1 / 40

Le facteur humain : maillon faible ou atout pour la sécurité ?

Le facteur humain : maillon faible ou atout pour la sécurité ?. Stanislas Quastana Architecte infrastructure http://blogs.technet.com/stanislas. Cyril Voisin Chef de programme Sécurité https://blogs.technet.com/voy. Microsoft France. Pas simplement des technologies…. Archivage.

libitha
Download Presentation

Le facteur humain : maillon faible ou atout pour la sécurité ?

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Le facteur humain : maillon faible ou atout pour la sécurité ? Stanislas QuastanaArchitecte infrastructure http://blogs.technet.com/stanislas Cyril VoisinChef de programme Sécurité https://blogs.technet.com/voy Microsoft France

  2. Pas simplement des technologies…

  3. Archivage Supervision Pare-feu Politiqued’accès Correctifs Sauvegarde Restauration Clusters Gestion de systèmes Installation Annuaire Gestion desévénements IPSEC Détection d’intrusion Réparation PKI Gestion desperfs Antivirus Kerberos Processus Évaluation de risques Technologies Gestion du Changement /de la Configuration OS SSL/TLS Chiffrementde fichiers Personnes Réponse à Incident Service/ Support Admin. de l’Entreprise Admin. Du Domaine Développeur Utilisateur Les 3 facettes de la sécurité Architecturesécurisée

  4. L’huma in « Vous êtes le maillon faible ! »

  5. Qu’est-ce que l’ingénierie sociale ? • L’ingénierie sociale (ou “social engineering”) : • menace • souvent sous estimée • mais régulièrement exploitée • pour tirer parti du maillon faible de la chaîne de la sécurité : l’être humain • Forme de manipulation • Art de faire en sorte que les personnes se conforment à vos souhaits • Exploite les faiblesses du comportement humain (ignorance, naïveté, désir de se faire apprécier ou reconnaître…)

  6. Pourquoi l’ingénierie sociale ? • La manipulation, une fois maîtrisée, peut être utilisée pour obtenir l’accès à tout système en dépit de la qualité du matériel et des logiciels présents • Certainement l’attaque la plus difficile à contrer car aucune technologie n’est en mesure de l’arrêter • Motivation : gain financier, collecte d’information, revanche, espionnage industriel, ….

  7. Un exemple • “In 1994, a French hacker named Anthony Zboralski called the FBI office in Washington, pretending to be an FBI representative working at the U.S. embassy in Paris. He persuaded the person at the other end of the phone to explain how to connect to the FBI's phone conferencing system. Then he ran up a $250,000 phone bill in seven months.” Bruce Schneier. “Secret and Lies”. Pas uniquement dans les livres….

  8. Le cycle d’une attaque par manipulation

  9. Les différentes approches psychologiques • Diffusion de la responsabilité« Le chef dit que vous ne serez pas tenu responsable… » • Possibilité d’obtention de bonnes grâces« Regardez ce que vous pouvez en tirer comme bénéfice » • Obligation morale« Vous devez m’aider » • Culpabilité« Quoi? Vous ne voulez pas m’aider !? » • Relations de confiance« C’est quelqu’un de bien, je peux lui faire confiance » • Identification « Vous et moi, on se comprend tous les deux » • Désir d’aider« Pourriez-vous me tenir la porte svp, je suis chargé » • Coopération« A deux, on ira plus vite »

  10. Vecteurs d’attaques • Il existe plusieurs vecteurs d’attaques possibles pour un manipulateur : • Internet • La téléphonie • L’approche directe • Le reverse social engineering • La fouille des poubelles • Chacun de ces vecteurs peut être utilisé pour exploiter une « des failles » humaines présentées précédemment et combiné avec d’autres vecteurs

  11. 1-Attaques via Internet • Courrier électronique : • Phishing • SpearPhishing • Scam • Pièce jointe malveillante • Messagerie instantanée • Faux site Web • Logiciel malveillant • Boite de dialogue et fenêtre pop-up

