas :

  • L'analyste du support technique doit s'assurer qu'il existe une trace d'audit de toutes les actions. Si un pirate réussit à accéder sans autorisation aux informations ou ressources via un appel au support technique, ce dernier doit enregistrer toutes les activités pour pouvoir corriger ou limiter les dommages et les pertes. Si chaque appel entraîne un message électronique automatique ou manuel signalant le problème ou la demande, l'employé victime d'un vol d'identité comprendra plus facilement ce qui s'est passé et appellera le support technique.

  • L'analyste doit disposer d'une procédure bien structurée pour gérer les différents types d'appel. Par exemple, si le directeur de l'employé doit effectuer des demandes de modification d'accès par courrier électronique, les modifications informelles ou non autorisées des niveaux de sécurité sont impossibles.


Si les utilisateurs connaissent ces règles et que la direction prend en charge leur implémentation, cela compliquera la tâche des pirates qui seront détectés plus facilement. La trace d'audit à 360 degrés est un outil très précieux pour éviter et découvrir les activités illicites.

Menaces contre la gestion des déchets

L'analyse illicite des déchets, appelée couramment dumpster diving, est une activité très utile aux pirates. Les déchets papier des entreprises peuvent contenir des informations d'un grand intérêt pour un pirate, comme les numéros de compte et les ID utilisateur, ou des informations générales, par exemple des listes téléphoniques et des chartes d'entreprise. Ce dernier type d'information est précieux pour un pirate, car cela le rend crédible lors d'une attaque. Par exemple, si le pirate connaît bien les employés d'un département de l'entreprise, ceux-ci se laisseront approcher plus facilement. Ils présumeront qu'une personne possédant beaucoup d'informations sur l'entreprise fait partie du personnel.

Les supports électroniques peuvent être encore plus utiles. Si les entreprises ne disposent pas de règles de gestion des déchets comprenant une élimination des supports redondants, il est possible de trouver toutes sortes d'informations sur les disques durs, les CD et les DVD jetés à la poubelle. Les supports fixes et amovibles étant solides, les employés responsables de la sécurité informatique doivent définir des stratégies de gestion des supports comprenant des instructions de nettoyage ou de destruction des données.

Tableau 6 : Attaques contre la gestion des déchets et coûts

Objectifs des attaques

Description

Coût

Déchets papier dans les poubelles extérieures

Le pirate dérobe des documents contenant des informations sur l'entreprise dans les bennes situées à l'extérieur des immeubles.

Informations confidentielles

Crédibilité de l'entreprise

Déchets papier dans les poubelles intérieures

Le pirate dérobe des documents dans les poubelles intérieures, contournant ainsi les instructions de gestion des déchets papier extérieurs.

Informations confidentielles

Crédibilité de l'entreprise

Déchets des supports électroniques

Le pirate dérobe des informations et des applications provenant des supports électroniques mis au rebut. Il vole aussi les supports.

Informations confidentielles

Ressources

Crédibilité de l'entreprise


Vos employés doivent mesurer les risques encourus lorsqu'ils jettent à la poubelle des papiers ou des supports électroniques. Une fois que ces déchets sortent de l'entreprise, leur possession peut confronter l'entreprise à une obscurité juridique. Le dumpster diving n'est pas considéré comme illégal en toutes circonstances, vous devez donc conseiller les employés sur la manière de traiter les déchets. Il faut toujours broyer les documents et effacer ou détruire les supports magnétiques. Si un document est trop volumineux ou rigide pour être placé dans un broyeur, comme un annuaire téléphonique, ou s'il est techniquement impossible de le détruire, vous devez élaborer un protocole spécifique pour vous en débarrasser. Les bennes à ordures doivent aussi être placées dans une zone sécurisée inaccessible au public.

Lors de la conception d'une stratégie de gestion des déchets, il est important de respecter la réglementation locale sur la santé et la sécurité. Il convient également d'adopter des stratégies de gestion des déchets respectueuses de l'environnement.

Outre les déchets externes, le papier ou les supports électroniques qui peuvent être accessibles aux personnes extérieures à l'entreprise, vous devez aussi gérer les déchets internes. Les stratégies de sécurité négligent souvent ce problème, car les personnes qui ont accès à l'entreprise sont supposées être dignes de confiance. Il est évident que ce n'est pas toujours le cas. L'une des mesures les plus efficaces pour gérer les déchets papier est de définir une classification des données. Cela consiste à définir différentes catégories d'informations imprimées et d'indiquer comment les employés doivent gérer l'élimination des déchets. Par exemple, les catégories peuvent se décomposer comme suit :

  • Confidentiel entreprise. Broyer tous les documents confidentiels de l'entreprise avant de les jeter à la corbeille.

  • Privé. Broyer tous les documents privés avant de les jeter à la corbeille.

  • Services. Broyer tous les documents des services avant de les jeter dans les bennes à ordures publiques.

  • Public. Jeter les documents publics dans une poubelle ou les recycler comme déchets papier.

Pour plus d'informations sur la classification des données, consultez la page relative aux fonctions de gestion de la sécurité SMF sur Microsoft® TechNet à l'adresse http://go.microsoft.com/fwlink/?linkid=37696. (cette page peut être en anglais)

Approches personnelles

Le moyen le plus simple et le moins onéreux pour un pirate d'obtenir des informations est de les demander directement. Cette approche peut paraître grossière et évidente, mais elle a toujours été à l'origine des abus de confiance. Quatre approches principales se révèlent efficaces pour les pirates :

  • L'intimidation. Cette approche peut impliquer l'usurpation de l'identité d'une autorité pour obliger une cible à répondre à une demande.

  • La persuasion. Les formes les plus courantes de persuasion comprennent la flatterie ou l'utilisation de noms.

  • La relation de confiance. Cette approche constitue généralement un stratagème à plus long terme, par lequel un subordonné ou un collègue établit une relation pour gagner la confiance d'une cible et, finalement, obtenir des informations.

  • L'assistance. Dans cette approche, le pirate propose de l'aide à la cible. L'assistance exigera au final que la cible divulgue des informations personnelles qui permettront au pirate de voler son identité.


La plupart des gens considèrent que leurs interlocuteurs sont dignes de confiance, ce qui est surprenant car ils reconnaissent qu'ils mentent eux-mêmes. (The Lying Ape: An Honest Guide to a World of Deception, Brian King, Icon Books Limited). Gagner la confiance totale de leurs interlocuteurs est l'un des objectifs des pirates qui pratiquent l'ingénierie sociale.

Il est très difficile de défendre les utilisateurs contre ces types d'approches personnelles. Certains utilisateurs sont naturellement doués pour lancer l'une de ces quatre attaques. La meilleure défense contre une attaque par intimidation est le développement d'une culture de la « non-peur » dans une entreprise. Le comportement normal des personnes étant la politesse, l'approche par intimidation n'est pas très efficace, car individuellement les membres d'une équipe sont plus enclins à aggraver les situations de confrontation. Le soutien de la direction et de l'encadrement face à la montée des problèmes et la prise de décision décourage fortement les pirates. Leur objectif est d'encourager une cible à prendre une décision rapide. Lorsque le problème est transféré à une autorité supérieure, les pirates sont moins susceptibles d'atteindre leur objectif.

