jeudi 14 décembre 2017

Accueil du site > Informatique > Sécurité Informatique > Michel Iwochewitsch (Strateco) : « Les failles humaines se testent comme (...)

Michel Iwochewitsch (Strateco) : « Les failles humaines se testent comme les failles informatiques »

Propos recueillis par Philippe Richard, 01net

jeudi 5 juin 2008, sélectionné par Spyworld

logo

Ce spécialiste de la sécurité explique les risques liés aux failles humaines, aussi dangereuses que celles du système informatique.

01net. : Toutes les entreprises courent-elles le risque d’une faille humaine ?

Michel Iwochewitsch : Les croyances du type « cela n’arrive qu’aux autres » et « nous ne sommes pas un secteur sensible » sont des hérésies pour de multiples raisons. Plus l’entreprise a de concurrents, plus elle court le risque qu’un individu peu scrupuleux fasse appel à des méthodes de renseignement industriel. Une entreprise peut être ciblée parce qu’elle donne accès à des informations sensibles sur des individus qui intéressent le prédateur.

Voici deux exemples simples, loin d’être exhaustifs. Le conseiller clientèle d’une banque, par exemple, dispose d’informations concernant l’utilisation par les individus cibles de leurs cartes bancaires et leur train de vie, et un salarié de la CPAM peut identifier certaines pathologies, des frais de santé élevés pour des enfants, etc. Autant d’informations que des individus malintentionnés peuvent exploiter.

Lors des tests de sécurité informatique menés dans les entreprises, peu d’actions concernent les « failles humaines ». Pourquoi ?

Il y a deux raisons principales. Premièrement, peu de spécialistes de la sécurité informatique sont formés sur les failles humaines et la manière dont elles sont exploitées.

Deuxièmement, les entreprises restent « frileuses » sur ce sujet, car ces tests, reposant sur l’humain, sont souvent déstabilisants pour les employés. En effet, il s’agit en somme de provoquer leurs erreurs pour en exploiter les résultats. Ces tests ne peuvent donc être réalisés que dans un cadre éthique strict comprenant au minimum l’anonymat des employés ciblés.

On ne peut reproduire intégralement une séquence de recrutement de type espionnage industriel ! Mais il est parfaitement possible de tester les failles les plus courantes selon un protocole aussi rigoureux que pour les failles informatiques.

Rechercher et exploiter les failles humaines implique une importante organisation logistique et beaucoup de temps (six mois environ). Pour les failles des logiciels, cela prend-il moins de temps, et le résultat peut-il être aussi efficace ?

Oui et non ! Les failles des logiciels et des réseaux peuvent être plus simples à exploiter, mais l’humain présente plusieurs atouts. Une personne sait beaucoup plus de choses que les informations formalisées sur des supports électroniques. Une source humaine permet d’obtenir un flux permanent de données à analyser.

Enfin, l’avantage d’une approche humaine est sa redoutable discrétion ! Très peu de cas finissent par être connus. Il est considéré dans les milieux spécialisés qu’un seul individu dans une grande société suffit pour compromettre l’ensemble des informations de celle-ci s’il est bien formé !

Avez-vous néanmoins noté une évolution des mentalités au sein des entreprises ces dernières années ?

Il existe une nette prise de conscience de ces risques par les managers, en particulier par les cadres supérieurs. Je note ainsi un fort développement des formations permettant aux cadres de détecter des actions préliminaires contre eux. Néanmoins, je constate également que seules les entreprises dites « stratégiques » sont sensibilisées !

C’est d’autant plus dommage qu’il existe des contre-mesures efficaces et peu coûteuses pour diminuer grandement ces risques.


Envoyer : Newsletter Imprimer : Imprimer Format PDF : Enregistrer au format PDF PartagerPartager :