Black Hat 2012 : la formation à l’ingénierie sociale profite aux équipes IT
Les attaques basées sur l’ingénierie sociale - de même que d’autres techniques de test d’intrusion - peuvent souvent donner à la victime le sentiment d’avoir été piégée voire trahie. Mais si l’information des utilisateurs est réalisée de manière efficace par l’équipe de sécurité IT, elle peut instillée une véritable culture de la sécurité informatique dans l’organisation, selon des experts qui étudié le sujet.
Une communication efficace est essentielle pour la mise en place d’une formation à l’ingénierie sociale, explique James Philput, analyste senior Assurance de l’Information chez Information Assurance Professionals Inc. Les équipes IT savent que l’on trouve souvent une vulnérabilité, dans un composant logiciel largement déployé dans leur organisation, qui est scriptable, facilement exploitable, et susceptible de provoquer de sérieux problèmes. Mais l’un des principaux défis de l’industrie de la sécurité IT consiste à trouver comment présenter cela de manière pertinente pour l’utilisateur final, selon Philput.
«Se tenir là et dire qu’un attaquant via réussir à entrer et dérober toutes vos données ou ruiner votre ordinateur ou le faire planter n’est pas efficace face aux utilisateurs finaux,» explique Philput. «Il faut présenter les choses d’une manière qui compte pour eux.»
Philput a présenté le fruit de ses travaux lors de l’édition 2012 de la conférence Black Hat à Las Vegas, expliquant comment communiquer auprès des directions sur le besoin de tests d’ingénierie sociale, comment effectivement les déployer pour construire des relations et non pas les détruire.
«J’espère que fournir ainsi aux équipes responsables de la sécurité IT une façon plus constructive d’utiliser leurs compétences pour améliorer la sécurité dans son ensemble à l’échelle de leur organisation, tout en établissant de meilleures relations avec celle-ci,» explique Philput.
Les tests d’ingénierie sociale impliquent souvent la création de faux e-mails de phishing mais les spécialistes du test d’intrusion peuvent également égarer volontairement des clés USB que les utilisateurs connecteront probablement ensuite à leurs ordinateurs - une situation très répandue. Certaines équipes de sécurité testent les employés au travers d’appels téléphoniques, prétendant être un collègue distant ou un représentant d’un partenaire commercial confronté à un problème devant être résolu rapidement. Les e-mails de phishing constituent l’option la moins onéreuse et également la plus simple à suivre, relève Philput. Et ces exercices peuvent être appréhendés comme une alternative à une formation en ligne. Avec le temps, les équipes de sécurité peuvent identifier les employés ou les pans de l’organisation nécessitant une formation supplémentaire.
Pour Philput, l’équipe IT devrait commencer son programme de test par l’évaluation des règles mises en place et, surtout, de leur communication aux employés. Cela fait, Philput recommande que les organisations informent régulièrement leurs collaborateurs du fait que des tests sont susceptibles de survenir à tout moment. Une précaution qui évite les sentiments négatifs de trahison, selon lui. Enfin, l’expert recommande de récompenser les employés qui réussissent les tests et abordent leurs erreurs comme des apprentissages.
Un exercice d’ingénierie de sociale peut s’avérer extrêmement efficace, selon Philput, tout particulièrement dans les organisations qui ne disposent pas d’une culture de la sécurité marquée ou d’un programme de formation continue à la sécurité IT.
Bien sûr, l’étape de conception de l’entraînement et de sa présentation aux utilisateurs est cruciale : «si ce n’est pas fait correctement, cela n’aura aucun effet; cela n’aura aucun impact,» assure Philput.
Les plus mauvais programmes de formation des utilisateurs sont réalisés en ligne une fois par an, selon lui. Les utilisateurs les survolent rapidement et, dans certaines organisations, ils vont jusqu’à partager une feuille avec les réponses aux QCM.
«Ce que j’ai observé de plus efficace - mais aussi de plus difficile à mettre en oeuvre -, c’est la formation en groupes de 30 à 60 utilisateurs avec un membre de l’équipe de sécurité informatique,» explique Philput. «Cela contribue à humaniser les experts de la sécurité. Certaines questions des utilisateurs finaux sont basiques, d’autres littéralement fascinantes. Au final, lorsque la formation a été organisée ainsi, j’ai observé bien moins de tentatives réussies d’ingénierie sociale parce que les utilisateurs finaux n’hésitaient plus à appeler les équipes de sécurité IT lorsqu’ils soupçonnaient quelque chose de louche.»
Adapté de l’anglais par la rédaction