ITrust fournit une formation spécialisée dans les meilleures pratiques en cybersécurité, pour accompagner les utilisateurs à accéder à une cyber-conscience élevée.
Il pourrait être déjà trop tard pour ceux qui sont déjà tombés au combat, mais tous ceux qui n’ont pas encore été victimes de cyber-attaques ont la chance de pouvoir apprendre du malheur des autres. Les actualités sur le piratage informatique ne sont pas là pour nous divertir, elles sont là pour nous avertir, nous effrayer et nous inciter à prendre les bonnes précautions. La cybercriminalité devrait servir de rappel que nous ne pouvons plus nous permettre d’être avides avec nos serveurs, la sauvegarde et le maintien du réseau.
Le mois international de la sensibilisation à la sécurité informatique
Octobre est arrivé et, puisque vous lisez cet article, vous savez probablement déjà que ce n’est pas seulement le mois d’Halloween. Vous vous attendiez peut-être à des bonbons ? Cela vous surprendra, mais vous n’allez pas finir la lecture de cet article avec les poches pleines de sucreries.
La sécurité informatique expliquée aux salariésNRC
Besoin de sensibiliser vos salariés à la cybersécurité dans votre entreprise afin de limiter les risques d'infection de vos systèmes informatiques ? F-Secure vous donne toutes les clés ! Suivez le guide !
Et rendez-vous sur notre page F-Secure sur : http://www.nrc.fr/f-secure-antivirus/
Pirate repenti, membre de CyberSecurity Alliance, Arnaud Velten contribue au Sommet de l’intelligence économique de la Sécurité et de la Sûreté de Chamonix sous le patronage de l’IHEDN. Membre des organismes professionnels d’intelligence économique Français le SYNFIE et Suisse : SwissIntel, spécialisé dans la vulgarisation des nouvelles pratiques, il contribue à divers événements de CyberSécurité en qualité d’Influenceur (CybSec Conf) ou Conférencier. (Wine-GrappaHat)
source : https://www.chambe-carnet.com/events/interview-quels-sont-les-enjeux-de-la-cybersecurite/
Il pourrait être déjà trop tard pour ceux qui sont déjà tombés au combat, mais tous ceux qui n’ont pas encore été victimes de cyber-attaques ont la chance de pouvoir apprendre du malheur des autres. Les actualités sur le piratage informatique ne sont pas là pour nous divertir, elles sont là pour nous avertir, nous effrayer et nous inciter à prendre les bonnes précautions. La cybercriminalité devrait servir de rappel que nous ne pouvons plus nous permettre d’être avides avec nos serveurs, la sauvegarde et le maintien du réseau.
Le mois international de la sensibilisation à la sécurité informatique
Octobre est arrivé et, puisque vous lisez cet article, vous savez probablement déjà que ce n’est pas seulement le mois d’Halloween. Vous vous attendiez peut-être à des bonbons ? Cela vous surprendra, mais vous n’allez pas finir la lecture de cet article avec les poches pleines de sucreries.
La sécurité informatique expliquée aux salariésNRC
Besoin de sensibiliser vos salariés à la cybersécurité dans votre entreprise afin de limiter les risques d'infection de vos systèmes informatiques ? F-Secure vous donne toutes les clés ! Suivez le guide !
Et rendez-vous sur notre page F-Secure sur : http://www.nrc.fr/f-secure-antivirus/
Pirate repenti, membre de CyberSecurity Alliance, Arnaud Velten contribue au Sommet de l’intelligence économique de la Sécurité et de la Sûreté de Chamonix sous le patronage de l’IHEDN. Membre des organismes professionnels d’intelligence économique Français le SYNFIE et Suisse : SwissIntel, spécialisé dans la vulgarisation des nouvelles pratiques, il contribue à divers événements de CyberSécurité en qualité d’Influenceur (CybSec Conf) ou Conférencier. (Wine-GrappaHat)
source : https://www.chambe-carnet.com/events/interview-quels-sont-les-enjeux-de-la-cybersecurite/
Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...SOCIALware Benelux
Ce slideshow est rendu public dans le cadre de l'initiative Space Shelter! 2021 à destination du secteur associatif - en partenariat avec Google, Test-Achats/Aankoop, Euroconsumers et SOCIALware (TechSoup Global Network).