  12. 2- Attaques au travers du téléphone • Le téléphone est un média particulièrement apprécié par les manipulateurs car c’est un outil de communication très commun mais surtout très impersonnel   • La plupart du temps, on ne connait pas la voix de toutes les personnes de l’entreprise et on fait confiance à l’identité affichée sur le combiné • Avec l’adoption croissante de la VoIP, les cas d’usurpation d’identité vont être de plus en plus fréquents permettant là encore des attaques par ingénierie sociale

  13. 3- L’approche directe • La majorité des gens considèrent que toutes les personnes qui leur parlent sont de bonne foi. Ceci est intéressant car c’est également un fait que la plupart des gens admettent parfois mentir • La plus simple des méthodes utilisées par un manipulateur consiste à demander directement l’information • Pour cela, plusieurs types d’approches sont possibles : • L’intimidation • La persuasion • L’assistance • ..

  14. 4- Le reverse social engineering • Le reverse social engineering (RSE) est une situation dans laquelle la victime fait l’approche initiale. Dans ce cas de figure, le manipulateur est perçu comme une aide par sa cible. Ainsi, il paraît naturel pour la cible de poser des questions mais également de donner de l’information. • Une attaque en RSE est le plus souvent décomposée en 3 phases :

  15. 5- La fouille des poubelles • Les poubelles de toute entreprise peuvent se révéler une mine d’informations • La plupart des employés considèrent en effet qu’une personne qui connaît beaucoup de choses sur l’entreprise et qui utilise le vocabulaire interne est un vrai employé • Et que trouve-t-on dans les poubelles ? • Les vieux annuaires téléphoniques • Les organigrammes • Des procédures et autres manuels • Des calendriers • Des courriers électroniques • Des brouillons de documents…

  16. Comportements susceptibles d’attaques Ciblage de spécificités naturelles de l’être humain

  17. L’humain : un atout pour la sécurité !?

  18. Le facteur humain en SSI • Faut-il éliminer l’humain ? • La sécurité serait-elle meilleure sans implication humaine ? • NON, la solution pour une meilleure sécurité n’est pas nécessairement technique • La cause de la plupart des incidents de sécurité est liée à des erreurs de management, de confiance aveugle des technophiles dans leurs solutions, manque de sensibilisation et de formation, …

  19. Le facteur humain en SSI • Différence entre sécurité voulue et réelle due à une transgression des règles ou à une violation de la politique de sécurité • Études en sécurité, fiabilité et ergonomie : hiérarchisation des priorités • Donc, pas nécessairement de volonté malveillante, mais adaptation des règles pour atteindre un but en présence de contraintes • Il faut donc améliorer l’ergonomie pour aligner les règles et les objectifs

  20. L’humain et la complexité • Les systèmes d’information sont complexes • La complexité ne peut pas être gérée par un automate à états finis (qui ne peut faire que ce pourquoi il a été conçu) • Seul l’esprit humain est capable d’appréhender les situations complexes • Ainsi, la nature imprévisible et fondamentalement irrationnelle de l’humain peut être le pire cauchemar du RSSI • MAIS dans une situation imprévue, c’est un atout irremplaçable

  21. Le facteur humain en SSI • La SSI (sécurité des systèmes d’information) relève de la gestion des risques (prise de décisions) • La SSI est le domaine des choix non déterministes • Un système technique ne peut pas piloter la SSI, des personnes le peuvent • SANS HUMAIN, PAS DE SECURITE DES SYSTEMES D’INFORMATION (et non pas l’inverse;-)) • Piloter la SSI, c’est décider dans l’incertain plutôt que gérer les risques • Le facteur humain est une incertitude, pas un risque

  22. OK, et maintenant… qu’est-ce qu’on fait ? "Human hardening guide 1.0"

  23. Démarche classique • Mettre en place une organisation sécurité • Sponsor hiérarchiquement haut placé • Responsable(s) sécurité • Information • Physique • Responsable de la formation / sensibilisation / communication • Évaluer les risques • Mettre en place les défenses appropriées dans le cadre de la politique de sécurité

  24. Une défense à plusieurs niveaux

  25. 1 - Politiques • Permettent au management de souligner la valeur des informations de l’entreprise • Fournissent une base légale pour influencer les décisions du personnel • Définissent ce que les gens doivent faire ou ne pas faire (avec les sanctions associées) • Ciblent les personnes qui doivent régulièrement répondre à des demandes (standard téléphonique, secrétariat, helpdesk…) • Leur donner l’assurance nécessaire pour résister avec aplomb • Sont réalistes et revues régulièrement

