ITrust fournit une formation spécialisée dans les meilleures pratiques en cybersécurité, pour accompagner les utilisateurs à accéder à une cyber-conscience élevée.

1. La cible humaine derrière la machine
2016 se révéle être l’année de l’extorsion en ligne (citation CNN). De nombreuses infrastructures
publiques se sont trouvés dans l’incapacité de fonctionner correctement après avoir eu leurs données
prises en otage (voir notre précédent article sur ‘Le piratage de données frappe de nouveau’ ici).
Depuis le début de Février les journalistes du monde entier n’ont cessé de rapporté les cas d’attaque
de type ransomware, illustrant à quel point cette nouvelle vague de logiciels malveillants est
dangereuse. Phishing, cryptage, chantage – toutes les phases typiques d’un rançongiciel, conçues
différemment d’un pirate à l’autre. Mais à la fin de la journée, un seul facteur est commun dans toutes
ces équations : l’humain derrière la machine.
Cela étant dit, plutôt que d’accepter cette année comme étant celle où nous nous avons été dupés
par Locky, Petya et tous ces autres méchants, pourquoi ne pas faire de cette année celle où nous
avons finalement réalisé que le maillon faible dans la cybersécurité est, et a toujours été, le facteur
humain – la génération Y, nous qui sommes nés dans ce monde et considérés comme ‘technophiles’.
En tant qu’utilisateurs d’appareils intelligents, tout le monde recherche nos conseils. Vous avez tous
probablement un proche, « âgé », qui vous a un jour demandé de « réparer » son ordinateur, utilisant
le prétexte peu crédible de prendre un café ensemble. Nous sommes ceux qui devraient être les
«plombiers» numériques de cette époque, débouchant les systèmes sans aucune instruction formelle,
juste en utilisant la barre de recherche. Eh bien, je dis qu’il est temps que nous admettions, devant
les autres ainsi qu’à nous-mêmes que nous ne sommes pas les experts en sécurité que nous pensions
être.
Le monde numérique a évolué au-delà de notre imagination. Voilà pourquoi, aujourd’hui, nous avons
des experts spécialisés dans tous les domaines liés au cyber. Et la première chose que ces futurs
professionnels apprennent est que les bonnes pratiques de sécurité doivent être encouragées
individuellement. Autrement dit, le changement commence avec nous, qu’on parle d’aller à la salle de
sport régulièrement ou de l’apprentissage des meilleures pratiques en cybersécurité.
Dans notre quête chez ITrust pour atteindre une cyber-conscience, nous insistons souvent sur
l’importance de reconnaître que, dans la sécurité numérique, il n’y a pas de place pour la vulnérabilité
humaine. Pour la simple et bonne raison que les esprits sont souvent plus faciles à cracker que les
codes. Prenez l’ingénierie sociale, par exemple, une technique qui ne provient pas du cyber-
environnement, mais qui a rapidement appris comment tirer parti des faiblesses humaines. Les
ingénieurs sociaux ont toujours été parmi nous – le couple qui s’incruste au mariage de votre cousin,
vous vous en rappelez ? En fait, ces individus ont réussi à entrer dans un «système» prédéfini sans
exploiter ses vulnérabilités, juste parce que l’un d’eux ressemblait à l’ami de l’époux.
De même, dans le cyber-monde, les pirates ne se contentent pas de cracker des mots de passe toute
la journée, ils peuvent aussi «cracker» des personnes influentes… avec des données sensibles.

2. Ce qui devrait vous inquiéter est que ces «filous» ont déjà saisi à quel point il est facile de pirater un
être humain en se basant sur les ‘5I’: Ignorance, Impatience, Imprudence, Indolence et Innocence.
Les ingénieurs sociaux vont essayer d’aller aussi loin que possible en manœuvrant leur chemin autour
de ces faiblesses. Malheureusement, même une petite erreur peut entraîner des situations telles que
celle ou s’est trouvée Amazon. Tout à commencé lorsqu’un représentant des ventes fut berné par un
pseudo-client, en réalité un pirate se cachait derrière. Le pirate n’a pas eu à chercher bien loin :
utilisant une adresse email publique, il (ou elle) a obtenu un maximum d’informations. Mauvaise note
en sécurité pour Amazon dans ce cas là. L’employé a démontré 3 des 5 faiblesses de la liste, en
faisant preuve d’ignorance face de la demande bizarre ainsi que d’innocence et d’imprudence en
partageant des informations confidentielles sans confirmation solide de l’identité du demandeur.
Il est important de se rappeler que l’ingénierie sociale peut tirer profit de nous tous, que ce soit en
personne, par téléphone ou de manière digitale. Voir plus dans l’image ci-dessous :

3. Après cette lecture, vous pouvez probablement imaginer un scénario d’ingénierie sociale typique : un
homme entre dans les locaux de votre entreprise en se faisant passer pour le ‘gars du support
technique’. Personne ne le connait, mais personne ne prête vraiment attention à lui non plus. Il se
déplace facilement d’un bureau à l’autre et obtiens l’accès aux postes de travail du personnel crédule.
Imaginez que cet individu accède à l’endroit où les infrastructures de réseau (commutateur, pare-feu,
etc.) sont conservées et qu’il se connecte au réseau de l’entreprise en utilisant l’un d’entre eux. Tout
cela parce que personne n’a pas pris la peine de vérifier.
Les ingénieurs sociaux sont les escrocs de la cybersécurité. Ils sont là depuis longtemps et, tant que
nous continuerons à ignorer notre part de responsabilité dans l’histoire, ils sont parti pour rester. Vous
pensez peut-être que vous n’avez rien à cacher, mais les pirates volent des identités, aussi souvent
qu’ils cherchent des données sensibles. De toute façon, votre personnage ou vos informations vont
être utilisées par des tiers malveillants. Est-ce vraiment la position dans laquelle vous voulez être ?
Arrêtez d’écrire toutes vos mots de passe sur un post-it et participez à la croisade de cyber-
sensibilisation. Ouvrez vos yeux à ceux qui vous entourent, physiquement ou numériquement. Soyez
sceptique et posez les bonnes questions. Ne soyez pas juste un autre spectateur.
Construit autour d’un groupe d’experts en sécurité et de pentesters, ITrust fournit des conseils et de
la formation spécialisée dans les meilleures pratiques en cybersécurité, pour accompagner les
utilisateurs à accéder à une cyber-conscience élevée. La semaine dernière, nous avons lancé une
étude en collaboration avec Digital Place afin d’obtenir une image plus claire de la façon dont la
cybersécurité est perçue par les entreprises. Avez vous une opinion à partager ? Remplissez notre
questionnaire ici.
Liens :
https://www.reveelium.com/fr/target-human-behind-machine/
https://www.itrust.fr/homme-derriere-la-machine