La cybercriminalité, qui consiste à utiliser un ordinateur comme outil pour poursuivre des objectifs illégaux, tels que la fraude, le trafic de pédopornographie et de propriété intellectuelle, l’usurpation d’identité ou l’atteinte à la vie privée, est en augmentation.
Vous apprendrez comment vous protéger lorsqu’un pirate, déguisé en entité de confiance, peut vous inciter à ouvrir un e-mail, un message instantané ou un message texte pour voler des données d’utilisateur, notamment des identifiants de connexion et des numéros de carte de crédit.
Découvrez également comment ces fraudes sont perpétrées et apprenez comment protéger votre organisation à but non lucratif et les personnes concernées.
Social engineering : l'art de l'influence et de la manipulationChristophe Casalegno
Une chaîne n’est jamais plus solide que son maillon le plus faible, et ce maillon faible, c’est vous, c’est nous tous. Le social engineering ou ingénierie sociale est un ensemble de méthodes et de techniques permettant au travers d’une approche relationnelle basée sur l‘influence et la manipulation, d’obtenir l’accès à un système d’information ou à des informations confidentielles. Dans la pratique, le pirate exploitera les vulnérabilités humaines et sa connaissance de la cible, de ses clients ainsi que de ses fournisseurs et sous-traitants en utilisant la manipulation, la supercherie et l’influence au travers de différents médias de communication, des réseaux sociaux à la rencontre, en passant par l’email et le téléphone.
Je vous propose de découvrir au travers de cette présentation, les grandes lignes directrices des conférences et sessions de sensibilisation que je donne régulièrement dans ce domaine. J’espère que cela vous permettra de mieux comprendre ce qu’est le social engineering, et le danger que peuvent représenter ceux qui le maîtrise pour votre entreprise ou votre organisation et comment vous en protéger.
Six leçons de sécurité de l'information à retenir de « Game of Thrones »
Par Corey Nachreiner - Directeur de la recherche et de la stratégie de sécurité, WatchGuard Technologies
Webinar EEIE #05 - Cybersécurité : Best PracticesGroupe EEIE
L’École Européenne d’Intelligence Économique lance son cinquième webinar avec en intervenant, Frédéric Mouffle, Expert Cybersécurité et Directeur général associé de KER-MEUR.
Le thème : Cybersécurité : Best Practices.
Introduction :
La cybersécurité est un sujet majeur devenu stratégique pour les entreprises mais également pour les utilisateurs.
Nous verrons dans ce webinar, les principaux vecteurs d’attaques et comment s’en prémunir.
En appliquant les « best practices », vous serez a même de pouvoir éviter 95% des menaces.
Les best practices seront abordées, de la robustesse du mot de passe, au chiffrement des données en passant par une politique de sauvegarde efficace.
Retrouvez le Replay de ce webinar à l’adresse suivante : https://www.eeie.fr/webinar-eeie-05-cybersecurite-best-practices/
Toutes les entreprises connectées à internet sont vulnérables aux
cyber attaques. Sans une bonne protection, elles s’exposent à des pertes substantielles. Déployer un programme fiable de gestion des vulnérabilités s’avère donc essentiel. Celui-ci doit couvrir plusieurs aspects, qu'un responsable en cyber sécurité doit toujours garder à l'esprit. Nous vous les présenterons dans ce rapport.
Vous le savez et nous vous l’avons répété de nombreuses fois, il ne faut pas ouvrir des pièces jointes ou cliquer sur des liens provenant d’expéditeurs inconnus. Votre curiosité peut vous jouer de mauvais tours, et cela arrive souvent plus vite que vous ne le pensez. Retour sur les grands pièges liés aux e-mails : aujourd’hui, le phishing et la pièce jointe piégée.