Les hommes ont depuis toujours utilisé l'art de la persuasion pour atteindre leurs objectifs personnels. Votre personnel n'échappe pas à cette particularité, mais vous pouvez fournir des instructions strictes sur ce qu'une personne doit et ne doit pas faire. Le pirate crée toujours un scénario dans lequel un utilisateur fournit spontanément des informations sensibles. Des campagnes de sensibilisation continues et des instructions de base sur les dispositifs de sécurité tels que les mots de passe constituent votre meilleure défense.

Le pirate a besoin de temps pour gagner la confiance de vos utilisateurs. Il devra être en contact régulier, peut-être en se faisant passer pour un collègue. Pour la plupart des entreprises de taille moyenne, la menace principale vient du personnel interne ou temporaire. Le groupe des ressources humaines doit être aussi vigilant pour le contrôle de sécurité du personnel temporaire que pour celui du personnel permanent. Ce travail peut être effectué en majorité par le fournisseur sous-traitant. Pour vous assurer que son contrôle est efficace, vous pouvez lui demander d'appliquer vos propres stratégies de contrôle du personnel permanent. Si un pirate par ingénierie sociale obtient un emploi permanent dans votre entreprise, la meilleure défense est la sensibilisation des employés et le respect des stratégies de sécurité des informations.

Au final, les attaques par assistance peuvent être minimisées si vous disposez d'un support technique efficace. Le recours à un assistant interne résulte souvent d'un mécontentement à l'égard des services de support technique de l'entreprise. Deux points doivent être respectés pour vous assurer que le personnel contacte le support technique plutôt qu'un expert interne non autorisé, ou pire un expert extérieur à l'entreprise :

  • Spécifiez dans votre stratégie de sécurité que le support technique est le seul service auquel les utilisateurs doivent signaler des problèmes.

  • Assurez-vous que le support technique applique un processus de réponse convenu dans le cadre des contrats de niveau de service par départements. Auditez régulièrement les performances du support technique pour vous assurer que les utilisateurs reçoivent des réponses et des solutions adaptées.


Vous ne devez pas sous-estimer l'importance du support technique qui fournit le premier niveau de défense contre les attaques par ingénierie sociale.

Approches virtuelles

Les pirates doivent contacter leurs cibles pour lancer leurs attaques. Le plus souvent, ce contact a lieu par le biais d'un support électronique, tel qu'un message électronique ou une fenêtre contextuelle. Le volume de courrier indésirable qui arrive dans la plupart des boîtes aux lettres personnelles a rendu cette méthode d'attaque moins efficace, à mesure que les utilisateurs deviennent plus méfiants à l'égard des chaînes de messages et des demandes douteuses de participation à des transactions financières « légales » et lucratives. Malgré cela, le volume de ce type de courrier et l'utilisation de moteurs de messagerie pour installer des chevaux de Troie indique que cette méthode reste attrayante, avec seulement un taux de réussite minimal, pour certains pirates. La plupart de ces attaques sont personnelles et visent à découvrir des informations sur l'identité des cibles. Toutefois, pour les entreprises, le grand nombre d'infractions contre les systèmes d'information, tels que les ordinateurs et l'accès Internet, pour une utilisation personnelle signifie que les pirates peuvent s'introduire dans le réseau de l'entreprise.

Les téléphones permettent une méthode d'approche plus personnelle, avec un volume plus faible. Le risque d'arrestation étant limité, certains pirates utilisent le téléphone comme moyen d'approche. Mais cette approche vise essentiellement les PBX et les supports techniques car la plupart des utilisateurs se méfient des inconnus qui les appellent pour demander des informations.

Approches physiques

Le contact direct et personnel avec une cible est moins courant, mais plus efficace pour le pirate. Seul un employé très méfiant doute de l'identité d'une personne qui se présente et demande ou offre de l'aide pour un système informatique. Bien que ces approches soient plus risquées pour le fraudeur, les avantages sont évidents. Le pirate peut accéder librement aux systèmes informatiques de l'entreprise, à l'intérieur des défenses périphériques technologiques existantes.

L'utilisation croissante des technologies mobiles qui permettent aux utilisateurs de se connecter aux réseaux d'entreprise lors de leurs déplacements ou chez eux, constitue une autre menace majeure pour les ressources informatiques des entreprises. Les attaques possibles vont de la simple observation, pendant laquelle un pirate regarde par-dessus l'épaule d'un utilisateur d'ordinateur portable pour voir son ID utilisateur et son mot de passe, à des attaques plus sophistiquées où un lecteur de carte ou une mise à niveau de routeur est livrée et installée par un ingénieur du support technique très serviable qui obtient l'accès au réseau de l'entreprise en demandant l'ID utilisateur, le mot de passe et peut-être même un café. Un pirate expérimenté peut aller jusqu'à demander une signature d'autorisation de l'utilisateur - et le voici maintenant en possession de la signature de l'utilisateur ! Parmi ces types d'attaques, on trouve les menaces telles que l'utilisation par des voisins de la bande passante payée par l'entreprise pour accéder à Internet via un réseau local sans fil non protégé.

Alors que la plupart des grandes sociétés possèdent des infrastructures de sécurité très développées, les petites et moyennes entreprises peuvent être moins strictes en matière d'accès aux bâtiments. Le « tailgating » qui consiste pour une personne non autorisée à suivre dans un bureau un employé muni d'un badge, est une attaque par ingénierie sociale très simple. L'intrus tient la porte pour laisser entrer l'utilisateur autorisé et engage une conversation sur le temps ou le sport pendant qu'ils arrivent ensemble à la réception. Cette approche ne fonctionne pas dans une grande entreprise, où chaque personne dispose d'une carte magnétique pour passer les tourniquets, ou dans une petite entreprise où tout le monde se connaît. Toutefois, cette approche convient parfaitement dans une entreprise qui compte un millier d'employés, où tout le monde ne se connaît pas. Si le fraudeur a précédemment obtenu l'accès aux informations de l'entreprise, et qu'il connaît le nom des différents services, le nom des employés, ou des informations sur les notes de service internes, la conversation de diversion sera plus crédible.

La sécurité de l'employé à domicile est généralement limitée par la technologie. La stratégie de sécurité nécessite des pare-feu pour s'assurer que des pirates externes n'accèdent pas aux réseaux. Au-delà de ces exigences, la plupart des entreprises de taille moyenne autorisent les employés à domicile à gérer leur propre sécurité et même les sauvegardes.

Tableau 7. Attaques par accès physique et coûts

Objectifs des attaques

Description

Coût

Vol d'identité des utilisateurs de mobiles

Le pirate observe l'utilisateur légitime pendant qu'il tape les informations de connexion ou autres détails. Il anticipe ainsi le vol de l'équipement physique.

