sécurité de l'information et gestion des risques informatiques
 
 Accueil 
 Contact 
  
Domaines sécurité
Les enjeux
de la sécurité
Organiser
la sécurité
La gestion
des risques
La continuité
d'activité
Les méthodes
de sécurité
La méthode
Mehari
Les normes
de sécurité

ISO 17799 et BS7799-2

Les aspects juridiques

La sécurité
des échanges

Les types d'attaques

Nos Prestations
Assistance
et conseil
Formations
à la sécurité

Développer un pare feu humain

L'importance de la culture sécurité

Platon, mais également Thucydide, nous ont appris que ce sont les hommes et non les pierres qui font le rempart de la Cité.

La première faille de sécurité est interne

Enquête après enquête, étude après étude, statistique après statistique, il est prouvé, répété que le comportement humain est la principale faille dans une politique de sécurité de l'information.

Les enquêtes sécurité du FBI démontrent que 91% du personnel des entreprises américaines ne comprend pas l'objectif des politiques de sécurité. De la même manière, près de 90% des salariés pensent qu'un mot de passe basé sur un nom propre ou un nom commun est solide.

Et même lorsque certaines entreprises imposent des mots de passe de 8 caractères avec un mélange de caractères spéciaux, chiffres avec un renouvellement mensuel; le résultat est que les utilisateurs notent les mots de passe sur un bout de papier ou pire sur leur PDA.

Quels sont les moyens mis en ouvre dans une entreprise pour la sensibilisation et la formation du personnel : une charte sécurité affichée dans les couloirs, un fascicule distribué aux nouveaux arrivants, . Soyons clair, ces moyens là ne contribuent pas au développement d'une culture sécurité, au mieux ils permettent de rappeler des règles à des personnes déjà sensibilisées et formées.

 

La fragilité du comportement humain face à des attaquants habiles et déterminés.

Chaque semaine, la presse se fait l'écho d'important problèmes de sécurité et de clients (de banques, de sites marchand, de sites d'enchères, .) qui se font voler des données personnelles par des subterfuges.

Plus rarement, la presse se fait l'écho d'entreprises qui se font voler des informations sensibles ou stratégiques et pourtant ces attaques se produisent aussi souvent.

Pourtant les parades existent dans un cas comme dans l'autre, car ces attaques sont basées sur les mêmes principes  :

• L'autorité : beaucoup de personnes obéissent lorsqu'une demande semble émaner d'une autorité de l'entreprise;

• L'absence de conscience : un attaquant va envoyer des mails à une adresse professionnelle pour que sa victime s'inscrive sur un site Web qui lui fera gagner des revues professionnelles, livres . La personne s'enregistrera sur ce site en laissant son adresse électronique professionnelle et . très souvent son mot de passe professionnel .

• L'entraide : un salarié reçoit un appel de la personne qui se prétend être au support informatique, celui ci lui indique une manipulation à faire pour se protéger des nouveaux virus. La semaine suivante cette même personne lui demande de tester un nouveau programme de protection qu'il lui envoie par mail (en usurpant une adresse e-mail de l'entreprise), lui demande de l'exécuter sur son poste. Et hop le cheval de Troie est installé dans l'entreprise.

Contre ce type d'attaque (appelée Ingénierie Sociale), mais également contre beaucoup d'autres types d'attaques, aucun moyen technique ne fonctionne.

La solution est de développer la conscience du personnel vis à vis des menaces et risques potentiels et de leur inculquer des comportements de prudence.


pix1 pix2 pix3 pix4