Focus sur la Cybersécurité informatique avec Arrowsoftpolenumerique33
"Focus sur la Cybersécurité informatique" avec Arrowsoft
Pôle Numérique CCI Bordeaux s'est associé à sa façon au mois de la cybersécurité en Europe en organisant le 10 octobre 2014 un atelier sur la "sécurité des échanges de données sur Internet" avec ses partenaires l'Equipe N'Tech du groupement de Gendarmerie Départementale de la Gironde, le Clusir Aquitaine et la société Arrowsoft.
Si l’on faisait un bilan semestriel des principales attaques et risques informatiques auxquels se sont confrontées les organisations en 2016, ce rapport ressemblerait fortement à l’univers de Game of Thrones : complots, trahisons, faux amis sans scrupule et situations inattendues – nous pourrions penser que le monde cyber a servi d’inspiration aux George R. Martin.
L’objectif est de sensibiliser aux menaces et enjeux et d’initier aux principaux concepts de la Cyber Sécurité. Il s’agit de présenter un guide de bonnes pratiques.
Qu'est-ce que la cybersécurité ?
Selon l’ANSSI (Agence nationale de sécurité des systèmes d’information), la cybersécurité est l'"état recherché pour un système d’information lui permettant de résister à des événements issus du cyber espace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles. La cybersécurité fait appel à des techniques de sécurité des systèmes d’information et s’appuie sur la lutte contre la cybercriminalité et sur la mise en place d’une cyber défense."
La sensibilisation à la cybersécurité permet de transformer vos utilisateurs en cyber héros, capables d'identifier et de déjouer les cyber menaces. Elle favorise également l'adoption d'une attitude sécuritaire et une culture qui priorise la protection des données de votre organisation.
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSISNet4All
Swiss Grade Security - 3 octobre 2017 - Lausanne
Le Président du CLUSIS (Association suisse de la sécurité de l’information) présente les résultats d’une étude réalisée par l’Observatoire des Risques Opérationnels. Il redéfinit les termes de « cybercriminalité » et de « hacker », tout en donnant plus d’informations sur ces derniers (motivations, profils, méthodes de repérage…). L’étude donne également la parole aux entreprises, qui avouent ne pas assez investir dans la sécurité informatique. Conscientes de l’évolution du risque pour leurs données, elles attendent un accompagnement de l’Etat pour les guider.
Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...SOCIALware Benelux
Ce slideshow est rendu public dans le cadre de l'initiative Space Shelter! 2021 à destination du secteur associatif - en partenariat avec Google, Test-Achats/Aankoop, Euroconsumers et SOCIALware (TechSoup Global Network).
La cybercriminalité, qui consiste à utiliser un ordinateur comme outil pour poursuivre des objectifs illégaux, tels que la fraude, le trafic de pédopornographie et de propriété intellectuelle, l’usurpation d’identité ou l’atteinte à la vie privée, est en augmentation.
Vous apprendrez comment vous protéger lorsqu’un pirate, déguisé en entité de confiance, peut vous inciter à ouvrir un e-mail, un message instantané ou un message texte pour voler des données d’utilisateur, notamment des identifiants de connexion et des numéros de carte de crédit.
Découvrez également comment ces fraudes sont perpétrées et apprenez comment protéger votre organisation à but non lucratif et les personnes concernées.
Social engineering : l'art de l'influence et de la manipulationChristophe Casalegno
Une chaîne n’est jamais plus solide que son maillon le plus faible, et ce maillon faible, c’est vous, c’est nous tous. Le social engineering ou ingénierie sociale est un ensemble de méthodes et de techniques permettant au travers d’une approche relationnelle basée sur l‘influence et la manipulation, d’obtenir l’accès à un système d’information ou à des informations confidentielles. Dans la pratique, le pirate exploitera les vulnérabilités humaines et sa connaissance de la cible, de ses clients ainsi que de ses fournisseurs et sous-traitants en utilisant la manipulation, la supercherie et l’influence au travers de différents médias de communication, des réseaux sociaux à la rencontre, en passant par l’email et le téléphone.
