le facteur humain maillon faible ou atout pour la s curit n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Le facteur humain : maillon faible ou atout pour la sécurité ? PowerPoint Presentation
Download Presentation
Le facteur humain : maillon faible ou atout pour la sécurité ?

Loading in 2 Seconds...

play fullscreen
1 / 40

Le facteur humain : maillon faible ou atout pour la sécurité ? - PowerPoint PPT Presentation


  • 81 Views
  • Uploaded on

Le facteur humain : maillon faible ou atout pour la sécurité ?. Stanislas Quastana Architecte infrastructure http://blogs.technet.com/stanislas. Cyril Voisin Chef de programme Sécurité https://blogs.technet.com/voy. Microsoft France. Pas simplement des technologies…. Archivage.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Le facteur humain : maillon faible ou atout pour la sécurité ?' - libitha


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
le facteur humain maillon faible ou atout pour la s curit

Le facteur humain : maillon faible ou atout pour la sécurité ?

Stanislas QuastanaArchitecte infrastructure

http://blogs.technet.com/stanislas

Cyril VoisinChef de programme Sécurité

https://blogs.technet.com/voy

Microsoft France

les 3 facettes de la s curit

Archivage

Supervision

Pare-feu

Politiqued’accès

Correctifs

Sauvegarde

Restauration

Clusters

Gestion de systèmes

Installation

Annuaire

Gestion desévénements

IPSEC

Détection d’intrusion

Réparation

PKI

Gestion desperfs

Antivirus

Kerberos

Processus

Évaluation de risques

Technologies

Gestion du

Changement /de la Configuration

OS

SSL/TLS

Chiffrementde fichiers

Personnes

Réponse à Incident

Service/

Support

Admin.

de l’Entreprise

Admin. Du Domaine

Développeur

Utilisateur

Les 3 facettes de la sécurité

Architecturesécurisée

l huma in

L’huma in

« Vous êtes le maillon faible ! »

qu est ce que l ing nierie sociale
Qu’est-ce que l’ingénierie sociale ?
  • L’ingénierie sociale (ou “social engineering”) :
    • menace
    • souvent sous estimée
    • mais régulièrement exploitée
    • pour tirer parti du maillon faible de la chaîne de la sécurité : l’être humain
  • Forme de manipulation
    • Art de faire en sorte que les personnes se conforment à vos souhaits
    • Exploite les faiblesses du comportement humain (ignorance, naïveté, désir de se faire apprécier ou reconnaître…)
pourquoi l ing nierie sociale
Pourquoi l’ingénierie sociale ?
  • La manipulation, une fois maîtrisée, peut être utilisée pour obtenir l’accès à tout système en dépit de la qualité du matériel et des logiciels présents
  • Certainement l’attaque la plus difficile à contrer car aucune technologie n’est en mesure de l’arrêter
  • Motivation : gain financier, collecte d’information, revanche, espionnage industriel, ….
un exemple
Un exemple
  • “In 1994, a French hacker named Anthony Zboralski called the FBI office in Washington, pretending to be an FBI representative working at the U.S. embassy in Paris. He persuaded the person at the other end of the phone to explain how to connect to the FBI's phone conferencing system. Then he ran up a $250,000 phone bill in seven months.”

Bruce Schneier. “Secret and Lies”.

Pas uniquement dans les livres….

