Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Sensibilisation : se mettre dans la peau d’un attaquant pour apprendre à se défendre

mars 2018 par Emmanuelle Lamandé

Près de 80% des incidents de sécurité proviennent encore aujourd’hui d’erreurs d’utilisateurs. L’importance de sensibiliser les collaborateurs à la sécurité de l’information n’est donc plus à prouver. Toutefois, malgré les dispositifs mis en place ces dernières années, les mauvais comportements ont la vie dure ! Renaud Lifchitz, Expert sécurité chez Digital Security, Groupe Econocom, nous explique à l’occasion de ROOMn comment mettre en œuvre une action originale pour mobiliser les collaborateurs, basée sur l’Ethical Hacking.

Sensibiliser les collaborateurs à la cybersécurité s’apparente pour bon nombre d’entreprises à un véritable casse-tête. Ce sujet ne passionne généralement pas les foules, d’autant qu’il vient souvent brider leurs façons de travailler et d’utiliser leurs multiples « gadgets » technologiques. Et même si les collaborateurs comprennent sur le coup les principaux risques et bonnes pratiques à mettre en œuvre lors des campagnes de sensibilisation, dans les faits on reprend tous très vite nos mauvaises habitudes… Pour créer l’électrochoc qui changera la donne, il faut souvent malheureusement attendre que la menace ne se mette à exécution, ou alors prendre les devants en trouvant une démarche de sensibilisation originale et percutante.

Se mettre dans la peau d’un attaquant…

C’est dans cette optique qu’Econocom a mis sur pied une démarche d’Ethical Hacking, qui se veut engageante et originale pour former les collaborateurs. Le principe de la démarche est simple : chaque collaborateur va pendant un temps se mettre dans la peau d’un attaquant, et ainsi découvrir l’envers du décor. L’objectif est de les rendre actifs, de les faire agir et réagir via des scénarios de gamification et de contextualisation. Ces mises en situation, qui collent aussi aux sujets d’actualité, vont leur permettre de prendre conscience par eux-mêmes des risques, mais aussi des facteurs et informations sensibles qui pourront facilement être exploités par un acteur malveillant. Cette implication renforce l’engagement des collaborateurs, et par là même le niveau de sécurité de l’entreprise.

Pour être efficientes, les démarches de sensibilisation doivent en outre s’adapter au public en question. En effet, les techniques utilisées doivent collées au plus près des intérêts et préoccupations de chacun (dirigeants, CODIR, administrateurs, utilisateurs…).

Les démarches de sensibilisation doivent s’adapter à chacun

Par exemple, pour sensibiliser les dirigeants et les CODIR, Econocom leur propose notamment :
  Un éclairage sur l’actualité SSI récente ;
  Une lecture des nouvelles tendances ;
  Une analyse des chiffres de la cybercriminalité ;
  Des retours d’expérience sur des incidents réels ;
  Une sensibilisation aux nouveaux risques liés aux dernières technologies, comme l’IoT, l’intelligence artificielle, la blockchain, les ordinateurs quantiques… ;
  Des recommandations et bonnes pratiques, etc.

De plus, la sensibilisation des collaborateurs aux bonnes pratiques de sécurité est, comme nous l’avons évoqué précédemment, beaucoup plus efficace lorsqu’ils se mettent en situation réelle, dans la peau d’un attaquant. Pour ce faire, le groupe propose aux collaborateurs une expérience de réalité virtuelle, qui reconstitue un bureau réel en 3D. Lors de cette immersion, chaque collaborateur va par exemple devoir récupérer dans ce bureau le maximum d’informations sensibles en quelques minutes, pour pouvoir avancer dans l’aventure. Du coup, le collaborateur n’est plus passif et devient un participant pleinement actif du scénario. Et c’est ce qui change la donne…

Une immersion basée sur les 4 piliers de l’apprentissage

Cette technique utilise, en effet, les 4 piliers de l’apprentissage, à savoir l’attention, l’engagement actif, le retour d’information et la consolidation. Via cette immersion, l’individu va pourvoir écouter (« learning »), essayer (« training ») et ressentir (« experiencing »)… autant de facteurs nécessaires à notre apprentissage, quel qu’il soit.

Econocom propose également des packs de sensibilisation personnalisables, que les entreprises pourront adapter à leurs structures, chaque contexte étant différent. Les équipes ont, de plus, mis sur pied une application mobile malveillante, de type « Flappy Bird ». Une fois installée sur les mobiles de vos collaborateurs, cette application permettra, grâce au malware qu’elle contient, d’extraire tout un tas d’informations contenues dans l’appareil : contacts, messages, journaux d’appels, activation du micro, prise de photos… Quoi de mieux pour sensibiliser un individu que de lui mettre sous le nez ses propres données piratées…

Illustrer les risques de sécurité de manière concrète et percutante

Les équipes d’Econocom ont, en outre, conçu de nombreuses démonstrations de hacking, qui permettront aux entreprises d’illustrer les risques de sécurité de manière concrète et percutante, comme par exemple le détournement d’applications mobiles bancaires, le contournement de systèmes de contrôle d’accès, la prise de contrôle de caméras sans-fil ou de drones, le piratage d’objets connectés, de claviers et souris sans-fil, l’exposition d’informations personnelles et bancaires par RFID, ou encore le suivi et la traque d’avions… Renaud Lifchitz nous en a d’ailleurs fait en conclusion la démonstration, via l’utilisation d’un Tuner TNT permettant de capter les signaux radio. Grâce au piratage de cet outil, on peut par exemple voir et géolocaliser tous les mouvements d’avions autour du lieu où l’on se trouve, mais aussi des bateaux et de tout un tas d’autres appareils. En effet, les ondes radio, et par conséquent l’IoT, sont encore très mal sécurisées aujourd’hui et donc particulièrement vulnérables. Raison de plus de sensibiliser tout le monde aux risques…


Articles connexes:

Voir les articles précédents

    

Voir les articles suivants