Je vous propose de découvrir au travers de cette présentation, les grandes lignes directrices des conférences et sessions de sensibilisation que je donne régulièrement dans ce domaine. J’espère que cela vous permettra de mieux comprendre ce qu’est le social engineering, et le danger que peuvent représenter ceux qui le maîtrise pour votre entreprise ou votre organisation et comment vous en protéger.
Six leçons de sécurité de l'information à retenir de « Game of Thrones »
Par Corey Nachreiner - Directeur de la recherche et de la stratégie de sécurité, WatchGuard Technologies
Webinar EEIE #05 - Cybersécurité : Best PracticesGroupe EEIE
L’École Européenne d’Intelligence Économique lance son cinquième webinar avec en intervenant, Frédéric Mouffle, Expert Cybersécurité et Directeur général associé de KER-MEUR.
Le thème : Cybersécurité : Best Practices.
Introduction :
La cybersécurité est un sujet majeur devenu stratégique pour les entreprises mais également pour les utilisateurs.
Nous verrons dans ce webinar, les principaux vecteurs d’attaques et comment s’en prémunir.
En appliquant les « best practices », vous serez a même de pouvoir éviter 95% des menaces.
Les best practices seront abordées, de la robustesse du mot de passe, au chiffrement des données en passant par une politique de sauvegarde efficace.
Retrouvez le Replay de ce webinar à l’adresse suivante : https://www.eeie.fr/webinar-eeie-05-cybersecurite-best-practices/
Toutes les entreprises connectées à internet sont vulnérables aux
cyber attaques. Sans une bonne protection, elles s’exposent à des pertes substantielles. Déployer un programme fiable de gestion des vulnérabilités s’avère donc essentiel. Celui-ci doit couvrir plusieurs aspects, qu'un responsable en cyber sécurité doit toujours garder à l'esprit. Nous vous les présenterons dans ce rapport.
Vous le savez et nous vous l’avons répété de nombreuses fois, il ne faut pas ouvrir des pièces jointes ou cliquer sur des liens provenant d’expéditeurs inconnus. Votre curiosité peut vous jouer de mauvais tours, et cela arrive souvent plus vite que vous ne le pensez. Retour sur les grands pièges liés aux e-mails : aujourd’hui, le phishing et la pièce jointe piégée.
Focus sur la Cybersécurité informatique avec Arrowsoftpolenumerique33
"Focus sur la Cybersécurité informatique" avec Arrowsoft
Pôle Numérique CCI Bordeaux s'est associé à sa façon au mois de la cybersécurité en Europe en organisant le 10 octobre 2014 un atelier sur la "sécurité des échanges de données sur Internet" avec ses partenaires l'Equipe N'Tech du groupement de Gendarmerie Départementale de la Gironde, le Clusir Aquitaine et la société Arrowsoft.
Si l’on faisait un bilan semestriel des principales attaques et risques informatiques auxquels se sont confrontées les organisations en 2016, ce rapport ressemblerait fortement à l’univers de Game of Thrones : complots, trahisons, faux amis sans scrupule et situations inattendues – nous pourrions penser que le monde cyber a servi d’inspiration aux George R. Martin.
L’objectif est de sensibiliser aux menaces et enjeux et d’initier aux principaux concepts de la Cyber Sécurité. Il s’agit de présenter un guide de bonnes pratiques.
Qu'est-ce que la cybersécurité ?
Selon l’ANSSI (Agence nationale de sécurité des systèmes d’information), la cybersécurité est l'"état recherché pour un système d’information lui permettant de résister à des événements issus du cyber espace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles. La cybersécurité fait appel à des techniques de sécurité des systèmes d’information et s’appuie sur la lutte contre la cybercriminalité et sur la mise en place d’une cyber défense."