les diff rentes approches psychologiques
Les différentes approches psychologiques
  • Diffusion de la responsabilité« Le chef dit que vous ne serez pas tenu responsable… »
  • Possibilité d’obtention de bonnes grâces« Regardez ce que vous pouvez en tirer comme bénéfice »
  • Obligation morale« Vous devez m’aider »
  • Culpabilité« Quoi? Vous ne voulez pas m’aider !? »
  • Relations de confiance« C’est quelqu’un de bien, je peux lui faire confiance »
  • Identification « Vous et moi, on se comprend tous les deux »
  • Désir d’aider« Pourriez-vous me tenir la porte svp, je suis chargé »
  • Coopération« A deux, on ira plus vite »
vecteurs d attaques
Vecteurs d’attaques
  • Il existe plusieurs vecteurs d’attaques possibles pour un manipulateur :
      • Internet
      • La téléphonie
      • L’approche directe
      • Le reverse social engineering
      • La fouille des poubelles
  • Chacun de ces vecteurs peut être utilisé pour exploiter une « des failles » humaines présentées précédemment et combiné avec d’autres vecteurs
1 attaques via internet
1-Attaques via Internet
  • Courrier électronique :
    • Phishing
    • SpearPhishing
    • Scam
    • Pièce jointe malveillante
  • Messagerie instantanée
  • Faux site Web
  • Logiciel malveillant
  • Boite de dialogue et fenêtre pop-up
2 attaques au travers du t l phone
2- Attaques au travers du téléphone
  • Le téléphone est un média particulièrement apprécié par les manipulateurs car c’est un outil de communication très commun mais surtout très impersonnel  
  • La plupart du temps, on ne connait pas la voix de toutes les personnes de l’entreprise et on fait confiance à l’identité affichée sur le combiné
  • Avec l’adoption croissante de la VoIP, les cas d’usurpation d’identité vont être de plus en plus fréquents permettant là encore des attaques par ingénierie sociale
3 l approche directe
3- L’approche directe
  • La majorité des gens considèrent que toutes les personnes qui leur parlent sont de bonne foi. Ceci est intéressant car c’est également un fait que la plupart des gens admettent parfois mentir
  • La plus simple des méthodes utilisées par un manipulateur consiste à demander directement l’information
  • Pour cela, plusieurs types d’approches sont possibles :
    • L’intimidation
    • La persuasion
    • L’assistance
    • ..
4 le reverse social engineering
4- Le reverse social engineering
  • Le reverse social engineering (RSE) est une situation dans laquelle la victime fait l’approche initiale. Dans ce cas de figure, le manipulateur est perçu comme une aide par sa cible. Ainsi, il paraît naturel pour la cible de poser des questions mais également de donner de l’information.
  • Une attaque en RSE est le plus souvent décomposée en 3 phases :
5 la fouille des poubelles
5- La fouille des poubelles
  • Les poubelles de toute entreprise peuvent se révéler une mine d’informations
  • La plupart des employés considèrent en effet qu’une personne qui connaît beaucoup de choses sur l’entreprise et qui utilise le vocabulaire interne est un vrai employé
  • Et que trouve-t-on dans les poubelles ?
    • Les vieux annuaires téléphoniques
    • Les organigrammes
    • Des procédures et autres manuels
    • Des calendriers
    • Des courriers électroniques
    • Des brouillons de documents…
comportements susceptibles d attaques
Comportements susceptibles d’attaques

Ciblage de spécificités naturelles de l’être humain

le facteur humain en ssi
Le facteur humain en SSI
  • Faut-il éliminer l’humain ?
  • La sécurité serait-elle meilleure sans implication humaine ?
  • NON, la solution pour une meilleure sécurité n’est pas nécessairement technique
    • La cause de la plupart des incidents de sécurité est liée à des erreurs de management, de confiance aveugle des technophiles dans leurs solutions, manque de sensibilisation et de formation, …
le facteur humain en ssi1
Le facteur humain en SSI
  • Différence entre sécurité voulue et réelle due à une transgression des règles ou à une violation de la politique de sécurité
    • Études en sécurité, fiabilité et ergonomie : hiérarchisation des priorités
    • Donc, pas nécessairement de volonté malveillante, mais adaptation des règles pour atteindre un but en présence de contraintes
    • Il faut donc améliorer l’ergonomie pour aligner les règles et les objectifs
l humain et la complexit
L’humain et la complexité
  • Les systèmes d’information sont complexes
  • La complexité ne peut pas être gérée par un automate à états finis (qui ne peut faire que ce pourquoi il a été conçu)
  • Seul l’esprit humain est capable d’appréhender les situations complexes
    • Ainsi, la nature imprévisible et fondamentalement irrationnelle de l’humain peut être le pire cauchemar du RSSI
    • MAIS dans une situation imprévue, c’est un atout irremplaçable
le facteur humain en ssi2
Le facteur humain en SSI
  • La SSI (sécurité des systèmes d’information) relève de la gestion des risques (prise de décisions)
  • La SSI est le domaine des choix non déterministes
  • Un système technique ne peut pas piloter la SSI, des personnes le peuvent
    • SANS HUMAIN, PAS DE SECURITE DES SYSTEMES D’INFORMATION (et non pas l’inverse;-))
    • Piloter la SSI, c’est décider dans l’incertain plutôt que gérer les risques
  • Le facteur humain est une incertitude, pas un risque
d marche classique
Démarche classique
  • Mettre en place une organisation sécurité
    • Sponsor hiérarchiquement haut placé
    • Responsable(s) sécurité
      • Information
      • Physique
    • Responsable de la formation / sensibilisation / communication
  • Évaluer les risques
  • Mettre en place les défenses appropriées dans le cadre de la politique de sécurité
1 politiques
1 - Politiques
  • Permettent au management de souligner la valeur des informations de l’entreprise
  • Fournissent une base légale pour influencer les décisions du personnel
  • Définissent ce que les gens doivent faire ou ne pas faire (avec les sanctions associées)
  • Ciblent les personnes qui doivent régulièrement répondre à des demandes (standard téléphonique, secrétariat, helpdesk…)
    • Leur donner l’assurance nécessaire pour résister avec aplomb
  • Sont réalistes et revues régulièrement
1 l ments de politique
1 - Éléments de politique
  • Confidentialité et classification des données
  • Gestion et contrôle des accès (logiques & physiques)
  • Gestion des supports papier (rangement & destruction)
  • Création et gestion des comptes utilisateurs
  • Politique de mots de passe
  • Procédures du helpdesk
2 sensibilisation
2 – Sensibilisation
  • Votre confiance doit se mériter, ne vous laissez pas duper
  • Savoir ce qui a de la valeur
  • Les personnes sympathiques ne sont pas nécessairement des personnes de confiance
    • Les amitiés liées au téléphone sont peu fiables
  • Les mots de passe sont personnels
    • Comme les chewinggums
  • L’habit ne fait pas le moine
    • Le livreur n’est pas toujours un vrai livreur
  • Authentifier l’appelant avant toute conversation sensible (même si elle n’en a pas l’air)
2 sensibilisation1
2 - Sensibilisation
  • Signature d’une charte
  • Réunions de groupe
  • Utilisation des broyeurs
  • Rappels périodiques
  • Audits réguliers
  • Lettres d’information
  • Vidéos
  • Bannière de logon
  • Économiseur d’écran
  • Brochures
  • Panneaux
  • Posters
  • Bandes dessinées
  • Tapis de souris
  • Autocollants
  • Bloc notes
  • Stylos
2 formation apprendre reconna tre les signes
2 - Formation : apprendre à reconnaître les signes
  • Refus de l’appelant de s’identifier
  • Précipitation
  • Citation de noms
  • Intimidation
  • Fautes d’orthographe
  • Questions bizarres
3 durcissement des personnes
3 - Durcissement des personnes !
  • Apprendre à dire « non »
    • Nécessite le soutien entier et complet du management
  • Entrainer ses employés
    • Apprendre les arguments et contre arguments
  • Marteler le message - Faire prendre conscience
    • Cela existe vraiment
    • Ça n’arrive pas qu’aux autres
4 les pi ges anti manipulateurs
4 - Les pièges anti-manipulateurs
  • Identifier les inconnus
    • Qui êtes-vous ? Où est votre badge ? Je vous raccompagne
  • Journal des entrées & sorties; ouverture avec badge
  • Politique de rappel téléphonique systématique
  • Politique de “Veuillez patienter”
    • Ne pas agir dans la précipitation, prendre le temps de valider la demande
  • Question piège
5 r ponse incident
5 - Réponse à incident
  • Processus bien défini qui :
    • Atténue les activités frauduleuses
    • Alerte d’autres victimes potentielles
    • Contacte le personnel de la sécurité
  • Test régulier et mise à jour si nécessaire
r duction de l incertitude li e aux comportements inappropri s
Réduction de l’incertitude liée aux comportements inappropriés
  • L’ingénierie sociale est un problème sérieux. Il faut non seulement établir de bonnes politiques pour s’en protéger mais aussi cultiver 3 ingrédients :
    • Savoir : formation appropriée pour faire et connaître les politiques et apprendre les méthodes utilisées par les manipulateurs, les risques encourus pour l’entreprise et comment s’en prémunir
    • Pouvoir : moyens et autorité nécessaires, responsabilité personnelle, récompense des initiatives personnelles
    • Vouloir : avoir la volonté de réagir dans le sens de l’intérêt général (être responsable)
  • Sélectionner les personnes qui peuvent détecter les anomalies
    • Adapter la culture d’entreprise et le style de management
l paisseur d un rempart compte moins que la volont de le d fendre

« L’épaisseur d’un rempart compte moins que la volonté de le défendre »

Thucydide, historien grec du 5ème siècle avant J-C

r f rences
Références
  • Remerciements à Robert Longeon
  • Nos blogs
    • http://blogs.technet.com/stanislas/https://blogs.technet.com/voy
  • Quelques livres
    • L’Art de la Supercherie de Kevin Mitnick (ISBN 2-7440-1570-9)
    • Petit Traité De Manipulation À L‘Usage Des Honnêtes Gens de Robert-Vincent Joule et Jean-Léon Beauvois
    • Décisions absurdes de Christian Morel (ISBN 2-07-031542-8)
  • Sur le site Web de Microsoft
    • Portail sécurité http://www.microsoft.com/france/securite
    • How to Protect Insiders from Social Engineering Threats http://www.microsoft.com/downloads/details.aspx?FamilyID=05033E55-AA96-4D49-8F57-C47664107938&displaylang=en