Le social engineering, pilier des stratégies de sécurité IT

Construire une stratégie de sécurité IT efficace est un processus à plusieurs niveaux, qui combine technologie, processus et personnes. Une bonne stratégie devrait s’appuyer sur les personnes pour bâtir l’écosystème de la sécurité; le social engineering doit permettre d’en tester et d’en évaluer le succès. Aspect souvent négligé mais extrêmement précieux quand on sait s’en servir, le social engineering peut s’avérer très utile en ces temps de numérisation et de télétravail. Il est donc essentiel d’en comprendre les enjeux.

Avant même que la pandémie ne change notre façon de travailler et n’augmente le temps passé en ligne, les éléments humains de nos réseaux étaient importants, mais ils étaient ignorés et souvent qualifiés de maillon faible. Maintenant plus que jamais, nous devons prendre conscience de l’importance du capital humain, et de son rôle considérable pour garantir la sécurité de nos réseaux. Avec le support adéquat et une prise de conscience appropriée, ceux qui étaient perçus comme des maillons faibles pourraient devenir notre grande force. Nous avons la possibilité de mesurer l’efficience des stratégies appliquées en nous appuyant sur la technologie, les processus et des méthodes de sensibilisation.

Nous pourrions appeler les humains la 8e couche du modèle OSI, c’est-à-dire une couche de communication IT supplémentaire. En plus du câblage physique et des applications, nous devrions donc aussi ajouter l’élément humain. Je pense qu’il est important de commencer à introduire l’élément humain dans nos stratégies de sécurité. Mais je crois également que cet élément est présent dans chaque couche du modèle OSI. Car ce sont des personnes qui installent les câbles, hubs et répéteurs dans nos réseaux, qui configurent les switches et les bridges, qui conçoivent l’architecture des services, qui se chargent de la configuration, du déploiement et de la maintenance... et qui mettent ces services à l’arrêt. Enfin, ce sont également eux qui codent et qui testent les applications web.

Si un élément humain intervient à chaque niveau, nous devrions traiter la sécurité selon un modèle holistique, qui considère les utilisateurs comme une partie de notre capital, les intègre à notre environnement de menaces et prend en compte leurs vulnérabilités. Nous devons aussi mieux comprendre comment trouver des solutions – de la même manière que nous le ferions pour tout autre élément de notre réseau.

Selon le rapport IBM X-Force Threat Intelligence Index de 2020^[1], les menaces internes – notamment les employés de l’entreprise qui compromettent involontairement les systèmes – auraient porté atteinte à plus de 8,5 milliards de données en 2019, un chiffre plus de 200% supérieur au nombre de données perdues en 2018. Cette statistique ne peut pas être ignorée et doit impérativement être ajoutée à notre environnement de menaces. Un tiers de tous les vecteurs d’attaque initiaux passe par un humain. Mais comme le dit Ira Winkler dans sa conférence The Human Exploitation Kill Chain^[2], il existe au moins 10 possibilités de stopper une attaque de phishing et seules 2 d’entre elles dépendent de l’utilisateur.

Avant qu’un e-mail au contenu malveillant atteigne un utilisateur, nos appareils périphériques devraient être configurés pour le filtrer: nos serveurs et nos applications e-mail devraient détecter, trier et mettre en quarantaine les e-mails de phishing. Si un tel e-mail parvient tout de même au destinataire et que celui-ci l’ouvre, un message devrait l’avertir qu’il ne doit pas cliquer sur les pièces jointes ou sur les liens qui le redirigent vers des sites malveillants. Nos outils devraient empêcher le chargement de programmes malveillants et l’envoi de données à des tiers, utiliser des systèmes DLP, détecter les enregistreurs de frappe, etc. Et si tout ce qui précède échoue, nos outils réseau devraient pouvoir déceler les attaques, qu’elles aient abouti ou non, et être capables d’écarter et de signaler immédiatement toute tentative suspecte. Par conséquent, si nous utilisons correctement ces technologies et que nous mettons en œuvre les processus correspondants, nous devrions aussi nous concentrer sur nos utilisateurs – notre capital humain.

Toutes ces considérations sont vraies dans un environnement de travail où nos appareils sont connectés à des réseaux d’entreprises sécurisés de manière professionnelle. Or dans notre nouvelle réalité, les menaces sont encore plus grandes, car nous avons été catapultés dans un monde où la numérisation est très poussée. En effet, nous avons transféré nos bureaux dans nos maisons, sur des réseaux non sécurisés, souvent sur des appareils personnels et des environnements physiques qui ne respectent pas nécessairement les meilleures pratiques en termes de protection des données.