La sensibilisation à la cybersécurité permet de transformer vos utilisateurs en cyber héros, capables d'identifier et de déjouer les cyber menaces. Elle favorise également l'adoption d'une attitude sécuritaire et une culture qui priorise la protection des données de votre organisation.
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSISNet4All
Swiss Grade Security - 3 octobre 2017 - Lausanne
Le Président du CLUSIS (Association suisse de la sécurité de l’information) présente les résultats d’une étude réalisée par l’Observatoire des Risques Opérationnels. Il redéfinit les termes de « cybercriminalité » et de « hacker », tout en donnant plus d’informations sur ces derniers (motivations, profils, méthodes de repérage…). L’étude donne également la parole aux entreprises, qui avouent ne pas assez investir dans la sécurité informatique. Conscientes de l’évolution du risque pour leurs données, elles attendent un accompagnement de l’Etat pour les guider.
Présentation de Jérôme Bondu, directeur de la société de conseil en veille, intelligence économique et e-reputation INTER-LIGERE.
Présentation réalisée lors du colloque TELMI 2011, le 29 mars 2011 à Lille.
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...Crossing Skills
Si les grandes entreprises ont entrepris de se protéger, les PME sont loin de ces problématiques. Comment les atteindre et les convaincre du risque ? Quelles solutions leur apporter?
Article publié dans La Tribune le 10 février 2015
La maîtrise de la vie privée à l'heure du digitalCHEMISTRY AGENCY
Plus nos vies se digitalisent, plus nos données personnelles circulent. Les consos en prennent peu à peu conscience et leurs inquiétudes montent, face à la multiplication des scandales autour de la vie privée sur internet. Les marques doivent alors changer d'approche face à la "big data" pour (r)établir une véritable relation de confiance.
Ce rapport décrit en détail l'éventail des cyber menaces auxquelles particuliers et entreprises sont confrontés. En nous fondant sur des sources de 2015, nous exposons ici nos remarques concernant les cas connus de malware détectés
par les systèmes de renseignement anti-menace. Nous identifions par ailleurs plusieurs évolutions et tendances clés dans ce domaine.
Les PDG et les RSSI ont besoin d’une solution fiable. En protégeant de manière proactive votre capital, Reveelium change complètement le visage de l’analyse des menaces.
La sécurité informatique c'est avant tout un problème technique. La grande majorité des faiblesses du TI dont se servent les pirates, sont fondées sur l’inconscience des entreprises, utilisateurs, développeurs, cadres, qui pensent que cela n’arrive qu’aux autres… Ce webinaire passe en revue les règles à appliquer pour tenter de se protéger : charte de sécurité imposée, éducation sur les risques encourus, sanctions contre les fautifs, mise en place d’un véritable SSO et fédération d’identités, interdiction du BYOD et BYOA, recours à de véritables spécialistes sécurité dont nous donnerons le profil, recours au Cloud pour les données stratégiques et confidentielles, etc.
Vous souhaitez en apprendre plus sur la cybersécurité? Découvrez notre séminaire ainsi que les cours de préparation à la certification (en anglais uniquement) offerts chez Technologia :
Les tendances des nouvelles technologies de l’information,
Certified Ethical Hacker (CEH), Certified Information Security Manager (CISM), Certified Information Systems Auditor (CISA), CISSP Certification.
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...ASIP Santé
Colloque sur la sécurité des systèmes d’information dans les établissements sanitaires et médico-sociaux - 7 octobre 2015
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger" Olivier PANTALEO, Président et Christophe KICIAK, Directeur associé Offensive security, Provadys - Diaporama
Phishing ? Fraude ? Détournement d'identité ? Cybercriminalité ? Vous devez protéger vos données, votre entreprise, et vos collaborateurs !!! La solution l'offre KASPERSKY en partenariat avec PROJECT SI partenaire certifié en sécurité informatique Informations et version d'essai try and buy au 01 40 96 21 19
De nos jours, même les petites entreprises sont capables de générer d’énormes volumes de données. Heureusement pour elles, la technologie a suivi et, à l’aube de Big Data, nous sommes maintenant en mesure de stocker et d’analyser ces données numériques (lire notre précédent article sur l’Hydre de la cybersécurité et son Big Data Némésis ici). Ce qu’il faut retenir est que, alors que cela peut sembler être une « Big Réponse », nous sommes confrontés à une encore plus « Big Question ».
