Le plus gros problème de securité qu’il faut corriger
Les technologies populaires telles que les antivirus, les antispywares, les pare-feux, les outils de nettoyage ou de détection d’intrusions sont indispensables en sécurité informatique.
Seulement, un problème de sécurité passe au delà de ces outils.
- Il les rend facilement inutiles.
- Il est la cause de plus de 9 piratages réussis sur 10.
Il touche aussi bien les entreprises que les particuliers.
Ce problème de sécurité, c’est l’être humain.
Et voilà donc un énième article sur le sujet. Je sais que j’insiste beaucoup, mais finalement le ratio d’articles à ce sujett correspond à la réalité…
La sécurité est aussi mal comprise que sous-estimée. Se munir de toutes les technologies de protection de données possibles ne sécurise absolument rien si l’on fournit notre mot de passe à un pirate, volontairement ou non.
Bien que cela puisse sembler totalement improbable voire grotesque, c’est bien le manque de sensibilisation et les erreurs qui s’en suivent qui sont la source de bien des soucis. Et il n’existe actuellement pas de programmes pour corriger en temps réel ce problème de prise de conscience.
Voici les principales sources de problème, et comment les éviter que vous soyez dans le monde de l’entreprise ou non.
Le Phishing
Le Phishing est une escroquerie consistant à se faire passer pour une autre personne ou entité afin de dérober des informations personnelles d’une victime. Bien que le phishing soit de plus en plus reconnu et mis en avant afin de sensibiliser un maximum d’internautes, c’est une attaque qui ne perd pas son souffle, au contraire. Il s’agit de l’exemple parfait de la faille humaine.
Le cas typique est celui du faux e-mail se faisant passer pour la banque de la victime et lui demandant de mettre à jour ses informations bancaires. En voulant « mettre à jour ses informations » la victime fournit en fait son propre mot de passe à un pirate.
Se protéger du phishing en entreprise
- Tester les connaissances de tout le personnel. Si possible effectuer ces tests régulièrement.
- Sensibiliser au maximum et mettre en place des processus d’alerte adaptés.
- Si possible, définir des droits pour les utilisateurs afin qu’il ne soit simplement pas possible de partager des informations trop sensibles au sujet de l’entreprise.
Se protéger chez soi
- Se tenir informé(e) sur les attaques par Phishing qui peuvent prendre plusieurs formes (applications mobiles, e-mail, sites web, programmes…etc).
- Alerter en cas de comportement ou lien suspect.
- Ne pas faire confiance aveuglément.
Sites web infectés et malveillants
Les sites visités en eux-mêmes peuvent contenir toutes sortes de programmes malveillants. Et le simple fait de les visiter peut amener à un problème de sécurité.
Le malvertising est une technique répandue visant à publier des publicités malveillantes sur des sites connus et dont les internautes ont confiance.
Le Java Drive By permet quant à lui de lancer des programmes exécutables en arrière-plan après avoir donné l’autorisation d’exécution à une application Java malveillante.
Se protéger des sites malveillants ou infectés en entreprise
- Catégoriser et grouper les sites autorisés
- Filtrer l’activité
- Utiliser des VPN
Se protéger des sites malveillant chez soi
- Toujours mettre à jour son système, ses programmes et ses connaissances
- Prendre conscience des menaces
Les fameux mots de passe
Le moyen le plus utilisé pour gérer les accès à des comptes ou systèmes, à savoir le mot de passe, est souvent celui qui est corrompu lors d’un piratage réussi.
Les techniques de récupération de mots de passe sont aussi nombreuses que variées, du cracking de mots de passe au phishing en passant par le reniflage réseau.
Se protéger en entreprise
- Imposer des politiques de mots de passe forts.
- Demander à changer régulièrement les mots de passe.
- Gérer correctement les identités pour limiter le champ d’action en cas de piratage réussi.
Se protéger chez soi
- Créer un mot de passe fort.
- Ne communiquez pas vos mots de passe.
- Ne pas utiliser le même mot de passe partout.
Article recommandé pour en savoir plus : Revue de l’IT.