Informations confidentielles

Vol de l'identité de l'employé à domicile

Le pirate se fait passer pour un technicien de support informatique ou un partenaire de maintenance pour accéder au réseau d'un employé à domicile, en demandant l'ID d'utilisateur et le mot de passe pour tester la réussite de la mise à niveau.

Informations confidentielles

Contact direct avec le réseau de l'entreprise via le réseau de l'employé à domicile

Le pirate accède au réseau de l'entreprise via le réseau de l'employé à domicile en se faisant passer pour un technicien de support. Il accède librement aux ressources réseau et d'entreprise.

Informations confidentielles

Crédibilité de l'entreprise

Disponibilité de l'entreprise

Ressources

Argent

Accès continu au réseau de l'employé à domicile

Le pirate ou l'utilisateur local obtient un accès Internet haut débit via un réseau domestique non sécurisé.

Ressources

Accès non accompagné aux bureaux de l'entreprise

Le pirate suit un employé autorisé dans les bureaux de l'entreprise.

Informations confidentielles

Crédibilité de l'entreprise

Disponibilité de l'entreprise

Argent

Ressources

Accès à un bureau spécifique de l'entreprise

Le pirate obtient l'accès à un bureau spécifique où il peut tenter d'utiliser un équipement informatique ou des ressources papier, telles que des armoires de classement.

Informations confidentielles

Ressources

Argent


Les défenses contre ces menaces dépendent essentiellement de la mise en œuvre de recommandations par les utilisateurs, basées sur une stratégie de sécurité efficace de l'entreprise qui doit s'appliquer dans les trois cas suivants :

  • Sur le site de l'entreprise

  • A domicile

  • En déplacement

Il devrait être impossible d'entrer dans l'immeuble ou sur le site de l'entreprise sans autorisation. Le personnel de la réception doit être poli mais ferme lorsqu'il s'adresse aux employés, sous-traitants et visiteurs. Quelques conditions simples dans la stratégie de sécurité de l'entreprise rendront quasiment impossible une attaque physique par ingénierie sociale au sein des bâtiments. Ces conditions peuvent inclure l'utilisation des éléments suivants :

  • Des badges avec photos d'identité, que les employés doivent présenter en entrant et en sortant du bâtiment.

  • Un registre des visiteurs signé par le visiteur et contresigné par l'employé auquel il rend visite à l'arrivée et au départ.

  • Des badges visiteurs datés visibles à tout moment et rendus à la réception au départ.

  • Un registre des sous-traitants signé à l'arrivée et au départ par le sous-traitant et contresigné par l'employé qui l'a autorisé à travailler.

  • Des badges sous-traitants datés visibles à tout moment et rendus à la réception au départ.


L'entreprise doit établir des défenses pour s'assurer que les visiteurs passent à la réception afin de présenter leurs pièces d'identité ou signer le registre. Il n'est pas nécessaire d'installer des tourniquets ou des portillons où l'on doit se faufiler.

Par exemple, un canapé confortable peut être placé à la réception pour conduire les visiteurs au réceptionniste, comme illustré dans les deux exemples de la figure suivante.

Figure 5. Plan de la réception

Figure 5. Plan de la réception

La zone de la réception à gauche permet à un visiteur non autorisé de suivre (tailgate) un employé légitime en se collant à lui. Dans l'exemple de droite le visiteur est obligé de passer à la réception. À cet emplacement, l'ordinateur ne cache pas la vue du réceptionniste. L'espace doit être suffisant pour permettre aux visiteurs, y compris les personnes en chaises roulantes, de circuler facilement. Il est essentiel que les employés de la réception soient bien formés et stricts lorsqu'ils accueillent et contrôlent les visiteurs. Chaque entrée du bâtiment doit respecter ces normes et le personnel ne doit emprunter que les entrées et sorties autorisées, il ne doit pas y avoir de portes de service.

Lors de l'installation d'un portillon ou d'un système de gestion des portes, vous devez veiller à respecter la réglementation relative à la santé, la sécurité et l'accessibilité.

À domicile, il est irréaliste d'autoriser l'entrée de chaque visiteur ou fournisseur. En fait, la plupart des gens sont beaucoup plus prudents vis-à-vis des visiteurs qui arrivent chez eux qu'ils ne le sont au bureau. Plus important encore, vous devez vous assurer qu'une attaque n'est pas lancée contre les ressources de l'entreprise. Un protocole sur les services informatiques hors site doit comporter des règles qui stipulent les conditions suivantes :

  • Chaque action du support technique, que ce soit un correctif sur site ou une mise à niveau, doit être planifiée et autorisée par l'équipe de support.

  • Les sous-traitants et le personnel interne qui effectuent la maintenance ou l'installation sur site doivent produire une pièce d'identité, de préférence avec une photo.

  • L'utilisateur doit contacter le service de support informatique pour leur signaler l'arrivée du technicien et la fin du travail.

  • Chaque intervention fait l'objet d'une fiche d'intervention, signée et approuvée par l'utilisateur.

  • L'utilisateur ne doit jamais fournir d'informations d'accès personnel ou se connecter à l'ordinateur pour fournir l'accès au technicien.


Ce dernier point est capital. Les services informatiques doivent s'assurer que tout technicien hors site dispose d'un accès personnel suffisant pour effectuer un travail. Le technicien qui ne dispose pas d'un accès utilisateur suffisant doit contacter le support technique. Cette exigence est essentielle, car le poste de technicien dans une société de services informatiques est l'un des plus intéressants pour un pirate potentiel. Le pirate possède à la fois la qualité d'autorité technique et celle d'assistant.

Les travailleurs mobiles utilisent souvent leurs ordinateurs dans des endroits bondés, tels que dans un train, une station, un aéroport ou un restaurant. Il est évident que dans ces endroits, il est quasiment impossible d'affirmer que personne ne regarde ce que vous écrivez, mais les stratégies de sécurité de l'entreprise doivent conseiller sur la manière de minimiser les risques pour les informations personnelles et professionnelles. Si les employés utilisent des assistants numériques personnels (PDA), vous devez inclure des informations sur la gestion de la sécurité et de la synchronisation.

L'ingénierie sociale inverse

L'ingénierie sociale inverse désigne une situation dans laquelle la cible effectue l'approche initiale et communique au pirate les informations dont il a besoin. Ce scénario peut paraître improbable, mais les personnes qui représentent une autorité, technique ou sociale, en particulier, reçoivent souvent des informations personnelles essentielles, telles que des ID utilisateur et des mots de passe, car ils sont au-dessus de tout soupçon. Par exemple, le support technique ne demande jamais l'ID utilisateur ou le mot de passe de l'appelant, car ils peuvent résoudre les problèmes sans ces informations. Certains utilisateurs communiquent spontanément ces éléments de sécurité essentiels pour accélérer la résolution de leurs problèmes informatiques. Le pirate n'a même pas besoin de les demander. Les attaques par ingénierie sociale ne sont pas réactives, comme ce scénario le suggère.