Admission control adds a desperately needed leg to the security stool. It’s conceptually simple. When a device attempts to connect to a network, we examine that device to verify that it is free of malicious code before we accept a single keystroke from a user at that device. We can verify that all security measures – firewall, antivirus, antispyware, host IDS – are have all the current patches, malware and intrusion signatures, are properly configured and are operating as anticipated. If an endpoint fails to meet these criteria, we can block admission, or quarantine the endpoint to a location on our network where the user can access the resources required to bring the endpoint into compliance.
Un mois après l’attaque du ransomware WannaCry, une variante du ransomware Petya (découvert en 2015) s’est diffusée à très grande vitesse mardi après-midi.
Le logiciel malveillant a touché plus de 2 000 entreprises partout dans le monde en moins de 24 heures et la liste de victimes continue de s’allonger.
De nos jours, les machines qui prennent en charge des tâches mécaniques et répétitives sont devenues les vestiges d’une génération plus ancienne. Nous vivons désormais dans un monde où l’automatisation n’est qu’une simple banalité. Les nouvelles technologies rendent un ordinateur capable d’effectuer de l’apprentissage automatique sur des activités plus complexes – en d’autres mots, des tâches généralement attribuées aux êtres humains. Le moment ne pourrait être mieux choisi pour le domaine tumultueux de la cybersécurité : fini le temps incommensurable dédié à la surveillance des signaux faibles ou à la classification des alertes de type faux-positif !
« RESISTANCE CYBER » est un collectif spontané regroupant chefs d’entreprise en cybersécurité, responsables et représentants de clubs, associations, cluster, référents cyber, journalistes, référents du numérique.
Nous assistons aujourd’hui à de nombreuses discussions et débats dans la communauté des experts en cybersécurité concernant les APT (Advanced Persistent Threats), un sujet controversé et toujours actuel. Certains pensent que leur apparition est due à une farce médiatique qui vise à surévaluer l’impact réel des cyber-attaques, tandis que d’autres restent de vrais croyants. Ces deux parties tentent de saper la crédibilité l’un de l’autre, ce qui rend parfois la définition d’un « APT » difficile.
Il y a deux semaines, un nouvel ‘artefact’ a été révélé ayant pour but de renforcer l’existence des menaces persistantes avancées.
Chaque jour, plus de 400,000 nouveaux types de cyber-malveillances sont répertoriées par des analystes de sécurité. Cela veut dire que chaque minute, plus de 250 nouvelles armes sont lancées dans le cyber-espace. Parfois les modes opératoires utilisés par les pirates se ressemblent énormément les unes aux autres. D’autres fois, les blackhats font plus preuve d’originalité dans leur quête des territoires inconnus…
While technological advances say they are on the brink of achieving that perfect artificial intelligence, we are not quite there yet. Fortunately for us, an AI does not need to be irreproachable, just better than a human. Take connected cars, for instance. An AI-based driver may not be mistake-proof, but it is certainly less imperfect than a human driver.
This is very much the case in cybersecurity where IT experts are changing the rules of the game using Machine Learning.
« RESISTANCE CYBER » est un collectif spontané regroupant chefs d’entreprise en cybersécurité, responsables et représentants de clubs, associations, cluster, référents cyber, journalistes, référents du numérique.
« RESISTANCE CYBER » est un collectif spontané regroupant chefs d’entreprise en cybersécurité, responsables et représentants de clubs, associations, cluster, référents cyber, journalistes, référents du numérique.
« RESISTANCE CYBER » est un collectif spontané regroupant chefs d’entreprise en cybersécurité, responsables et représentants de clubs, associations, cluster, référents cyber, journalistes, référents du numérique.
