Protégez-vous de vos utilisateurs !
Pour les vilains du Net, il est de plus en plus difficile de pénétrer ex abrupto dans les systèmes d’information des entreprises. Celles-ci ont appris, souvent à leurs dépens, qu’il était bon de se protéger. Aujourd’hui, seule une minorité d’entre elles n’ont pas de bouclier contre les nuisances provenant d’Internet avec le célèbre triptyque, antispam, antivirus et firewall. Certaines doublent cette protection sur deux niveaux : les serveurs et les postes clients. Mais si elles sont protégées a minima contre les menaces extérieures, elles restent souvent sans défense contre l’ennemi intérieur ou lorsque l’attaquant a pénétré ce premier périmètre de défense. Ainsi, près de 70 à 80 % des nuisances proviennent de malveillances ou d’erreurs internes à l’entreprise. On peut y ajouter les comportements dangereux ou le glissement des attaques qui ciblent de mieux en mieux les employés des entreprises comme les particuliers.
Des attaques visant les individus
Pour pénétrer dans le système d’information d’une entreprise, il est plus simple de le faire avec les mots de passe et codes confidentiels que d’essayer de passer en force. Les hackers l’ont bien compris et ne s’escriment plus à passer les différentes barrières mises en place par les services informatiques. Ils disposent pour cela de différentes armes bien plus efficaces, tournant autour de la problématique de récupération de données sensibles visant à usurper l’identité d’un utilisateur…
Pour pénétrer dans le système d’information d’une entreprise, il est plus simple de le faire avec les mots de passe et codes confidentiels que d’essayer de passer en force. Les hackers l’ont bien compris et ne s’escriment plus à passer les différentes barrières mises en place par les services informatiques. Ils disposent pour cela de différentes armes bien plus efficaces, tournant autour de la problématique de récupération de données sensibles visant à usurper l’identité d’un utilisateur…
Les extensions du spam
Ce type d’attaques se répand sur d’autres supports. Ainsi, dans son dernier rapport, le Clusif, organisme de veille sur la sécurité, voit comme tendance 2007 l’extension du spam aux plates-formes de VoIP connue sous l’acronyme de Spit (SPam over Ip Telephony) ! Ces attaques se comportent comme des attaques de spams, mais sur des téléphones VoIP. Un vrai bonheur, lorsqu’on décroche, de se voir infliger un SMS ou un message vocal proposant de petites pilules bleues pour assurer un bon équilibre sexuel…
Ce type d’attaques se répand sur d’autres supports. Ainsi, dans son dernier rapport, le Clusif, organisme de veille sur la sécurité, voit comme tendance 2007 l’extension du spam aux plates-formes de VoIP connue sous l’acronyme de Spit (SPam over Ip Telephony) ! Ces attaques se comportent comme des attaques de spams, mais sur des téléphones VoIP. Un vrai bonheur, lorsqu’on décroche, de se voir infliger un SMS ou un message vocal proposant de petites pilules bleues pour assurer un bon équilibre sexuel…
L’exploitation des données du spam
Ces méthodes de spam ou de phishing, en routant un utilisateur vers un faux site Web, ont pour but de récupérer des informations confidentielles pour les utiliser. Le but des hackers est aujourd’hui de faire de l’argent. Avec ces codes, ils souhaitent pouvoir extorquer de l’argent directement ou blanchir des sommes frauduleuses déjà récupérées…
Ces méthodes de spam ou de phishing, en routant un utilisateur vers un faux site Web, ont pour but de récupérer des informations confidentielles pour les utiliser. Le but des hackers est aujourd’hui de faire de l’argent. Avec ces codes, ils souhaitent pouvoir extorquer de l’argent directement ou blanchir des sommes frauduleuses déjà récupérées…
Le vol d’identité
Autre tendance forte, les données récupérées servent à se substituer à une personne ou à une entreprise pour effectuer différentes opérations financières. Ainsi, on récupère l’identité électronique et les éléments probants de l’identité et des hackers ouvrent des prêts, effectuent des achats d’actions en ligne, vident votre compte en banque…
Le phénomène est quasiment endémique dans certains pays et, régulièrement, les journaux se font l’écho de détournements d’identités à grande échelle. Récemment, la sauvegarde d’un établissement canadien s’est « perdue » entre Montréal et Toronto. Elle comprenait les codes et identifications de nombreux clients. Elles vont certainement alimenter le marché de ceux qui profitent de fausses identités sur le Net. Aux États-Unis, le mal est omniprésent avec près de 10 millions de victimes chaque année. La facture pour l’économie américaine a été estimée à 50 milliards de dollars par la Federal Trade Commission…
Autre tendance forte, les données récupérées servent à se substituer à une personne ou à une entreprise pour effectuer différentes opérations financières. Ainsi, on récupère l’identité électronique et les éléments probants de l’identité et des hackers ouvrent des prêts, effectuent des achats d’actions en ligne, vident votre compte en banque…
Le phénomène est quasiment endémique dans certains pays et, régulièrement, les journaux se font l’écho de détournements d’identités à grande échelle. Récemment, la sauvegarde d’un établissement canadien s’est « perdue » entre Montréal et Toronto. Elle comprenait les codes et identifications de nombreux clients. Elles vont certainement alimenter le marché de ceux qui profitent de fausses identités sur le Net. Aux États-Unis, le mal est omniprésent avec près de 10 millions de victimes chaque année. La facture pour l’économie américaine a été estimée à 50 milliards de dollars par la Federal Trade Commission…
Comment faire face ?
La sécurité devient un véritable enjeu pour les entreprises devant les sommes qu’elles engagent pour se protéger et sur les répercussions qu’un incident peut avoir sur leur activité. Souvent, il faut reconnaître que la sensibilisation dans les entreprises se résume, au mieux, à la charte de l’utilisation d’Internet que l’employé lit lors de son arrivée dans l’entreprise. Comme le permis de conduire, il oublie vite ce qu’il a appris pour retrouver ses comportements habituels. Une véritable politique de sensibilisation vers les utilisateurs doit donc être mise en place en concertation avec ceux-ci. Montrer les conséquences ou expliquer dans quels cas la responsabilité de l’employé peut être engagée sont souvent suffisants pour modifier certains comportements. Cette sensibilisation doit cependant se faire dans le cadre du code du travail et ne pas ressembler à un « flicage » inconsidéré de l’employé…
La sécurité devient un véritable enjeu pour les entreprises devant les sommes qu’elles engagent pour se protéger et sur les répercussions qu’un incident peut avoir sur leur activité. Souvent, il faut reconnaître que la sensibilisation dans les entreprises se résume, au mieux, à la charte de l’utilisation d’Internet que l’employé lit lors de son arrivée dans l’entreprise. Comme le permis de conduire, il oublie vite ce qu’il a appris pour retrouver ses comportements habituels. Une véritable politique de sensibilisation vers les utilisateurs doit donc être mise en place en concertation avec ceux-ci. Montrer les conséquences ou expliquer dans quels cas la responsabilité de l’employé peut être engagée sont souvent suffisants pour modifier certains comportements. Cette sensibilisation doit cependant se faire dans le cadre du code du travail et ne pas ressembler à un « flicage » inconsidéré de l’employé…
Article complet: linformaticien.com/dossiers/
Aucun commentaire:
Enregistrer un commentaire