Une attaque de ce type crée une situation, propose une solution et fournit une assistance le cas échéant, sans doute aussi simplement que dans le scénario suivant :

Un collègue pirate renomme ou déplace un fichier de sorte que la cible pense qu'il est perdu. Le pirate estime qu'il peut récupérer le fichier. La cible, pressée de continuer son travail, ou craignant d'être responsable de la perte des informations, saute sur cette offre. Le pirate affirme qu'il ne peut récupérer le fichier que s'il se connecte avec l'identité de la cible. Il peut même préciser que la stratégie de l'entreprise le lui interdit. La cible le prie de se connecter avec son identité et d'essayer de rétablir le fichier. Le pirate accepte à contrecœur, rétablit le fichier original et vole l'ID utilisateur et le mot de passe. Il a même gagné une réputation au point de recevoir des demandes d'assistance d'autres collègues. Cette approche permet au pirate de contourner les modes de support informatique normaux et de passer inaperçu.

Il n'est pas toujours nécessaire de connaître intimement ou même de rencontrer une cible pour recourir à l'ingénierie sociale inverse. La reproduction de problèmes ou d'incidents à l'aide de boîtes de dialogue peut être efficace dans une attaque non spécifique de ce type. Une boîte de dialogue annonce qu'un problème est survenu ou qu'une mise à jour est nécessaire pour continuer. Un téléchargement est proposé pour résoudre le problème. Une fois le téléchargement terminé, le problème technique disparaît et l'utilisateur continue à travailler, sans se rendre compte qu'il a enfreint les règles de sécurité et téléchargé un programme malveillant.

Tableau 8. Attaques par ingénierie sociale inverse et coûts

Objectifs des attaques

Description

Coût

Vol d'identité

Le pirate reçoit l'ID utilisateur et le mot de passe de l'utilisateur autorisé.

Informations confidentielles

Crédibilité de l'entreprise

Disponibilité de l'entreprise

Argent

Ressources

Vol d'informations

Le pirate utilise l'ID utilisateur et le mot de passe autorisés pour accéder aux fichiers de l'entreprise.

Informations confidentielles

Argent

Ressources

Crédibilité de l'entreprise

Disponibilité de l'entreprise

Téléchargement de fichiers malveillants

Le pirate invite un utilisateur à cliquer sur un lien ou à ouvrir une pièce jointe, infectant ainsi le réseau de l'entreprise.

Disponibilité de l'entreprise

Crédibilité de l'entreprise

Téléchargement des logiciels du pirate

Le pirate invite un utilisateur à cliquer sur un lien ou à ouvrir une pièce jointe pour télécharger un programme, tel qu'un moteur de messagerie, qui utilise les ressources réseau de l'entreprise.

Ressources

Crédibilité de l'entreprise

Argent


Se défendre contre l'ingénierie sociale inverse constitue probablement le défi le plus difficile. En effet, la cible n'a aucune raison de soupçonner le pirate, car elle a l'impression de maîtriser la situation. La principale défense est de stipuler dans votre stratégie de sécurité que tous les problèmes doivent être résolus via le support technique. Si l'équipe du support technique est efficace, polie et bienveillante, les employés la contacteront, au lieu de demander l'aide du personnel ou d'amis non autorisés.

Mise en place des défenses contre les menaces d'ingénierie sociale

Une fois que vous avez compris que vous pouvez être confronté à une toutes sortes de menaces, vous devez prendre trois mesures pour concevoir une défense contre les menaces d'ingénierie sociale dirigées contre le personnel de votre entreprise. Une défense efficace est est synonyme de planification. Les défenses sont souvent réactives : lorsqu'une attaque est découverte, vous établissez une protection pour vous assurer que ce problème ne surviendra plus. Bien que cette approche démontre un bon niveau de sensibilisation, la solution arrive trop tard si le problème est important ou coûteux. Pour anticiper ce scénario, vous devez prendre les trois mesures suivantes :

  • Développez un environnement de gestion de la sécurité. Vous devez définir un ensemble d'objectifs de sécurité contre l'ingénierie sociale ainsi que les employés responsables de la réalisation de ces objectifs.

  • Effectuez une évaluation de la gestion des risques. Des menaces similaires ne présentent pas le même niveau de risque pour différentes entreprises. Vous devez passer en revue toutes les menaces d'ingénierie sociale et rationaliser le danger qu'elles présentent pour votre organisation.

  • Implémentez des défenses contre l'ingénierie sociale dans votre stratégie de sécurité. Développez un ensemble de stratégies et de procédures écrites qui stipulent comment vos employés doivent gérer des situations considérées comme des attaques d'ingénierie sociale. Cette mesure suppose l'existence d'une stratégie de sécurité, en dehors de la menace représentée par l'ingénierie sociale. Si actuellement vous ne disposez pas de stratégie de sécurité, vous devez en élaborer une. Les éléments identifiés par votre évaluation des risques d'ingénierie sociale constitueront un bon début, mais vous devrez analyser les autres dangers potentiels.

    Pour plus d'informations sur les stratégies de sécurité, consultez le site Web sur la sécurité de Microsoft à l'adresse www.microsoft.com/france/securite.

Développement d'une infrastructure de gestion de la sécurité

Une infrastructure de gestion de la sécurité définit une vue d'ensemble des menaces potentielles d'ingénierie sociale contre votre organisation et attribue à des postes précis la responsabilité du développement des stratégies et procédures visant à diminuer ces menaces. Cette approche n'implique pas le recrutement d'employés dont la seule fonction est d'assurer la sécurité des ressources de l'entreprise. Cela est possible dans les grandes organisations, mais dans les entreprises de taille moyenne, un tel scénario est rarement viable ou souhaitable. Il suffit de s'assurer qu'un groupe de personnes assume ces responsabilités clés pour les fonctions de sécurité suivantes :

  • Sponsor de la sécurité. Cadre supérieur, peut-être membre du conseil d'administration, ayant l'autorité nécessaire pour s'assurer que tout le personnel prend la sécurité au sérieux.

  • Directeur de la sécurité. Employé de direction qui est chargé de gérer le développement et le maintien d'une stratégie de sécurité.

  • Responsable de la sécurité informatique. Membre de l'équipe technique qui est responsable du développement de l'infrastructure informatique ainsi que des stratégies et des procédures de sécurité opérationnelles.

  • Responsable de la sécurité des installations. Membre de l'équipe de maintenance des installations qui est responsable du développement du site ainsi que des stratégies et des procédures de sécurité opérationnelles.

  • Responsable de la sensibilisation à la sécurité. Employé de direction, souvent dans le service des ressources humaines ou du développement du personnel, qui est responsable du développement et de l'exécution des campagnes de sensibilisation à la sécurité.

Ce groupe, le comité directeur de la sécurité, représente les facilitateurs dans l'entreprise. Composé de responsables investis dans la sécurité, le comité directeur de la sécurité doit établir les objectifs essentiels de l'environnement de gestion de la sécurité. Sans un ensemble d'objectifs bien définis, il est difficile d'encourager la participation des autres employés ou d'évaluer la réussite du projet. La tâche initiale du comité est d'identifier les vulnérabilités d'ingénierie sociale dans l'entreprise. Le tableau suivant permet d'avoir une idée de ces vecteurs d'attaque.