« RESISTANCE CYBER » est un collectif spontané regroupant chefs d’entreprise en cybersécurité, responsables et représentants de clubs, associations, cluster, référents cyber, journalistes, référents du numérique.
Gardez à l’esprit que la détection d’anomalies et la compréhension d’un comportement malveillant, ainsi que la détection de menaces, sont des activités ayant pour but des objectifs très différents.
Pour assurer l’avenir de la cybersécurité, nous aurons besoin des deux.
Global Security Mag a annoncé la semaine dernière qu’un ransomware avait touché le système de santé publique du Royaume-Uni. Les données personnelles des patients étaient la cible de cette infection. Les résultats de l’investigation ont révélé qu’il s’agissait d’un malware jamais détecté auparavant.
The database management system MongoDB is currently being downloaded at an impressive rate: approximately 30 000 times per day. Widely spread, this open source software is today the talk of the town because of a hacking wave that, according to some, was to be expected sooner or later.
Whether you’re loyal to Microsoft’s Internet Explorer, or whether you opt for one of the the dozens of other web browsers available to download and use for free out there (such as Google Chrome, Opera, Mozilla’s Firefox or Mac Safari), you are probably using your preferred browser to access both personal and professional websites. These wondrous tools that are part of our daily (digital) lives can now replace other existing software thanks to something called an extension.
1. La cible humaine derrière la machine
2016 se révéle être l’année de l’extorsion en ligne (citation CNN). De nombreuses infrastructures
publiques se sont trouvés dans l’incapacité de fonctionner correctement après avoir eu leurs données
prises en otage (voir notre précédent article sur ‘Le piratage de données frappe de nouveau’ ici).
Depuis le début de Février les journalistes du monde entier n’ont cessé de rapporté les cas d’attaque
de type ransomware, illustrant à quel point cette nouvelle vague de logiciels malveillants est
dangereuse. Phishing, cryptage, chantage – toutes les phases typiques d’un rançongiciel, conçues
différemment d’un pirate à l’autre. Mais à la fin de la journée, un seul facteur est commun dans toutes
ces équations : l’humain derrière la machine.
Cela étant dit, plutôt que d’accepter cette année comme étant celle où nous nous avons été dupés
par Locky, Petya et tous ces autres méchants, pourquoi ne pas faire de cette année celle où nous
avons finalement réalisé que le maillon faible dans la cybersécurité est, et a toujours été, le facteur
humain – la génération Y, nous qui sommes nés dans ce monde et considérés comme ‘technophiles’.
En tant qu’utilisateurs d’appareils intelligents, tout le monde recherche nos conseils. Vous avez tous
probablement un proche, « âgé », qui vous a un jour demandé de « réparer » son ordinateur, utilisant
le prétexte peu crédible de prendre un café ensemble. Nous sommes ceux qui devraient être les
«plombiers» numériques de cette époque, débouchant les systèmes sans aucune instruction formelle,
juste en utilisant la barre de recherche. Eh bien, je dis qu’il est temps que nous admettions, devant
les autres ainsi qu’à nous-mêmes que nous ne sommes pas les experts en sécurité que nous pensions
être.
Le monde numérique a évolué au-delà de notre imagination. Voilà pourquoi, aujourd’hui, nous avons
des experts spécialisés dans tous les domaines liés au cyber. Et la première chose que ces futurs
professionnels apprennent est que les bonnes pratiques de sécurité doivent être encouragées
individuellement. Autrement dit, le changement commence avec nous, qu’on parle d’aller à la salle de
sport régulièrement ou de l’apprentissage des meilleures pratiques en cybersécurité.
Dans notre quête chez ITrust pour atteindre une cyber-conscience, nous insistons souvent sur
l’importance de reconnaître que, dans la sécurité numérique, il n’y a pas de place pour la vulnérabilité
humaine. Pour la simple et bonne raison que les esprits sont souvent plus faciles à cracker que les
codes. Prenez l’ingénierie sociale, par exemple, une technique qui ne provient pas du cyber-
environnement, mais qui a rapidement appris comment tirer parti des faiblesses humaines. Les
ingénieurs sociaux ont toujours été parmi nous – le couple qui s’incruste au mariage de votre cousin,
vous vous en rappelez ? En fait, ces individus ont réussi à entrer dans un «système» prédéfini sans
exploiter ses vulnérabilités, juste parce que l’un d’eux ressemblait à l’ami de l’époux.
