La sécurité des systèmes d'information est une problématique qui se pose dans les entreprises de tout type. Et ce n'est pas un géant de la Silicon Valley qui prétendra le contraire. Pour tester, et par la même sensibiliser ses collaborateurs aux risques de cyber-attaques, l'entreprise Facebook a choisi « la manière forte »...

La sécurité informatique reste l’une des préoccupations majeures des organisations. On recense chaque mois de nouveaux cas de cybercriminalité mettant en avant de nombreuses failles. Les exemples ne manquent pas.

En 2012, de nombreuses entreprises, de la banque à l’assurance en passant par les industries, et même le secteur public, ont été confrontées à des attaques de social engineering.

L’ingénierie sociale (ou social engineering) est une forme d’acquisition déloyale d’information et d’escroquerie utilisée en informatique pour obtenir d’autrui un bien, un service ou des informations clés.

« Une définition, pas si simple »

L’ingénierie sociale au sens de la sécurité des systèmes d’information (SSI) consiste en une série de techniques visant à amadouer, duper ou tromper une personne cible en vue d’obtenir d’elle une information ou un comportement qu’elle n’aurait pas donnée ou qu’elle n’aurait pas eu sans la mise en œuvre de ces techniques.

A pas confondre avec son homonyme désignant la réalisation de travaux dans les domaines des politiques sociales et de l’intervention sociale. Celle-ci est d’autant plus forte que l’ingénierie sociale au sens de la SSI ne s’adresse pas qu’aux seuls professionnels de la SSI mais bien évidemment également, et au premier chef, aux professionnels des ressources humaines (RH), eux-mêmes déjà familiarisés avec cette appellation justement dans le domaine des politiques sociales.

Voilà donc un sujet qui commence bien mal, engendrant une confusion amenant la majorité des professionnels de la SSI à conserver la terminologie anglo-saxonne.

An interesting article on how a young boy became one of the most important social engineer of his time.

Toute bonne formation à la lutte contre l'ingénierie sociale explique, bien entendu, aux participants :

• les enjeux liés à cette lutte;
• les mécanismes mis en oeuvre lors des attaques;
• quels sont les indices qui doivent nous alerter;
• les réflexes à adopter et les comportements de protection à avoir.

Cependant si vous voulez obtenir la meilleure implication de vos collaborateurs dans cette lutte, il y a deux messages essentiels à bien leur faire passer et comprendre :

Un article d'ExtremeTech relate une expérience incroyable de piratage du cerveau humain réalisée par des chercheurs des universités d'Oxford et de Genève et de l'université de Californie (Berkeley). Présentée à la conférence Usenix Security, elle a été réalisée à partir d'un équipement d'interfaçage cerveau/ordinateur. Il s'agit d'un dispositif composé de deux parties :

Des pirates ont tenté de s'introduire dans le Système Informatique d'une entreprise en disséminant des clés USB infectées dans le parking de l'entreprise.

Malheureusement pour eux, et heureusement pour l'entreprise,

Bill Brenner, célèbre journaliste américain spécialisé dans la sécurité de l'information et élu parmi les personnalités les plus influentes dans ce domaine par Tripwire fin 2011, relate dans le billet ci-après comment il est tombé victime d'une simplissime attaque de Social Engineering.