Pour protéger vos données, la technologie miracle n'existe pas. Et pour cause : le plus grand péril qui pèse sur votre sécurité est à chercher du côté des utilisateurs. Il est donc grand temps de mettre en place une politique de formation et de sensibilisation.
Pare-feu, antivirus ou chiffrement, la panoplie d'outils de sécurité déployée aujourd'hui dans les entreprises constituent une barricade indispensable face à la montée des cybermenaces. En revanche, elles ne sont pas, et ne seront sans doute jamais, un rempart absolument infaillible. La technologie de sécurité parfaite n'existe pas. D'une part parce que les hackers développent de nouvelles méthodes d'intrusion à un rythme effréné, d'autre part parce que la principale faille de sécurité observée dans les entreprises n'est pas technologique, mais humaine.
Selon un rapport publié en mai 2015 par l'organisme américain CompTIA (Computing Technology Industry Association), l'erreur humaine serait responsable de 52 % des failles de sécurité, alors que 48 % pourraient être imputables à une cause technique. Assurer la protection d'un système d'information réclame donc la création d'une véritable armée dont chaque utilisateur sera un soldat. La clé pour constituer cette armée réside dans la sensibilisation et la formation. Le moment est donc venu de responsabiliser davantage les collaborateurs quant aux informations avec lesquelles ils travaillent quotidiennement.
contre 48 % pour une cause technique.” - CompTIA”
D'après une étude menée par PWC (The Global State of Information Security), les organisations ayant mis en place un programme de sensibilisation à la sécurité informatique ont moitié moins de risques d'être victime d'une faille liée à un comportement utilisateur. Peu d'outils sur le marché, voire aucun, peuvent se targuer d'offrir un tel résultat.
Former les utilisateurs permet non seulement de mieux contrer les attaques externes, mais aussi de lutter contre la malveillance interne. Difficile à bloquer par la technologie, « l'ennemi » intérieur dispose, de par le poste qu'il occupe, un droit d'accès à certaines parties du SI qui lui sont nécessaires pour travailler. Son activité, même illicite, peut donc facilement passer sous les radars des systèmes de sécurité. C'est pourquoi le CERT de l'université Carnegie-Mellon (Pennsylvanie) encourage les entreprises à expliquer à leurs salariés comment identifier des comportements suspects, comme des copies massives de données sur des périphériques externes par exemple ou des tentatives pour obtenir certains mots de passe.
Idem pour les méthodes d'ingénierie sociale dont raffolent les hackers du monde entier. Plus proche de l'escroquerie que du véritable piratage informatique, le social engineering consiste à manipuler un utilisateur pour lui soutirer des informations sensibles ou pour l'inciter à ouvrir un fichier contenant un malware. « Une fois prévenus, les employés sont plus vigilants et davantage susceptibles de faire remonter l'information aux responsables sécurité face à ce type de situation », explique le CERT dans son guide sur la menace interne (Common Sense Guide to Mitigating Insider Threats).
Un des principaux réflexes à inculquer aux utilisateurs est de ne pas se précipiter. Avant de réagir à un email contenant des liens, il est primordial de s'assurer que le message ne contient rien de suspect. Marquer un temps d'arrêt pour examiner le mail reçu (expéditeur, objet, pièce jointe, corps de texte) constitue la meilleure défense contre l'ingénierie sociale. Quelques signes simples comme un français très approximatif où un nom de domaine douteux peuvent être les premiers signes d'une tentative d'intrusion. N'ouvrez pas la porte à n'importe qui.
De manière plus générale, quelques bonnes pratiques peuvent vous aider à mettre en place un programme de sensibilisation efficace :
- ► Commencez par évaluer le niveau de connaissance et de maîtrise des utilisateurs afin d'identifier les lacunes et définir un plan pour les combler.
- ► Établissez ensuite des tests continus pour instiller une véritable culture de la sécurité au sein du personnel. Une fois formés, testez à nouveau les utilisateurs afin de mettre en avant les progrès réalisés. Les tournois de phishing peuvent dans ce cadre constituer des outils pédagogiques efficaces, car les employés peuvent voir quels leurres d'ingénierie sociale les ont dupés.
- ► Formez aux premiers secours. Dans l'informatique comme dans la vie, il existe des gestes qui sauvent. Il est essentiel de comprendre comment réagir face à une menace. Redémarrer son ordinateur par exemple est un réflexe courant mais qui peut détruire de précieuses preuves. Déconnectez-le plutôt du réseau pour éviter la propagation et laisser le temps aux équipes IT d'analyser le poste.
Respectez le réglement de la communauté.
Actualités du moment
Une fois encore, celui qui s'est proclamé inventeur du Bitcoin fait un pas en arrière. Après avoir affirmé être le créateur de la monnaie virtuelle, Craig Wright refuse d'apporter la preuve de sa paternité.
Ce n'est pas faute de prévenir les consommateurs : le Black Friday, la journée de promotions qui vient des Etats-Unis et tombe le vendredi 24 novembre 2017, est l'occasion pour les arnaqueurs de faire de nombreuses victimes. Sur Internet, bien évidemment (sauf si vous suivez nos bons plans, sélectionnés avec amour !), mais également dans la vie réelle où certaines personnes se font encore avoir avec des techniques vieilles comme le monde.
Un internaute explique avoir récupéré un prototype d'iPhone 6 et le propose à la vente sur la plateforme d'enchères eBay.
La Tesla Model S d'entrée de gamme sera bientôt plus autonome... mais aussi plus chère. Le constructeur lancera cette semaine une nouvelle version avec une batterie de 75 kWh.
Si Google domine largement le marché des smartphones avec son système d'exploitation gratuit Android, ce n'est pas le cas d'Android OS pour les smartwatches, largement boudé par les constructeurs. Il faut dire que la domination d'Apple sur ce marché ne simplifie pas les choses. Cela pourrait changer avec l'arrivée de Wear OS, en début d'année, qui pourrait être suivi d'une montre Pixel à la rentrée.
Lorsqu'un écran d'ordinateur n'affiche pas les bonnes couleurs, plusieurs vérifications peuvent peut-être permettre d'y remédier. Voici comment régler les couleurs d'un écran PC...
Les nombreux fichiers et programmes inutiles qui s'accumulent au fil du temps sur votre PC peuvent nuire à ses performances. Voici quelques astuces pour les éradiquer et nettoyer votre système de fond en comble.
Corsair complète aujourd'hui sa gamme d'alimentations Professional du modèle TX850W, capable comme son nom l'indique de délivrer une puissance de 850 watts. Cette nouvelle alimentation rejoint la série TX intégrant déjà deux modèles de 650 et 750 watts. Il s'agit d'une alimentation destinée aux utilisateurs exigeants et aux joueurs qui, contrairement à la Corsair HX450W présentée récemment, n'est pas modulaire.
Le connecteur USB Type-C a été dévoilé il y a un an, puis ratifié il y a six mois, mais il commence à se concrétiser ce mois-ci et devrait rapidement se démocratiser. L'occasion de revenir sur certaines subtilités et de devancer quelques confusions potentielles.
Le succès de Facebook crée des émules. Emboîtant le pas à l'allemand StudiVZ, voici un clone d'un tout autre genre. Celui-ci porte le nom évocateur de Sexebook, est tout rose (comme... un bonbon) et se veut libertin. Internautes de moins de 18 ans, passez votre chemin, ce réseau social s'adresse aux galopins qui pokent le premier soir !