Je suis intimement convaincue que toute personne qui gère des employés devraient suivre une formation sur les menaces internes: comment les prévenir, les éviter et y remédier. Nous devons apprendre à repérer les signes de menaces involontaires, à protéger nos appareils, notre technologie et nos machines. Nous devons aussi apprendre à protéger notre personnel, assurer un environnement de travail sécurisé où il est possible de s’épanouir, réduire la rotation du personnel, et investir dans la formation de nouveaux employés tout en évitant de perdre ceux qui sont hautement qualifiés.

À l’origine, l’industriel néerlandais J.C. Van Marke a utilisé le terme «sociale ingenieurs» (ingénieurs sociaux) dans un essai de 1894. L’idée était que les employeurs modernes avaient besoin de l’assistance de spécialistes pour traiter les défis humains, de la même manière que l’expertise technique (ingénieurs traditionnels) était nécessaire pour traiter les défis non humains (matériel, machines, processus)^[3]. Pour les besoins de cet article, nous considérerons le «social engineering» comme une manière de comprendre, d’améliorer et d’entretenir les stratégies de sécurité IT.

Le social engineering est souvent perçu comme trop agressif. De nombreux clients nous disent que les employés sont rarement sensibilisés à la question du social engineering car on suppose à tort qu’il s’agit d’une perte d’argent et que l’objectif consiste uniquement à mettre en évidence les lacunes. Pourtant, plusieurs anciens clients qui avaient changé leurs stratégies pour inclure une formation en social engineering nous ont rapporté que leurs employés étaient devenus des maillons forts de leurs réseaux en se formant, en testant et en acquérant une nouvelle compréhension des formes que pouvaient revêtir les menaces. Nous effectuons par ailleurs des exercices d’alerte par équipes et des simulations d’incidents pour tester la capacité d’un client à se défendre face à des attaques ciblées. Les exercices de social engineering sont développés comme une imitation de l’ennemi dans le cadre d’un scénario prédéfini, utilisé pour construire et promouvoir un comportement particulier. Les employés peuvent ainsi développer les compétences et la compréhension nécessaires pour reconnaître d’éventuels intrus. Par ailleurs, miser sur le social engineering donne aux employés les outils appropriés pour reconnaître les e-mails douteux qui semblent par exemple provenir d’un cadre de l’entreprise ou demandent de transférer une grosse somme d’argent. Grâce à ces exercices, les employés sont en mesure d’y voir clair lorsqu’une personne qui prétend travailler au siège de l’entreprise et pose des questions suspectes a en fait l’intention de leur soutirer des informations. 

Contrairement à une opinion largement répandue, les bonnes pratiques du social engineering consistent à enseigner, soutenir et développer les compétences des personnes. Il ne s’agit pas d’effrayer les gens, mais de leur fournir un jeu de compétences additionnelles pour protéger l’entreprise et se protéger eux-mêmes. Je tiens d’ailleurs à féliciter ceux qui ont pris l’initiative de demander à notre consultant en social engineering des précisions sur son identité et qui, conformément au processus, l’ont conduit à la réception ou auprès de leur supérieur. Je m’efforce de réaliser des séances de sensibilisation où il ne suffit pas d’enchaîner les clics dans un exercice qui atteste que le participant a réussi le test de conformité en matière de sécurité. Je veux mettre les employés au défi de crocheter leurs propres serrures pour qu’ils comprennent à quel point il est facile de forcer des armoires et réalisent l’importance de ne pas laisser traîner des documents confidentiels.

Tout comme nous définissons notre environnement de menaces dans un réseau IT normal, nous devrions analyser régulièrement nos réseaux humains afin de définir l’étendue de notre environnement de menaces et de délimiter la surface d’attaque liées aux vulnérabilités humaines. Et de la même manière que nous déterminons quels sont les atouts les plus précieux de notre entreprise (recherche et développement, informations sensibles protégées par des brevets, système protégeant tout l’argent de la société), nous devons comprendre quels sont nos atouts humains – par exemple les cadres dirigeants ou simplement les personnes qui ont accès aux trésors matériels que nous venons de mentionner. Ces informations sont utilisées non seulement pour comprendre les humains, mais aussi pour savoir dans quelle mesure nous devons reconfigurer nos réseaux IT et comment nous pouvons renforcer les processus et les procédures pour constituer un écosystème sécurisé. Nous aurons ainsi les cartes en mains pour adapter notre stratégie de sécurité IT et veiller à ce qu’elle réponde parfaitement à nos besoins.

Sources:

Connecta n’aura malheureusement pas lieu comme prévu. Sarka Pekarova aurait dû faire partie des 80 intervenants. Un programme alternatif vous attend avec Connecta TV, Connecta Dok et Connecta Talk. Pour en savoir plus: www.post.ch/connecta.