MONASTUCE Le 1er blog ivoirien dédié à la sécurité informatique et à la cybersécurité
Tous les humains font des erreurs. Et l’un des résultats les plus intrigants du «Cyber Security Intelligence Index» est que 95% de tous les incidents de sécurité impliquent une erreur humaine. Nombre d’entre elles sont des attaques externes de sécurité réussies qui visent les faiblesses humaines des employés au sein d’organisations, afin de les pousser à fournir involontairement un accès à des informations sensibles.
Ces erreurs sont coûteuses car elles impliquent des employés qui ont souvent accès aux informations les plus sensibles. Selon une étude de Federal Computer Week citée dans un récent rapport Vormetric, le succès des attaques contre la sécurité impliquant des employés est la divulgation de données sensibles, le vol de propriété intellectuelle et l’introduction de logiciels malveillants. L’étude a également révélé que 59% des répondants s’accordaient pour dire que la plupart des menaces à la sécurité des technologies de l’information qui résultent directement d’employés sont le résultat d’erreurs innocentes plutôt que d’un abus malveillant de privilèges.
Afin de prendre des mesures appropriées, il est nécessaire de connaître les pièges les plus classiques dans lesquels tombent les collaborateurs et savoir repérer parmi ces derniers ceux qui ont des intentions malveillantes; alors consultez la liste des 12 failles humaines de la sécurité IT.
1- La connexion d’une clé USB inconnue
La curiosité pousse certaines personnes à connecter à leur ordinateur des clés USB trouvées par hasard, sans en connaître l’origine. Un cybercriminel dispose pourtant de multiples opportunités avec une simple clé USB. Il peut par exemple utiliser un fichier infecté pour accéder à des données et des mots de passe ou exploiter une faille sans correctif connu et en faire profiter son réseau. Il peut même configurer une clé USB pour que celle-ci se fasse passer auprès de l’ordinateur pour un clavier qui exécute des commandes via des entrées de touches simulées. On appelle ça le HID Spoofing.
Comment s’en protéger: Ne branchez que les clés que vous savez sûres.
2- La revente des données de l’entreprise
Toute personne qui a déjà travaillé dans un département R&D sait à quel point les données de l’entreprise ont de la valeur. Vendre des plans, des recettes, des schémas de développement ou autres secrets business à des concurrents peut représenter une affaire en or pour les employés. Un collaborateur mécontent, une impulsion criminelle et une opportunité de transfert de données, des ingrédients suffisants pour entraîner une entreprise dans une situation de crise.
Comment s’en protéger: Assurez-vous de limiter certains accès importants à un cercle restreint et n’oubliez pas de modifier les accès immédiatement après le départ d’un collaborateur. Segmenter votre réseau peut aussi limiter les dégats.
3- Voler des données clients lors d’un changement d’employeur
Dans certains secteurs, c’est une pratique courante de prendre des données clients sensibles d’un employeur pour les emmener vers un autre. L’exemple classique est un responsable des ventes embauché chez un concurrent et qui revient peu de temps après vers ses anciens clients pour refaire des affaires. Cela peut paraître anodin, mais il s’agit pourtant bien d’un vol de données, pas moins grave que si l’employé conservait un ordinateur portable et la voiture de l’entreprise à la fin de son contrat de travail.
Comment s’en protéger: Même conseil, assurez-vous de limiter certains accès importants à un cercle restreint et n’oubliez pas de modifier les accès immédiatement après le départ d’un collaborateur. Segmenter votre réseau peut aussi limiter les dégats.
4- Le confort l’emporte sur la sécurité
L’inconvénient d’installer des mises à jour Windows ou Mac, c’est qu’il faut redémarrer l’ordinateur. Quant aux scans anti-virus, ils ont tendance à ralentir la machine. Certains collaborateurs préfèrent donc se passer totalement de tels processus. S’il est possible pour eux de désactiver les mises à jour ou les anti-virus, ils n’hésiteront pas à le faire et la sécurité IT en souffrira grandement !
Comment s’en protéger: Sensibliser les employés sur l’importance des mises à jours et/ou limiter les rôles des employés afin d’éviter qu’ils désactivent les mises à jour.
5- La fraude au président
Cette arnaque consiste généralement pour un escroc à se faire passer pour le patron d’une entreprise par téléphone ou email et faire en sorte qu’un employé transfère une grosse somme d’argent vers un pays étranger. Le collaborateur embrouillé par l’autorité de son interlocuteur approuve ainsi la transaction. Cette escroquerie peut causer des dommages de plusieurs millions avec des conséquences parfois lourdes pour les entreprises touchées et les employés dupés.
Comment s’en protéger: Ne pas se laisser berner, rester en alerte et ne jamais négliger ou oublier le protocole de sécurité.
