5

Click here to load reader

Social Engineering : Quelles stratégies ?

  • Upload
    hapsis

  • View
    672

  • Download
    0

Embed Size (px)

DESCRIPTION

Comment lutter contre le social engineering dans une entreprise ?

Citation preview

Page 1: Social Engineering : Quelles stratégies ?

“SOCIAL ENGINEERING : QUELLES STRATEGIES ? Hapsis

45 rue de la Chaussée d'Antin, 75015 Paris • Téléphone: 01 53 16 30 60 • www.hapsis.fr

“Social Engineering”:

Quelles stratégies ?

LIVRE BLANC HAPSIS

« Définition pas si simple »

L’ingénierie sociale (social engineering) au sens de la sécurité des systèmes d’information (SSI) est à ne pas confondre avec son homonyme désignant la réalisation de travaux dans les domaines des politiques sociales et de l’intervention sociale. Il existe même pour cette dernière un diplôme d’état. On voit ici comment la traduction d’un terme américain a pu engendrer une confusion potentielle en français, confusion d’autant plus forte que l’ingénierie sociale au sens de la SSI ne s’adresse pas qu’aux seuls professionnels de la SSI mais bien évidemment également, et au premier chef, aux professionnels des ressources humaines (RH), eux-mêmes déjà familiarisés avec cette appellation justement dans le domaine des politiques sociales. Voilà donc un sujet qui commence bien mal, engendrant une confusion amenant la majorité des professionnels de la SSI à conserver la terminologie anglo-saxonne.

Peut-être aurions-nous dû parler d’escroquerie informatique ? Une fois ce préambule établi nous utiliserons dans la suite de ce document les termes d’ingénierie sociale ou de social engineering dans un contexte de sécurité de l’information.

Proposons en premier lieu une définition : l’ingénierie sociale consiste en une série de techniques visant à amadouer, duper ou tromper une personne cible en vue d’obtenir d’elle une information ou un comportement qu’elle n’aurait pas donnée ou qu’elle n’aurait pas eu sans la mise en œuvre de ces techniques.

Hapsis Hapsis est un cabinet de conseil indépendant spécialisé dans le domaine de la gestion des risques et de la sécurité des systèmes d’information. Créé par des professionnels de la sécurité informatique, Hapsis est constitué de consultants reconnus dont l’expertise et l’expérience sont associés à une connaissance approfondie des contraintes et des enjeux des entreprises.

SE Force Pour lutter contre l’ingénierie sociale, