de Rob Sobers
Au vu de la poignante histoire de Mat Honan, où Apple et Amazon ont été victimes d’attaques d’ingénierie sociale à cause de faiblesses profondes dans leurs procédures de vérification d’identité, la question à un million devient : quel est le degré de vulnérabilité à l’ingénierie sociale de vos procédures internes ?
Avez-vous déjà appelé l’assistance technique pour une réinitialisation de mot de passe ? Qu’est-ce qui vous est demandé pour vérifier votre identité ? Votre nom et votre département ? Le nom de votre supérieur hiérarchique ? Un numéro de badge ?
On peut espérer que l’histoire de Mat conduira les équipes responsables de la sécurité des entreprises de toutes tailles à prendre l’ingénierie sociale très au sérieux.
Que pouvons-nous faire ?
Une tactique hautement efficace de protection contre l’ingénierie sociale consiste à exécuter de petites attaques d’ingénierie sociale et de phishing contre vos employés. De même que nous apprenons en nous brûlant sur une plaque électrique, de même le piratage d’employés dans une simulation peut aider à enseigner à ceux-ci ce à quoi ils doivent être attentifs.
Malheureusement, parce que nous sommes humains, certaines personnes se feront piéger au moins quelques fois, et nous devons donc nous assurer de réduire les risques au minimum lorsque cela se produit. C’est ici que le principe du privilège minimal est utile.
Une situation dans laquelle les organisations peuvent être vulnérables à la fois à l’ingénierie sociale et à l’incapacité d’assurer le privilège minimal est la procédure d’autorisation. Le département informatique se trouve souvent en position d’accorder l’accès à des données sans disposer des connaissances requises quant à qui doit réellement avoir un accès.
Appelez votre assistance technique et dites-leur que vous êtes le nouveau chef adjoint des ressources humaines et que vous devez accéder aux données de salaires et à l’application de traitement des salaires. Il se peut que vous obteniez l’accès. Et à quel moment est-ce que cet accès inapproprié serait examiné, détecté et révoqué ?
C’est exactement pour cette raison que Varonis insiste tant sur la propriété des données et les procédures d’autorisation. Si toutes les demandes d’accès aux données des ressources humaines sont acheminées vers un membre de ce service, la probabilité que quelqu’un attribue à tort des permissions excessives voire complètement inappropriées est très fortement réduite. Si le personnel des ressources humaines examine régulièrement l’accès (a fortiori à l’aide de recommandations automatisées), la probabilité d’accès inappropriés diminue encore.
Voilà quelques unes des précautions que nous pouvons prendre, dans l’esprit du principe de privilège minimal, pour atteindre une meilleure sécurité.
Comme Mat l’a indiqué dans un article ultérieur :
« À mesure que davantage d’informations à notre sujet se trouvent dans des emplacements plus nombreux, nous devons nous assurer que ceux à qui nous les confions ont pris les mesures nécessaires pour assurer notre sécurité. Ce n’est pas ce qui se passe actuellement. Et tant que ce ne sera pas le cas, ce qui m’est arrivé pourrait vous arriver à vous également. »
Cela est également vrai pour nos données d’entreprise, dans le cloud comme derrière le pare-feu.
Photographie : Tony Fischer
The post Ingénierie sociale dans l’entreprise appeared first on Varonis Français.
What you should do now
Below are three ways we can help you begin your journey to reducing data risk at your company:
- Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
- Download our free report and learn the risks associated with SaaS data exposure.
- Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
David Gibson
David Gibson a plus de 20 ans d'expérience dans les domaines de la technologie et du marketing. Il s'exprime fréquemment sur la cybersécurité et les meilleures pratiques technologiques lors de conférences sectorielles et a été cité dans le New York Times, USA Today, The Washington Post et de nombreuses sources d'information sur la sécurité.