Vie privée? Quelle vie privée?
La carte SIS rendue obligatoire pour les données de télécommunications, les cartes de fidélité dans les supermarchés, la surveillance par caméra, etc. Dans notre vie quotidienne, plus rien ne passe inaperçu. Tout est déterminé quelque part, dans votre entreprise aussi. Les personnes malintentionnées ont d’autant plus facile de mettre la main sur des informations importantes.
Avec tous les gadgets technologiques de ces dernières années, il n’est plus si difficile pour les criminels de mettre la main sur des informations d’entreprises importantes. Dans la majorité des cas, ils prennent tout simplement ce qu’ils veulent, souvent incognito.
Il ressort ainsi du Data Breach Investigations Report de Verizon Business que 75% des victimes ne s’aperçoivent pas du cambriolage. Il s’avère en outre que 83% des attaques ne sont pas si difficiles et que même 87% auraient pu être évitées en effectuant des contrôles. Le rapport montre aussi que dans 73% des cas, les infractions sont commises par des personnes extérieures à l’entreprise et dans environ 18% des cas, par des collaborateurs internes.
Symantec effectue aussi régulièrement des enquêtes au sujet de la protection des données. L’Internet Security Threat Report (ISTR) est une étude récurrente qui offre une mise à jour des risques Internet des six derniers mois. Ce qui frappe dans la version la plus récente (avril 2008), c’est la croissance explosive des activités cybercriminelles. Les chiffres indiquent que les criminels prennent de plus en plus souvent les informations confidentielles pour cible. “Autrement dit: les activités criminelles visent davantage les personnes que les ordinateurs”, explique Tom Welling, spécialiste en sécurité chez Symantec.
Les criminels ont en effet trouvé une nouvelle manière pour s’approprier des données importantes. S’ils ne peuvent pas voler ce qui les intéresse, ils se contentent de le demander. Cela semble peut-être bizarre, mais c’est plus facile à faire que ce que vous ne pensez moyennant quelques trucs simples.
Social phishing
Le social phishing est un phénomène en progression, et fait référence aux criminels qui abusent les sites de réseaux sociaux et jouent sur la confiance que les internautes ont dans ces systèmes. Ils révèlent par conséquent des informations très personnelles ou des informations de l’entreprise et se montrent moins prudents. Ce qui est inquiétant, c’est que ce n’est pas un programmeur frustré qui se cache derrière la majorité des attaques, mais des bandes organisées qui opèrent dans le monde entier et qui font de ce fait preuve d’une flexibilité et d’une réactivité effrayantes. Ces cybercriminels professionnels disposent en outre d’une foule de moyens, comme les back-up servers qui ont permis aux instances de recherche ou aux ISP de démanteler leurs activités existantes.
“Les sociétés prennent la chose très au sérieux. Elles ont bien sûr tout intérêt à ce que les clients continuent de leur faire confiance. Mais le fait qu’elles prennent leurs responsabilités ne signifie pas que le client peut dormir sur ses deux oreilles”, déclare Welling. “Le client doit comprendre que la sécurité absolue n’existe pas, mais que l’on peut s’en approcher de très près grâce aux progiciels antivirus, aux pare-feu et aux mises à jour de sécurité. Les moyens existent, mais le client doit les utiliser.”
Comme nous l’avons déjà dit précédemment, les criminels s’intéressent de plus en plus aux personnes et moins aux ordinateurs. Cela n’a rien d’étonnant. L’homme reste le maillon faible de la sécurité. Rien de plus facile par exemple que d’appeler le help desk d’une grande société en tant que collaborateur X pour demander et obtenir un mot de passe en disant simplement ‘je travaille dans tel département et je dois pouvoir accéder à ces données, mais j’ai oublié le mot de passe’. La distance entre les deux équipes est parfois aussi grande que la confiance sans limite avec laquelle on s’empresse de transmettre aveuglément les informations.
Les principales raisons sont l’ignorance, la négligence du personnel et la progression des sites de réseautage. La popularité de LinkedIn, notamment, a fortement augmenté au cours de ces dernières années. Mi-2007, le réseau comptait plus de 12 millions d’utilisateurs enregistrés dans le monde. Pour les mercaticiens et les chasseurs de têtes, ces sites sont LE phénomène de mode actuel, mais il en va de même pour les cybercriminels. Beaucoup de visiteurs de ces sites mettent en ligne des trésors d’informations confidentielles ou tentent au moins de le faire, ce qui simplifie énormément la vie des cybercriminels. De plus, la plupart des gens ne sont pas du tout conscients de ces dangers.
Mieux vaut prévenir
De très nombreuses mesures peuvent être prises pour éviter les problèmes et surtout pour que les informations confidentielles le restent. Au niveau individuel, Symantec conseille dans son rapport de ne rendre les informations personnelles disponibles que pour les amis. Vous trouverez un exemple de cette approche chez Hyves, où votre profil n’est pas visible pour chaque visiteur. Après quoi, chaque ordinateur doit toujours être équipé des progiciels antivirus les plus récents, de pare-feu et des mises à jour de sécurité afin de dresser des barrières aussi hautes que possible.
Au niveau de l’entreprise, il faut absolument établir une security policy claire. Ce document doit décrire de manière précise les étapes qu’il convient de prendre en cas de problèmes précis et définir les responsabilités de chacun. Mais une policy n’est pourtant pas suffisante. Beaucoup de sociétés ont en effet une politique de sécurité en bonne et due forme, mais elle reste souvent lettre morte. La direction doit communiquer clairement ce qui se trouve dans ce document et ce qu’elle attend du personnel. Il faut en outre s’assurer ensuite que cette politique est effectivement appliquée.