De même, dans le cyber-monde, les pirates ne se contentent pas de cracker des mots de passe toute
la journée, ils peuvent aussi «cracker» des personnes influentes… avec des données sensibles.
2. Ce qui devrait vous inquiéter est que ces «filous» ont déjà saisi à quel point il est facile de pirater un
être humain en se basant sur les ‘5I’: Ignorance, Impatience, Imprudence, Indolence et Innocence.
Les ingénieurs sociaux vont essayer d’aller aussi loin que possible en manœuvrant leur chemin autour
de ces faiblesses. Malheureusement, même une petite erreur peut entraîner des situations telles que
celle ou s’est trouvée Amazon. Tout à commencé lorsqu’un représentant des ventes fut berné par un
pseudo-client, en réalité un pirate se cachait derrière. Le pirate n’a pas eu à chercher bien loin :
utilisant une adresse email publique, il (ou elle) a obtenu un maximum d’informations. Mauvaise note
en sécurité pour Amazon dans ce cas là. L’employé a démontré 3 des 5 faiblesses de la liste, en
faisant preuve d’ignorance face de la demande bizarre ainsi que d’innocence et d’imprudence en
partageant des informations confidentielles sans confirmation solide de l’identité du demandeur.
Il est important de se rappeler que l’ingénierie sociale peut tirer profit de nous tous, que ce soit en
personne, par téléphone ou de manière digitale. Voir plus dans l’image ci-dessous :
3. Après cette lecture, vous pouvez probablement imaginer un scénario d’ingénierie sociale typique : un
homme entre dans les locaux de votre entreprise en se faisant passer pour le ‘gars du support
technique’. Personne ne le connait, mais personne ne prête vraiment attention à lui non plus. Il se
déplace facilement d’un bureau à l’autre et obtiens l’accès aux postes de travail du personnel crédule.
Imaginez que cet individu accède à l’endroit où les infrastructures de réseau (commutateur, pare-feu,
etc.) sont conservées et qu’il se connecte au réseau de l’entreprise en utilisant l’un d’entre eux. Tout
cela parce que personne n’a pas pris la peine de vérifier.
Les ingénieurs sociaux sont les escrocs de la cybersécurité. Ils sont là depuis longtemps et, tant que
nous continuerons à ignorer notre part de responsabilité dans l’histoire, ils sont parti pour rester. Vous
pensez peut-être que vous n’avez rien à cacher, mais les pirates volent des identités, aussi souvent
qu’ils cherchent des données sensibles. De toute façon, votre personnage ou vos informations vont
être utilisées par des tiers malveillants. Est-ce vraiment la position dans laquelle vous voulez être ?
Arrêtez d’écrire toutes vos mots de passe sur un post-it et participez à la croisade de cyber-
sensibilisation. Ouvrez vos yeux à ceux qui vous entourent, physiquement ou numériquement. Soyez
sceptique et posez les bonnes questions. Ne soyez pas juste un autre spectateur.
Construit autour d’un groupe d’experts en sécurité et de pentesters, ITrust fournit des conseils et de
la formation spécialisée dans les meilleures pratiques en cybersécurité, pour accompagner les
utilisateurs à accéder à une cyber-conscience élevée. La semaine dernière, nous avons lancé une
étude en collaboration avec Digital Place afin d’obtenir une image plus claire de la façon dont la
cybersécurité est perçue par les entreprises. Avez vous une opinion à partager ? Remplissez notre
questionnaire ici.
Liens :
https://www.reveelium.com/fr/target-human-behind-machine/
https://www.itrust.fr/homme-derriere-la-machine