Tableau 9. Vulnérabilités des vecteurs d'attaque d'ingénierie sociale dans l'entreprise

Vecteur d'attaque

Description de l'utilisation de l'entreprise

Commentaires

Connexion

  

  

Messagerie électronique

Tous les utilisateurs disposent de Microsoft Outlook® sur les ordinateurs.

  

Internet

Les utilisateurs mobiles disposent d'Outlook Web Access (OWA) en plus de l'accès client Outlook.

  

Applications intempestives

  

Actuellement, il n'existe aucune protection technologique implémentée contre les fenêtres intempestives.

Messagerie instantanée

L'entreprise permet une utilisation non gérée de plusieurs produits de messagerie instantanée

  

Téléphone

  

  

PBX

  

  

Support technique

Actuellement le « support technique » est une fonction de support courante fournie par le service informatique.

Nous devons étendre les dispositifs d'assistance au-delà du domaine informatique.

Gestion des déchets

  

  

Interne

Tous les services gèrent leurs propres déchets.

  

Externe

Les bennes à ordures sont placées à l'extérieur du site de l'entreprise. La collecte des ordures a lieu le jeudi.

Actuellement nous n'avons pas de place pour les bennes sur le site.

Approches personnelles

  

  

Sécurité physique

  

  

Sécurité des bureaux

Les portes des bureaux ne sont pas verrouillées pendant la journée.    

25 % des employés travaillent à domicile.    Nous ne disposons d'aucune norme écrite en matière de sécurité du travailleur à domicile.

Travailleurs à domicile

Nous ne disposons d'aucun protocole en matière de maintenance sur site du travailleur à domicile.

  

Divers/Spécifique à l'entreprise

  

  

Franchisés internes

Le service de restauration/traiteur est géré via une franchise.

Nous ne savons rien sur ce personnel et il n'est soumis à aucune stratégie de sécurité.


Grâce à une bonne compréhension des vulnérabilités, le comité directeur de la sécurité peut développer un tableau des vulnérabilités des vecteurs d'attaque d'ingénierie sociale (illustré dans l'exemple précédent). Le tableau présente les protocoles de l'entreprise dans les secteurs potentiellement vulnérables. La connaissance des vulnérabilités permet au comité de développer un plan pour les potentielles exigences de stratégie.

Le comité directeur de la sécurité doit d'abord identifier les secteurs qui peuvent présenter un risque pour l'entreprise. Ce processus doit inclure tous les vecteurs d'attaque identifiés dans ce document et les éléments spécifiques à l'entreprise, tels que l'utilisation de terminaux publics ou de procédures de gestion des bureaux.

Évaluation des risques

Toute sécurité exige d'évaluer le niveau de risque que présente une attaque pour votre entreprise. Bien qu'approfondie, l'évaluation des risques ne doit pas prendre trop de temps. En fonction du travail d'identification des éléments de base de l'infrastructure de gestion de la sécurité par le comité directeur de la sécurité, vous pouvez classifier et hiérarchiser les risques. Les catégories de risques sont les suivantes :

  • Informations confidentielles

  • Crédibilité de l'entreprise

  • Disponibilité de l'entreprise

  • Ressources

  • Argent

Vous définissez les priorités en identifiant le risque et en calculant le coût consacré à le limiter. Si ce coût est trop élevé par rapport à l'occurrence du risque, il n'est pas justifiable. Cette phase d'évaluation du risque peut être très utile dans le développement final de la stratégie de sécurité.

Par exemple, le comité directeur de la sécurité peut signaler le danger que peuvent présenter les visiteurs pour la sécurité à la réception. Une entreprise qui n'accueille pas plus de 20 visiteurs par heure se limitera à un réceptionniste, un registre et à des badges visiteurs numérotés. Une entreprise qui accueille 150 visiteurs par heure exigera peut-être plusieurs employés à la réception ou des terminaux pour l'inscription automatique. Si une petite entreprise ne peut pas justifier les coûts de terminaux d'auto-inscription, une grande société ne peut pas justifier le coût des pertes de transactions commerciales dues à des attentes trop longues.

De même, une société qui ne reçoit pas de visiteurs ou de personnels temporaires peut considérer que laisser des documents imprimés dans un emplacement central ne présente qu'un risque minime. Cependant, une entreprise employant un grand nombre de personnes externes peut estimer qu'elle ne peut réduire les risques commerciaux qu'en installant des imprimantes locales sur chaque bureau pour éviter que des documents potentiellement confidentiels traînent sur une imprimante partagée. L'entreprise peut prévenir ce risque en stipulant qu'un membre du personnel doit accompagner les visiteurs. Cette solution est beaucoup moins coûteuse, sauf, peut-être, en termes de perte de temps pour l'employé.

En fonction de l'évaluation de la matrice des vulnérabilités des vecteurs d'attaque d'ingénierie sociale dans l'entreprise, le comité directeur de la sécurité peut définir les exigences des stratégies, les types et niveaux de risques pour l'entreprise, comme indiqué dans le tableau suivant.

Tableau 10. Matrice des exigences et des risques de sécurité du comité directeur

Vecteur d'attaque

Exigence de stratégie possible

Type de risque Informations confidentielles Crédibilité de l'entreprise Disponibilité de l'entreprise Ressources Argent

Niveau de risque Élevé = 5 Faible = 1

Action

  

Ensemble de stratégies de sécurité écrites contre l'ingénierie sociale

  

  

  

  

Modifications pour inclure la conformité aux stratégies dans le contrat standard des employés

  

  

  

  

Modifications pour inclure la conformité aux stratégies dans le contrat standard des sous-traitants

  

  

  

En ligne

  

  

  

  

Messagerie électronique

Stratégie sur les types de pièces jointes et leur gestion

  

  

  

Internet

Stratégie d'utilisation d'Internet

  

  

  

Applications intempestives

Stratégie d'utilisation d'Internet, en s'intéressant particulièrement au comportement à adopter face à des boîtes de dialogue inattendues.

  

  

  

Messagerie instantanée

Stratégie sur les clients de messagerie instantanée pris en charge et autorisés

  

  

  

Téléphone

  

  

  

  

PBX

Stratégie de gestion du support PBX

  

  

  

Support technique

Stratégie d'attribution de l'accès aux données

  

  

  

Gestion des déchets

  

  

  

  

Papier

Stratégie de gestion des déchets papier

  

  

  

  

Consignes de gestion des bennes à ordures

  

  

  

Support électronique

Stratégie de gestion de l'élimination des supports électroniques

  

  

  

Approches personnelles

  

  

  

  

Sécurité physique

Stratégie de gestion des visiteurs

  

  

  

Sécurité des bureaux

Stratégie de gestion de l'ID utilisateur et du mot de passe - par exemple, ne pas coller de papier comportant le mode de passe sur l'écran.

  

  

  

Travailleurs à domicile

Stratégie d'utilisation des ordinateurs portables à l'extérieur de l'entreprise

  

  

  

Divers/
Spécifique à l'entreprise

  

  

  

  

Franchisés internes

Stratégie de contrôle des employés franchisés internes

  

  

  


Le comité directeur de la sécurité doit parvenir à un consensus sur l'importance d'un risque. Chaque groupe aura une opinion différente sur les risques présentés par les différentes menaces.