6- Les téléchargements et streaming non protégés
La plupart des employés ont un accès direct à Internet sur leur lieu de travail. Et malgré l’amélioration constante des systèmes de sécurité IT et des filtres web, certains collaborateurs, pourtant expérimentés et avec une bonne connaissance IT, trouvent tout de même le moyen d’accéder à des contenus à risque. Certains d’entre eux n’hésitent pas à streamer des films récents le soir sans surveillance ou à télécharger une masse de fichiers douteux, potentiellement malveillants.
Comment s’en protéger: Limitez l’accès à certains site web et installez un pare-feu.
7- Les incidents de sécurité dissimulés
Dans 40% des entreprises dans le monde, des collaborateurs ont déjà caché sous le tapis des incidents liés à la sécurité IT (sondage Kaspersky/B2B International auprès de 5000 entreprises). Ces incidents de sécurité peuvent être des escroqueries ou des attaques de Malware, ayant entraîné des transferts de programmes malveillants sur l’ordinateur du collaborateur. Si un employé concerné garde le silence à propos de cet incident, le code malveillant peut se propager sur le réseau de l’entreprise.
Comment s’en protéger: Sensibilisez vos employés
8- Le BYOD (Bring Your Own Device!)
Quand les collaborateurs apportent leurs propres appareils mobiles dans l’entreprise, c’est le diable qui entre ! Les données sensibles de l’entreprise transitent ainsi sur des smartphones privés, sans pour autant que ceux-ci soient sécurisés. Un smartphone sur lequel des chiffres de ventes récents sont transférés dans l’après-midi peut ainsi être pris en main dans un bar le soir-même pour une séance photos des dernières vacances. Et la perte possible d’un appareil mobile peut être problématique : d’après une étude, plus de la moitié de tous les incidents de sécurité dans les entreprises seraient causés par la perte de tels appareils.
Comment s’en protéger: Privilégier la méthode CYOD (Choose your own device)
9- L’abus de confiance
Beaucoup de cybercriminels savent abuser de la confiance des gens. En entreprise, il est fréquent qu’un administrateur IT appelle l’un de ses collègues au téléphone et lui demande son mot de passe. Soit parce que cela facilite la télémaintenance, soit pour gagner du temps, voire pour éviter de se déplacer. Et généralement, ce collègue lui indique son mot de passe sans sourciller. Et si ce soi-disant administrateur IT avait été un cybercriminel inconnu ? Cet exemple est déclinable de multiples façons.
Comment s’en protéger: Ne partagez jamais votre mot de passe, ne soyez pas dupe et restez vigilants ! Les administrateurs réseaux pourront aussi obliger la réinitialisation de mot de passe après une période donnée.
10- La négligence
Les collaborateurs qui ne se sentent pas concernés sont des poisons pour toutes les entreprises. Non seulement ils sont rarement productifs, mais ils représentent également une vulnérabilité potentielle en termes de sécurité IT. Leur attitude « je-m’en-fous » peut se refléter dans tout ce qui concerne la sécurité. Qu’il s’agisse de la gestion laxiste des mots de passe, de la divulgation d’informations sensibles à n’importe qui ou encore la distribution trop large de droits d’accès lors de partages de fichiers avec des partenaires externes, la sécurité est constamment compromise avec ce type de collaborateurs.
Comment s’en protéger: Sensibilisez-les puis renvoyez-les s’ils sont toujours bornés !
11- Spam et Phishing
La faille la plus classique de la sécurité IT est toujours très populaire ! Il est donc toujours fortement déconseillé d’ouvrir par curiosité les pièces jointes d’emails provenant d’expéditeurs inconnus ou encore d’entrer des informations sensibles dans des champs de saisie suspects. Car ces erreurs continuent de causer des pertes annuelles qui se comptent en milliards pour les entreprises.
Comment s’en protéger: Installez un protocole de sécurité permettant de vérifier l’authenticité des mails avant réception.
12. Gardez un oeil sur le patron !
Non, le PDG ou chef d’entreprise n’est pas meilleur que les autres en matière de sécurité. Celui ou celle qui dirige l’entreprise doit également figurer dans la liste des éléments à surveiller de près. De nombreux patrons ont en effet le sentiment d’être au-dessus de ce type d’erreurs et rejettent ainsi les logiciels de sécurité en pensant que de telles choses ne peuvent pas leur arriver.
Pourtant, tout ce qui a été présenté précédemment s’applique tout autant à eux, et peut se résumer en 5 catégories :
- Faible sécurité du mot de passe
- Manipulation imprudente de données
- Sécurité logicielle inadaptée
- Gestion inefficace de l’accès aux données
- Faible sensibilisation à la sécurité
Les failles humaines sont donc nombreuses mais cela ne doit pas décourager de tendre vers la digitalisation et un environnement IT sécurisé, car bon nombre de ces vulnérabilités peuvent être corrigées et la compréhension des collaborateurs en matière de données et d’IT peut toujours être améliorée.
Lire aussi: Contenu de la formation de vos employés sur la sécurité informatique
