L’ingénierie sociale et les failles de l’humain méritent plus d’attention
Les entreprises s’appuient trop souvent sur les technologies de sécurité et ignorent l’impact qu’un «pare-feu humain» peut avoir sur la sécurité, explique le spécialiste renommé Hugh Thompson (Blue Coat Systems), dans un entretien accordé à Searchsecurity.com. Hugh Thompson explique que les attaques par ingénierie sociale rendent la tâche très difficile aux employés dès lors qu’il faut faire le tri entre messages légitimes et messages conçus pour les amener à lâcher des données sensibles.
Le DLP (prévention des fuites de données), le filtrage Web, et les protections contre les logiciels malveillants aident à renforcer la protection. Mais Hugh Thompson (Blue Coat Systems), expert en sécurité, estime que l’investissement dans la création d’une culture interne de la sécurité peut faire des employés une importante ligne de défense.
Les équipes de sécurité IT doivent en permanence trouver un équilibre entre maîtrise du risque et productivité des employés, pour s’assurer que ceux-ci peuvent utiliser des outils adéquats pour travailler, sans compromettre des données sensibles. Les services de partage de fichiers, les messageries Web, les réseaux sociaux et autres outils de collaboration en ligne créent un défi intéressant pour la gouvernance des données, selon Thompson.
«Comment puis-je savoir où vont mes données, où elles vont résider, et quelles règles leur sont appliquées ?» s’interroge-t-il. «C’est ce monde l’IT qui se déplace hors du regard de la gouvernance. Pour cette raison, tout cela devient un problème très important dans le domaine de la sécurité de l’information.»
Hugh Thompson est actuellement Directeur de la stratégie de sécurité et Vice-président senior de Blue Coat Systems. Il est également président du comité de programmation de RSA Conference. Il est en outre fondateur et directeur de la stratégie sécurité de People Security, une entreprise spécialisée dans la sensibilisation à la sécurité informatique et dans la formation à la programmation sécurisée.
Nous observons constamment une composante d’ingénierie sociale dans les violations de données. Dans certains cas, les attaquants n’ont pas même besoin d’exploiter une vulnérabilité : ils poussent les employés à la faute. N’est-ce pas un échec de l’instruction?
Hugh Thompson : C’est le point faible de la sécurité de nos jours. Le facteur humain. Si vous êtes un attaquant et que vous cherchez à vous infiltrer dans une organisation, entendez-vous passer des semaines, voire des mois, à chercher une vulnérabilité spécifique inconnue dans ses systèmes ou allez-vous privilégier l’ingénierie sociale ? Identifiez des employés spécifiques puis récupérez des informations sur les réseaux sociaux avant de leur passer un coup de fil ou de leur expédier un e-mail ! C’est évidemment le plus simple.
Le problème est que la plupart des gens ne pensent pas au risque lorsqu’ils font ces choix incrémentaux quotidiens de confiance ou de défiance. Cette décision, en matière de confiance/défiance est devenue bien trop compliquée. Il fut un temps où il était assez facile de savoir si quelqu’un voulait vous avoir. Mais aujourd’hui, le problème est que ces scénarios d’attaque s’appuient sur des e-mails ou des sites Web tout aussi ennuyeux que le reste des choses ennuyeuses avec lesquelles chacun doit composer quotidiennement. Il est très difficile de faire la différence entre quelque chose qui ressemble à une attaque et quelque chose de légitime. Je pense que nous nous approchons d’une crise de confiance parce qu’il est devenu difficile, même pour les gens instruits, prudents, voire modérément paranoïaques, de faire la différence entre un site fiable et un site dangereux, entre un e-mail légitime et un e-mail malveillant. La sensibilisation est importante mais nous avons aussi besoin d’outils qui éviteront que la décision en revienne à l’utilisateur.
Les équipes chargées de la sécurité IT échouent-elles à créer une culture de la sécurité? Cela prend-il du temps à développer au sein d’une organisation?
Hugh Thompson : C’est un sujet de controverse dans l’industrie. Je suis un optimiste et un formateur. De mon côté, je crois donc fermement que chacun peut s’améliorer en matière de sécurité. En apportant à chacun les bonnes opportunités d’instruction, les bonnes formations au bon moment... avec le temps, il est possible de s’améliorer et de renforcer sa résilience en cas d’attaque. Mais je pense que certains RSSI ont eu de mauvaises expériences, avec des formations ratées, et qu’ils ont choisi de se fermer pour n’y voir qu’un exercice de conformité. Et c’est déjà s’engager sur une voie dangereuse.
À quoi ressemble cette voie dangereuse?
