|

Êtes vous le maillon faible ?

Protection SILes outils de protection des Systèmes d’Information ont évolué rapidement pour faire face aux attaques diverses et variées, tant dans leurs modes techniques que dans leurs objectifs : l’espionnage industriel, la concurrence déloyale, le sabotage, le «challenge» du jeune «hacker», etc.

L’industrie de la sécurité informatique est florissante, avec une gamme de produits de pare-feux, anti-virus, anti-spyware et autres qui ont évolué au fil du temps avec une intégration intelligente de l’analyse des comportements, et l’apparition d’UTM (United Threat Management), de NIPS (Network Intrusion Prevention Systems), de HIPS (Host Intrusion Prevention Systems) et des SIEM (Security Information and Event Management), et tant d’autres.
Effectivement une mise en oeuvre de tous les moyens de protection possibles, surtout pour les données sensibles est nécessaire.

Savez vous quelle est la vulnérabilité commune et fréquente sur laquelle les spécialistes de la sécurité informatique semblent être tous d’accord ? Vous ! Oui, vous, l’utilisateur.
Les pirates de nos jours, devant les robustes boucliers déployés pour sécuriser les infrastructures Informatiques, ont de plus en plus de mal à passer et ont donc besoin de votre aide. Allez vous collaborer avec eux ? Peut-être même l’avez vous déjà fait !
Lors d’une attaque récente, émanant de la Chine et qui avait pour cible certains gros groupes, les attaquants avaient tenté de pirater des comptes de réseaux sociaux d’amis de certains salariés des groupes ciblés pour avoir de meilleures chances que les destinataires cliquent sur les liens envoyés soi-disant par leurs amis.

En effet, les failles techniques devenant de plus en plus difficiles à exploiter de par l’amélioration des outils et la multiplication des couches de sécurisation, les attaquants ciblent de plus en plus la faille humaine. En bref, vous êtes mis en confiance (mail ou message instantané provenant d’une personne connue et de confiance), puis vous êtes exploités : vous devenez la faille, le maillon faible de votre SI.


Sans tomber dans l'extrême paranoïa, quelques principes simples de comportement et de bon sens peuvent vous protéger, ainsi que votre SI :

Réseau

  • N’utilisez pas un compte à privilèges élevés sur votre ordinateur. Les utilisateurs prennent souvent la réduction de droits sur leur compte informatique comme une punition. Saviez vous que les pirates et logiciels malveillants attaquent le plus souvent l’ordinateur cible avec le compte de l’utilisateur qui y est connecté au moment de l'attaque ? Si ce dernier est administrateur, l’attaquant à beaucoup plus de pouvoir de nuisance.

  • N’ouvrez pas de messages provenant de personnes que vous ne connaissez pas ayant des objets suspects et / ou hors contexte : « programme de vacances » si vous n’êtes pas en cours de planification de vos vacances est un objet de message hors contexte.

  • Protégez vos informations et votre vie privée, vous en serez plus sécurisés et vos amis aussi. Si vous choisissez d’adhérer à des réseaux sociaux ou professionnels en ligne, veillez à bien paramétrer les options de confidentialité, une personne qui à des informations partielles peut obtenir les informations manquantes beaucoup plus facilement. Vous donnerez beaucoup plus facilement l’adresse d’un ami à quelqu’un qui vous prouve qu’il a déjà son numéro de téléphone et sa date de naissance.

  • Ne renseignez jamais des informations sensibles sur une page vers laquelle vous avez été dirigés en suivant un lien. Ce mode d’attaque connu sous le nom de «Phishing» exploite encore une fois l’utilisateur. Un message qui semble provenir d’une entreprise, banque, site de vente en ligne ou autre vous demandant par exemple de renseigner des informations confidentielles (numéro de compte, code d’accès, etc) sur un portail qui ressemble au site de l’établissement en question mais qui n’est autre qu’une plate-forme de piratage qui récupère vos données pour en faire un mauvais usage. Dans le doute, tapez vous-même l’adresse du site dans la barre d’adresse de votre navigateur ou / et contactez l’établissement pour vérifier s’ils sont bien à l’origine de la demande.

  • Protégez vos divers codes d'accès et mots de passes, un fichier «mot de passe» sauvegardé sur votre ordinateur est une très mauvaise idée.

  • Ne prêtez pas vos identifiants et quand cela est possible changez vos mots de passes sensibles régulièrement en utilisant des moyens mnémotechniques qui vous permettent des combinaisons complexes mais faciles à mémoriser pour vous. Un exemple simple permettant de combiner chiffres, lettres, majuscules et minuscules : Anne habite Paris. Son mot de passe peut être @nn37510 : le 3 étant un E inversé, le @ remplace le A, puis son département et l’année en cours. Résultat, un mot de passe fort dont elle peut se souvenir facilement.


Trop souvent les utilisateurs se sentent sécurisés par les différents moyens mis en place et pensent donc ne plus rien risquer. Vous devez sécuriser vos réseaux, en entreprise ceci est même une obligation légale. Mais agissez quand même avec prudence et bon sens, soyez une couche de sécurité supplémentaire et non une faille !

Retour aux articles