RealDolmen : Prourriez-vous prousser sur le bouttron?

Fin octobre, notre événement 'Co-Thinking about the Future', organisé à Gand, a rassemblé quelque 200 clients, professeurs, étudiants, experts informatiques et autres invités. Ce fut l'occasion de réfléchir de concert à ce que sera la technologie de demain. Nous vous invitons à découvrir une série de billets de blog qui passent en revue divers thèmes et idées dont il fut question lors de cet événement.

Récemment, un gros revendeur a envoyé un courriel-test à tous ses collaborateurs. Le message était sensé provenir de la directrice générale. Toutefois, quelques erreurs flagrantes figuraient dans son nom, son adresse mail et sa signature. Le texte lui-même était volontairement boiteux et criblé de fautes. Le message stipulait qu'il suffisait au destinataire de cliquer sur le bouton rouge pour avoir droit à des jours de vacances supplémentaires. Qui pourrait bien tomber dans ce piège?

Le maillon faible

Tous les éléments étaient présents pour rendre le message aussi peu crédible que possible, jusques et y compris une URL plus que suspecte en-dessous du bouton cliquable. Mais que pensez-vous qu'il advint? Des centaines de personnes n'ont pas pu s'empêcher de cliquer. Après tout, on ne sait jamais… Quelques jours de vacances de rab', voilà qui est tentant.

Bien entendu, il s'est aussi trouvé plusieurs milliers de collaborateurs qui n'ont pas cliqué sur le bouttron dans le mail mais cela n'a malheureusement pas d'importance. La robustesse de la sécurité est en effet tributaire du maillon le plus faible.

Intrusion sans coup férir dans la salle IT

Un autre revendeur avait orchestré un test de pénétration physique au cours duquel il s'agissait d'essayer de pénétrer dans la salle informatique de diverses implantations locales. Un petit coup de téléphone prévenant qu'un technicien passerait le lendemain s'est avéré suffisant pour être reçu pratiquement partout à bras ouverts. Brandissant un faux badge du personnel de piètre qualité, l'intrus s'est retrouvé, esseulé, au coeur de la salle IT en l'espace de trois minutes chrono.

Des pirates toujours plus rusés

Face à une telle naïveté de la part du collaborateur lambda, qui a pour effet d'ouvrir toute grande la porte à quiconque est armé de mauvaises intentions, des mesures de sécurité draconiennes s'imposent. Il n'y a pas d'autre option. A l'occasion de plusieurs tables rondes organisées lors de notre événement Co-Thinking about the Future, le constat a été fait que les collaborateurs internes sont bien trop souvent le maillon douteux de la chaîne de sécurité. Même des formations ciblées n'ont qu'un effet positif éphémère sur le degré de conscientisation. Sans compter que les pirates gagnent sans cesse en habilité dans la manière dont ils exploitent nos failles psychologiques.

Réfléchissez à l'impact

Chacun de nous a sans doute déjà vu ces films hollywoodiens avec des hackers russes. Nous semblons en déduire qu'ils n'existent pas dans la réalité. Bien entendu, la menace n'a rien d'hollywoodien. Le monde n'implosera pas lorsqu'une chaîne de magasins belge sera piratée. Est-ce la raison pour laquelle nous abdiquons toute prudence? Le hacker, lui, ne s'inquiète pas de l'impact. Pour empocher une rançon de 500 euros, il provoquera sans vergogne une perte de productivité se chiffrant en millions. Qu'importe, c'est quelqu'un d'autre qui en assumera les frais. Et si les données des clients se retrouvent, demain, exposées à la vue de tous, ce n'est pas vers le hacker que l'on se tournera pour réclamer une éventuelle amende GDPR. Réfléchissez dès lors soigneusement à l'impact d'une brèche de sécurité. Tenez compte de l'imprudence des utilisateurs finaux. Et prévoyez une sécurité en béton.