Hugh Thompson : Vous renoncez à améliorer l’hygiène de sécurité des personnes; vous ne misez plus que sur des outils tiers ou sur des contrôles censés compenser. Je pense plus que jamais que c’est ce pare-feu humain, ces processus et ces pensées qui vous traversent l’esprit avant que vous ne cliquiez sur quelque chose ou installiez une extension de navigateur Web inconnue qui deviennent de plus en plus importants. Je pense que, de toute l’étendue des contrôles de sécurité qui séparent l’entreprise du risque, ceux qui gèrent les accès Web sont très importants et que ceux qui résident dans votre tête et prennent ces décisions de type go/no go sont de plus en plus importants.
Pensez à des technologies telles que le DLP. C’est très bien pour répondre à un problème spécifique et pour veiller à ce que des données structurées n’aillent pas là où elles n’ont pas à aller. Mais pensez à un attaquant qui veut vraiment des données telles qu’un numéro de sécurité sociale et qui réalise qu’un logiciel de DLP fonctionne dans l’environnement qu’il vise. Là, ça vaudra le coup pour lui de créer une attaque par ingénierie sociale hautement personnalisée dans laquelle il enverra un ensemble de formulaires physiques à sa victime, lui demandant de les remplir et de les lui retourner par courrier électronique. Non seulement cela passe au travers du DLP mais cela ne relève même pas de la technologie. Pensez à cela : vous verrez qu’il est important de renforcer le pare-feu humain. Et c’est l’un des plus grands défis de notre industrie de la sécurité.
Les smartphones et autres terminaux mobiles compliquent-ils les stratégies de sécurité des entreprises?
Hugh Thompson : Ce mouvement vers plus de choix pour les personnes est un mouvement de notre temps. Cela ne concerne pas que l’IT; cela touche aussi la sécurité. Pensez à toutes les manières dont vous pouvez aujourd’hui partager un fichier avec un collègue. Vous pouvez utiliser un système d’entreprise, accessible via un VPN, par exemple. Ou encore utiliser quelque chose comme Dropbox : c’est toujours là à portée de main; un simple dossier. Et pas besoin de lancer son VPN pour y accéder... Aujourd’hui, le choix est là. Le fait est que si vous ne voulez pas choisir l’une de ces deux façons de partager des fichiers, cinq autres options s’offrent à vous, toujours en dehors du périmètre traditionnel de l’IT. Je pense que cela constitue une incroyable opportunité pour les entreprises parce que cela permet aux employés d'accélérer leur productivité et de collaborer de manière plus innovante. Mais du point de vue de la gouvernance, cela crée un défi intéressant.
Longtemps, l’industrie de la sécurité s’est montrée assez peu engageante parce que nous avions la culture du «non». Les RSSI vous auraient bloqués l’accès à Dropbox. C’était notre méthode : bloquer. Mais c’est une approche naïve parce qu’elle ne tient pas compte de la réalité : les gens ont le choix. On leur demande de faire plus avec moins. Je pense que c’est l’une des grandes difficultés de notre génération. On nous demande d’être plus productifs. On nous demande d’être sûr de pouvoir répondre à un courriel qui arrive le dimanche soir à 21 h. Nous sommes censés être toujours connectés et productifs mais des règles internes à l’entreprise nous en empêchent parfois, utilisant la technologie pour nous brider au lieu de la mettre à notre service. En tant que discipline, la sécurité IT va changer, passer de cette «division du non» à cette «division du oui, et laissez-moi vous aider ». Il s’agit de devenir ceux qui vont ôter le risque lié aux activités que les employés veulent avoir et que, de toutes façons, ils auront.
Pour de nombreuses entreprises, la mobilité est une révolution. Il n’y a plus d’agent résident sur le terminal. Il y a des problèmes de découverte automatique. Que se passe-t-il si l’entreprise est poursuivie et qu’il faut confisquer le terminal ? Je ne pense pas que nous ayons déjà toutes les réponses à ces questions. Selon mon expérience, il y a trois catégories de personnes. Pour une première, l’approche consiste à appréhender les terminaux mobiles comme les ordinateurs portables en installant un agent de supervision ou un antivirus sur l’appareil. Une seconde consiste à réfléchir à des façons d’innover en adressant le problème sur le réseau. Et la troisième cherche à instrumenter les applications d’entreprise pour les protéger d’une manière ou d’une autre.
Nous observons beaucoup d’efforts sur ces trois fronts. Mais je pense que l’approche qui va gagner sera celle consistant à permettre aux utilisateurs de faire leurs choix tandis que les responsables de la sécurité, en coulisses, s’attacheront à apporter à tout cela un niveau de sécurité raisonnable.