  26. 1 - Éléments de politique • Confidentialité et classification des données • Gestion et contrôle des accès (logiques & physiques) • Gestion des supports papier (rangement & destruction) • Création et gestion des comptes utilisateurs • Politique de mots de passe • Procédures du helpdesk • …

  27. 2 – Sensibilisation • Votre confiance doit se mériter, ne vous laissez pas duper • Savoir ce qui a de la valeur • Les personnes sympathiques ne sont pas nécessairement des personnes de confiance • Les amitiés liées au téléphone sont peu fiables • Les mots de passe sont personnels • Comme les chewinggums • L’habit ne fait pas le moine • Le livreur n’est pas toujours un vrai livreur • Authentifier l’appelant avant toute conversation sensible (même si elle n’en a pas l’air)

  28. 2 - Sensibilisation • Signature d’une charte • Réunions de groupe • Utilisation des broyeurs • Rappels périodiques • Audits réguliers • Lettres d’information • Vidéos • Bannière de logon • Économiseur d’écran • Brochures • Panneaux • Posters • Bandes dessinées • Tapis de souris • Autocollants • Bloc notes • Stylos • …

  29. 2 - Quelques exemples

  30. 2 - Formation : apprendre à reconnaître les signes • Refus de l’appelant de s’identifier • Précipitation • Citation de noms • Intimidation • Fautes d’orthographe • Questions bizarres • …

  31. 3 - Durcissement des personnes ! • Apprendre à dire « non » • Nécessite le soutien entier et complet du management • Entrainer ses employés • Apprendre les arguments et contre arguments • Marteler le message - Faire prendre conscience • Cela existe vraiment • Ça n’arrive pas qu’aux autres

  32. 4 - Les pièges anti-manipulateurs • Identifier les inconnus • Qui êtes-vous ? Où est votre badge ? Je vous raccompagne • Journal des entrées & sorties; ouverture avec badge • Politique de rappel téléphonique systématique • Politique de “Veuillez patienter” • Ne pas agir dans la précipitation, prendre le temps de valider la demande • Question piège

  33. 5 - Réponse à incident • Processus bien défini qui : • Atténue les activités frauduleuses • Alerte d’autres victimes potentielles • Contacte le personnel de la sécurité • Test régulier et mise à jour si nécessaire

  34. Synthèse

  35. Réduction de l’incertitude liée aux comportements inappropriés • L’ingénierie sociale est un problème sérieux. Il faut non seulement établir de bonnes politiques pour s’en protéger mais aussi cultiver 3 ingrédients : • Savoir : formation appropriée pour faire et connaître les politiques et apprendre les méthodes utilisées par les manipulateurs, les risques encourus pour l’entreprise et comment s’en prémunir • Pouvoir : moyens et autorité nécessaires, responsabilité personnelle, récompense des initiatives personnelles • Vouloir : avoir la volonté de réagir dans le sens de l’intérêt général (être responsable) • Sélectionner les personnes qui peuvent détecter les anomalies • Adapter la culture d’entreprise et le style de management

  36. « L’épaisseur d’un rempart compte moins que la volonté de le défendre » Thucydide, historien grec du 5ème siècle avant J-C

  37. Références • Remerciements à Robert Longeon • Nos blogs • http://blogs.technet.com/stanislas/https://blogs.technet.com/voy • Quelques livres • L’Art de la Supercherie de Kevin Mitnick (ISBN 2-7440-1570-9) • Petit Traité De Manipulation À L‘Usage Des Honnêtes Gens de Robert-Vincent Joule et Jean-Léon Beauvois • Décisions absurdes de Christian Morel (ISBN 2-07-031542-8) • Sur le site Web de Microsoft • Portail sécurité http://www.microsoft.com/france/securite • How to Protect Insiders from Social Engineering Threats http://www.microsoft.com/downloads/details.aspx?FamilyID=05033E55-AA96-4D49-8F57-C47664107938&displaylang=en

  38. Annexe

  39. Prevention strategies

More Related