Pour plus d'informations sur les méthodologies et les outils d'évaluation des risques, consultez le Guide de gestion des risques de sécurité à l'adresse http://go.microsoft.com/fwlink/?linkid=30794.

L'ingénierie sociale dans la stratégie de sécurité

La direction et le personnel informatique doivent développer et contribuer à mettre en œuvre une stratégie de sécurité efficace dans l'entreprise. Parfois, les contrôles technologiques qui permettent de protéger les systèmes contre les menaces technologiques, telles que les virus et les vers, sont au cœur de la stratégie de sécurité. Ces contrôles permettent de défendre les technologies, telles que les fichiers de données, les fichiers de programme et les systèmes d'exploitation. Les défenses doivent permettre d'anticiper les attaques générales d'ingénierie sociale visant le personnel interne.

Le comité directeur de la sécurité doit déléguer le développement des procédures, des processus et des documents pour les principaux domaines de sécurité et l'évaluation des risques. Le tableau suivant illustre la manière dont le comité, avec l'assistance des groupes d'intérêt, peut définir la documentation requise pour prendre en charge la stratégie de sécurité.

Tableau 11. Conditions des procédures et des documents du comité directeur

Conditions des stratégies

Conditions des procédures/documents

Action le / date

Ensemble des stratégies de sécurité contre l'ingénierie sociale

Aucun

  

Modifications pour inclure la conformité aux stratégies dans le contrat standard des employés

  1. Rédaction des conditions des nouveaux contrats (aspect juridique)

  2. Nouveau format des contrats des sous-traitants

  

Modifications pour inclure la conformité aux stratégies dans le contrat standard des sous-traitants

  1. Rédaction des conditions des nouveaux contrats (aspect juridique)

  2. Nouveau format des contrats des sous-traitants

  

Stratégie de gestion des visiteurs

  1. Procédure de signature des visiteurs à l'arrivée et au départ

  2. Procédure d'accompagnement des visiteurs

  

Consignes de gestion des bennes à ordures

  1. Procédure d'élimination des déchets papier (voir la section Données)

  2. Procédure d'élimination des supports électroniques (voir la section Données)

  

Stratégie d'attribution d'accès aux données

  

  

Stratégie de gestion des déchets papier

  

  

Stratégie de gestion de l'élimination des supports électroniques

  

  

Stratégie d'utilisation d'Internet, en s'intéressant particulièrement au comportement à adopter face à des boîtes de dialogue inattendues.

  

  

Stratégie de gestion de l'ID utilisateur et du mot de passe - par exemple, ne pas coller de papier comportant le mode de passe sur l'écran.

  

  

Stratégie d'utilisation des ordinateurs portables à l'extérieur de l'entreprise

  

  

Stratégie de gestion des problèmes lors de la connexion avec des applications de partenaires (banque, finance, achat, gestion des stocks)

  

  


Comme vous le constatez, cette liste peut devenir assez longue. Vous pouvez décider de demander l'aide d'un expert pour accélérer cette phase du processus. Le comité directeur de la sécurité doit se concentrer sur des domaines qu'il considère importants, en fonction du processus d'évaluation des risques.

Mise en œuvre des défenses contre les menaces d'ingénierie sociale

Une fois que vous avez rédigé et accepté la stratégie de sécurité, vous devez la mettre à la disposition du personnel et la faire appliquer. Si la mise en œuvre des contrôles techniques peut s'effectuer à l'insu de vos employés, leur soutien est indispensable pour réussir la mise en œuvre des défenses contre l'ingénierie sociale. Pour prendre en charge l'implémentation, vous devez développer des protocoles de réponse aux incidents pour le support technique.

Sensibilisation

Rien ne peut remplacer une bonne campagne de sensibilisation lorsque vous implémentez les éléments d'ingénierie sociale de votre stratégie de sécurité. L'implémentation est, bien entendu, une forme d'ingénierie sociale, et vous devez former votre personnel pour qu'il ait connaissance de la stratégie, comprenne les raisons de son existence et sache comment réagir à une tentative d'attaque. L'élément clé d'une attaque par ingénierie sociale est la confiance : la cible fait confiance au pirate. Pour résister à cette forme d'attaque, vous devez encourager le personnel à se méfier de tout ce qui sortirait de l'ordinaire et faire en sorte qu'il ait confiance dans l'infrastructure de support informatique de l'entreprise.

Les éléments d'une campagne de sensibilisation dépendent de la manière dont vous communiquez les informations aux employés. Vous pouvez opter pour une formation structurée, des réunions moins formelles, des campagnes d'affichage ou d'autres événements pour présenter les stratégies de sécurité. Plus vous renforcez les messages de vos stratégies, mieux leur implémentation sera réussie. Vous pouvez lancer une campagne de sensibilisation à la sécurité en même temps qu'un événement majeur, mais la sécurité doit occuper une place prépondérante dans l'agenda de la direction et du personnel. La sécurité étant une composante de la culture d'entreprise, vous devez encourager chacun à formuler des suggestions permettant de maintenir la sensibilisation à la sécurité. Recueillez l'opinion de tous les services et des différents types d'utilisateurs, surtout ceux qui travaillent en dehors de l'environnement du bureau.

Gestion des incidents

Lorsqu'une attaque par ingénierie sociale survient, assurez-vous que le personnel du support technique est capable de gérer l'incident. Des protocoles réactifs doivent exister dans les procédures associées à la stratégie de sécurité, mais la gestion des incidents signifie que vous utilisez l'attaque pour initier de nouvelles évaluations de sécurité. La sécurité n'est pas une fin en soi mais plutôt une succession d'étapes, car les vecteurs d'attaque changent.

Chaque incident fournit une nouvelle information pour une évaluation continue de la sécurité au sein du modèle de réponse aux incidents, illustré dans la figure suivante.

Figure 6. Modèle de réponse aux incidents

Figure 6. Modèle de réponse aux incidents

À mesure que de nouveaux incidents surviennent, le comité directeur de la sécurité analyse s'ils présentent des risques nouveaux ou modifiés pour l'entreprise, et crée ou renouvelle les stratégies et les procédures en fonction de ses conclusions. Tous les amendements aux stratégies de sécurité doivent respecter les normes de gestion des changements de votre entreprise.

Pour gérer un incident, le support technique doit disposer d'un protocole robuste de rapports d'incidents qui enregistre les informations suivantes :

  • Nom de la cible

  • Service de la cible

  • Date

  • Vecteur d'attaque

  • Description de l'attaque

  • Résultat de l'attaque

  • Effet de l'attaque

  • Recommandations

En enregistrant les incidents, il est possible d'identifier des profils et peut-être d'anticiper des attaques futures. Un modèle de formulaire de rapports d'incidents est fourni dans l'annexe 1 à la fin de ce document.

