La s\u00e9curit\u00e9 informatique des organisations ne d\u00e9pend pas uniquement des choix de la direction et du service informatique.<\/p>\n\n\n\n
Les menaces \u00e9voluent et les attaques ne sont plus n\u00e9cessairement des programmes \/ menaces install\u00e9s sur les postes dans le but de faire du tort. Certes les mouchards, keylogers et autres ran\u00e7onwares existent toujours mais il ne faut pas oublier les attaques de type pishing. Et en la mati\u00e8re le bridage du poste (retrait des droits administrateurs), firewall et anvirus ne sont pas une protection suffisante.<\/p>\n\n\n\n
En effet le pishing (ou hame\u00e7onnage) est une ruse vous laissant croire qu’il s’agit d’une demande fond\u00e9e, de Microsoft, Chronopost, Apple, Google, banque, ou tout autre entreprise dont vous utilisez les services. Vous recevez par exemple un mail indiquant qu’il y a un probl\u00e8me sur votre compte Google, vous cliquez sur le lien. Vous arrivez sur une page ressemblant \u00e9tonnament au site internet de Google et l’on vous demande de saisir votre adresse mail et mot de passe. Vos identifiants se trouvent entre les mains de personnes malveillantes sans m\u00eame que vous vous en rendiez compte.<\/p>\n\n\n\n
Pour ce genre d’attaque, le hackeur ne s’appuie pas sur les failles informatiques d’une organisation mais sur le facteur humain.<\/p>\n\n\n\n
Dans une communaut\u00e9, chacun peut avoir un comportement diff\u00e9rent et c’est le niveau de sensibilisation \/ formation qui fera la diff\u00e9rence. <\/p>\n\n\n\n
C’est notre r\u00f4le de prestataire informatique de sensibiliser les utilisateurs, expliquer les indices qui peuvent susciter la m\u00e9fiance. Mais souvent \u00e7a se fait \u00e0 la marge d’une autre intervention ou pas de mani\u00e8re suffisamment cibl\u00e9e.<\/p>\n\n\n\n
Mais au del\u00e0 d’une formation, il devient de plus en plus utile de faire des simultations d’attaques r\u00e9guli\u00e8res. Car parfois des utilisateurs trop s\u00fbr d’eux ne vont pas se sentir concern\u00e9s par les conseils g\u00e9n\u00e9raux, convaincus qu’il faut \u00eatre na\u00eff pour se faire avoir, et qu’ils ne vont pas tomber dans le panneau.<\/p>\n\n\n\n
Quoi de plus efficace que de pouvoir dire \u00ab\u00a0Nous avons fait une simultation de pishing le 17 mars. 4 utilisateurs sur 21 ont cliqu\u00e9 sur le lien figurant dans le mail et 3, dont vous ont saisi des informations sensibles dans le formulaire point\u00e9 par ce lien\u00a0\u00bb.<\/p>\n\n\n\n
Une fois pris \u00ab\u00a0les mains dans le pot de confiture\u00a0\u00bb, les certitudes tombent et la vigilance augmente. Car les points d’attention pass\u00e9s (orthographe, charte graphique) ne sont plus suffisants pour savoir si un lien ou un site sont officiels et dignes de confiances. Les pirates font \u00e9voluer leur m\u00e9thodes au fur et \u00e0 mesure, et la qualit\u00e9 de leur mails est bien plus \u00e9lev\u00e9e qu’elle ne l’\u00e9tait il y a quelques ann\u00e9es.<\/p>\n\n\n\n
Ces simulations d’attaques permettent ensuite de former un public cibl\u00e9. Mieux former les personnes ayant eu des comportements \u00e0 risque plut\u00f4t que de former indiff\u00e9remment tous les utilisateurs.<\/p>\n\n\n\n