Considérations opérationnelles

En analysant la sécurité, il se peut que vous soyez impressionné par les multiples menaces potentielles qui pèsent sur votre entreprise. Votre stratégie de sécurité doit tenir compte du fait que l'objectif de votre entreprise est de réaliser des affaires. Si vos mesures de sécurité affectent négativement la rentabilité ou la réactivité commerciale de l'entreprise, vous devez réévaluer le risque. Il convient d'établir un équilibre entre la sécurité et l'utilisation opérationnelle.

Il est également important de savoir qu'une réputation de société soucieuse de la sécurité peut se traduire par des avantages commerciaux. Non seulement cela décourage les pirates, mais le profil commercial de l'entreprise s'en trouve renforcé vis-à-vis des clients et des partenaires.

L'ingénierie sociale et le modèle en couche de défense renforcée

Le modèle en couche de défense renforcée classifie les solutions de sécurité contre les vecteurs d'attaque, domaines de faiblesse, que les pirates peuvent utiliser pour menacer votre environnement informatique. Ces vecteurs d'attaque comprennent notamment :

  • Stratégies, procédures et sensibilisation. Les règles écrites que vous développez pour gérer tous les domaines de sécurité et le programme d'éducation que vous mettez en place pour vous assurer que les membres du personnel connaissent, comprennent et implémentent ces règles.

  • Sécurité physique. Les protections qui gèrent l'accès à votre site et vos ressources. Il est important de se rappeler que si vous placez les conteneurs de déchets à l'extérieur de l'entreprise, par exemple, ils se trouvent hors de la sécurité physique de celle-ci.

  • Données. Les informations de l'entreprise, les détails de compte, le courrier électronique, etc. Lorsque vous analysez les menaces d'ingénierie sociale, vous devez inclure les copies papier et électroniques dans votre planification de sécurité des données.

  • Application. Les programmes exécutés par vos utilisateurs. Vous devez expliquer comment les pirates par ingénierie sociale peuvent corrompre les applications, telles que la messagerie électronique ou instantanée.

  • Hôte. Les serveurs et les ordinateurs clients utilisés au sein de votre organisation. Pensez à protéger les utilisateurs contre les attaques directes visant ces ordinateurs en définissant des instructions strictes sur les logiciels à utiliser sur les ordinateurs professionnels et la façon de gérer les dispositifs de sécurité tels que les ID utilisateur et les mots de passe.

  • Réseau interne. Le réseau via lequel votre système informatique communique. Il peut s'agir d'un réseau local, sans fil ou étendu (WAN). Le réseau interne est devenu moins « interne » au cours des dernières années, à mesure que le travail à domicile et le travail mobile ont augmenté. Ainsi, vous devez vous assurer que les utilisateurs comprennent ce qu'ils doivent faire pour travailler en toute sécurité dans tous les environnements réseau.

  • Périmètre. Le point de contact entre vos réseaux internes et externes, tels qu'Internet ou les réseaux de vos partenaires commerciaux, peut-être dans le cadre d'un extranet. Les attaques par ingénierie sociale tentent souvent de violer le périmètre pour lancer des attaques contre vos données, applications et hôtes de votre réseau interne.

Figure 7. Modèle de sécurité de défense renforcée

Figure 7. Modèle de sécurité de défense renforcée

Lors de la conception de vos défenses, le modèle de sécurité de défense renforcée vous permet de visualiser les domaines de votre entreprise qui sont vulnérables aux menaces. Ce modèle n'est pas spécifique aux menaces d'ingénierie sociale, mais chacune des couches doit être protégée.

Les principales défenses du modèle sont les stratégies de sécurité, les procédures et la sensibilisation. Ces défenses ciblent le personnel de l'organisation, expliquant ce qu'il faut faire, quand, pourquoi et par qui cela doit être fait. Les couches restantes peuvent optimiser vos défenses, mais la protection essentielle vient d'un ensemble de règles bien structurées et bien déterminées qui protègent votre environnement informatique.

Pour plus d'informations sur le modèle de sécurité de défense renforcée, consultez l'article consacré à la Gestion de la sécurité de la documentation SMF (Service Management Functions) sur Microsoft TechNet à l'adresse http://go.microsoft.com/fwlink/?linkid=37696.

Annexe 1 : Listes de contrôle pour la stratégie de sécurité des menaces d'ingénierie sociale

Vous avez pu observer plusieurs tableaux permettant de noter les vulnérabilités d'ingénierie sociale et les conditions de stratégie de défense dans ce document. Des modèles de ces tableaux sont disponibles dans cette annexe, que vous pouvez copier et remplir.

Vulnérabilités des vecteurs d'attaque d'ingénierie sociale dans l'entreprise

Vecteur d'attaque

Description de l'utilisation de l'entreprise

Commentaires

En ligne

  

  

Messagerie électronique

  

  

Internet

  

  

Applications intempestives

  

  

Messagerie instantanée

  

  

Téléphone

  

  

PBX

  

  

Support technique

  

  

Gestion des déchets

  

  

Interne

  

  

Externe

  

  

Approches personnelles

  

  

Sécurité physique

  

  

Sécurité des bureaux

  

  

Divers/Spécifique à l'entreprise

  

  

  

  

  


Matrice des exigences et des risques de sécurité du comité directeur

Vecteur d'attaque

Exigence de stratégie possible

Type de risque Informations confidentielles Crédibilité de l'entreprise Disponibilité de l'entreprise Ressources Argent

Niveau de risque Élevé = 5 Faible = 1

Action

En ligne

  

  

  

  

  

  

  

  

  

Téléphone

  

  

  

  

  

  

  

  

  

Gestion des déchets

  

  

  

  

  

  

  

  

  

Approches personnelles

  

  

  

  

  

  

  

  

  

Divers/
Spécifique à l'entreprise

  

  

  

  

  

  

  

  

  

Conditions des procédures et des documents du comité directeur

Conditions des stratégies

Conditions des procédures/documents

Action le / date

  

  

  

  

  

  

  

  

  

  

  

  

  

  

  

  

  

  

Liste de contrôle de la mise en œuvre des stratégies de sécurité

Action

Description

Action le / date

Développement des stratégies de sécurité en ligne

  

  

Développement des stratégies de sécurité physique

  

  

Développement des stratégies de sécurité téléphonique

  

  

Développement des stratégies de sécurité pour la gestion des déchets

  

  

Développement des stratégies de gestion de la sécurité du support technique

  

  

Développement d'un modèle de réponse aux incidents

  

  

Développement d'une campagne de sensibilisation

  

  

...

  

  

Rapport d'incidents

Représentant du support technique

                     

Nom de la cible

  

Service de la cible

  

Date

  

Vecteur d'attaque

  

Description de l'attaque

  

Résultat de l'attaque

  

Effet de l'attaque

  

Recommandations

  


Annexe 2 : Glossaire

Terme

Définition

accès

Dans le cadre de la confidentialité, capacité d'une personne à afficher, modifier et contester l'exactitude et l'exhaustivité des informations d'identification personnelle recueillies à son sujet. L'accès est un élément des principes d'information loyale.

logiciel antivirus (AV)

Programme conçu pour détecter et répondre aux logiciels malveillants tels que les virus et les vers. Il peut répondre en bloquant l'accès utilisateur aux fichiers infectés, en nettoyant les fichiers infectés ou les ordinateurs, ou en informant l'utilisateur qu'un programme infecté a été détecté.

attaque

Tentative délibérée de compromettre la sécurité d'un système informatique ou de priver les utilisateurs de l'accès à ce système.

authentification

Procédure de validation des informations d'identification d'une personne, d'un processus informatique ou d'un périphérique. L'authentification exige que les informations fournies par la personne, le processus ou le périphérique effectuant la demande prouve qu'il est bien ce qu'il prétend être. Les formes courantes d'informations d'identification sont les signatures numériques, les cartes à puce, les données biométriques et la combinaison de noms d'utilisateur et de mots de passe.

autorisation

Procédure permettant d'attribuer à une personne, un processus informatique ou un périphérique un accès à certains services, informations ou fonctionnalités. L'autorisation dépend de l'identité des entités demandant l'accès, qui est vérifiée via l'authentification.

gestion des changements

Procédure permettant de gérer les changements avec l'aide de méthodes et techniques testées pour éviter de nouvelles erreurs et minimiser l'impact des changements.

sécurité informatique

Protection des ressources informatiques via la technologie, les processus et la formation.

pirate

Personne mal intentionnée qui pirate un système informatique via des stratégies technologiques, plutôt que l'ingénierie sociale.

télécharger

Transférer une copie d'un fichier d'un ordinateur distant vers un ordinateur demandeur à l'aide d'un modem ou d'un réseau.

extranet

Extension de l'intranet d'une organisation permettant de faciliter les communications avec les partenaires approuvés de celle-ci. Un extranet permet à ces partenaires approuvés d'obtenir un accès limité aux données internes de l'entreprise.

pare-feu

Solution de sécurité qui isole les différentes parties du réseau, autorisant uniquement le passage du trafic réseau autorisé en fonction des règles de filtrage du trafic.

logiciel malveillant

Logiciel qui réalise les desseins volontairement nuisibles d'un attaquant lors de son exécution. Par exemple, les virus, les vers et les chevaux de Troie sont des codes malveillants.

connexion au réseau

Processus de connexion à un ordinateur via un réseau. En général, un utilisateur se connecte d'abord de manière interactive à un ordinateur local, puis fournit des informations d'identification à un autre ordinateur du réseau, tel qu'un serveur, qu'il est autorisé à utiliser.

mot de passe

Chaîne de caractères entrée par un utilisateur pour vérifier son identité sur un réseau ou un ordinateur local. Voir aussi mot de passe fort.

autorisations

Autorisation d'effectuer des opérations associées à une ressource partagée spécifique, telle qu'un fichier, un répertoire ou une imprimante. Les autorisations doivent être attribuées par l'administrateur système à des comptes d'utilisateurs individuels ou à des groupes administratifs.

numéro d'identification personnel (PIN)

Code d'identification secret similaire à un mot de passe qui est attribué à un utilisateur autorisé. Un code PIN est utilisé en association avec une carte ATM ou une carte à puce, par exemple, pour déverrouiller une fonctionnalité autorisée telle qu'un accès à un compte bancaire.

information d'identification personnelle (PII)

Toute information associée à un utilisateur identifié ou identifiable. Ce type d'informations peut comprendre le nom, le pays, l'adresse postale, l'adresse de courrier électronique, le numéro de carte de crédit, le numéro de sécurité sociale, le code gouvernement, l'adresse IP ou tout identifiant unique associé aux informations PII dans un autre système. Elles sont également appelées informations confidentielles ou données personnelles.

Informations confidentielles

Voir information d'identification personnelle (PII)

pirate téléphonique (phreaker)

Utilisateur malveillant qui passe des appels téléphoniques frauduleux via les réseaux PBX.

escroc à l'hameçonnage (phisher)

Personne malveillante ou site Web qui invite les utilisateurs à divulguer des informations confidentielles, telles que des mots de passe de compte et des numéros de carte de crédit. Ce type d'escroc affiche généralement des messages électroniques trompeurs ou des publicités en ligne pour attirer les utilisateurs qui ne se méfient pas vers des sites Web frauduleux, où ils sont amenés à révéler des informations personnelles.

vulnérabilité physique

Absence de protection physique d'un ordinateur, par exemple en ne verrouillant pas un poste de travail dans un environnement accessible aux utilisateurs non autorisés.

confidentialité

Contrôle que les clients exercent sur la collecte, l'utilisation et la diffusion de leurs informations personnelles.

vulnérabilité de sécurité

Vulnérabilité dans le logiciel, qui est corrigée par une mise à jour de sécurité Microsoft et un bulletin de sécurité ou un service pack.

spam

Courrier électronique publicitaire non sollicité. Également appelé courrier indésirable.

usurper l'identité d'un utilisateur

Transmettre des informations en se faisant passer pour quelqu'un d'autre.

logiciel espion

Logiciel qui affiche des publicités (fenêtres intempestives), récupère des informations vous concernant ou modifie les paramètres de votre ordinateur, généralement sans votre autorisation.

mot de passe fort

Mot de passe qui offre une protection efficace contre l'accès non autorisé à une ressource. Un mot de passe fort est composé d'au moins six caractères, ne contient pas tout ou partie du nom du compte de l'utilisateur et contient au moins trois des quatre catégories de caractères suivantes : majuscules, minuscules, chiffres et symboles se trouvant sur le clavier (tels que !, @ et #).

Cheval de Troie

Programme qui semble utile ou inoffensif, mais qui contient du code masqué conçu pour exploiter ou endommager l'ordinateur sur lequel il s'exécute. Ces programmes sont généralement diffusés aux utilisateurs par le biais de messages électroniques qui dissimulent leur fonction et leurs caractéristiques réelles. L'autre dénomination est code Troyen.

mise à niveau

Suite logicielle qui remplace une version installée par une nouvelle version du même logiciel. Le processus de mise à niveau laisse généralement intactes les données client et les préférences existantes tout en remplaçant le logiciel existant par la nouvelle version.

ID utilisateur

Nom unique avec lequel un utilisateur peut se connecter à un système informatique.

virus

Code expressément écrit pour se dupliquer. Le virus tente de se propager d'ordinateur à ordinateur en se joignant à un programme hôte. Il peut endommager le matériel, les logiciels ou les données. Comparable au ver. Voir aussi la définition fournie par la Virus Info Alliance (f-secure.com).

vulnérabilité

Faiblesse, processus ou acte administratif, ou exposition physique qui rend un ordinateur susceptible d'être exploité par une menace.

ver

Code malveillant d'auto-propagation capable de se diffuser automatiquement d'un ordinateur à un autre par le biais de connexions réseau. Le ver peut entreprendre des actions dommageables, telles que la consommation des ressources du système local ou du réseau, qui peuvent générer une attaque de déni de service. Comparable au virus.


Télécharger

Obtenir l'article Protection du personnel interne contre les menaces d'ingénierie sociale



Afficher: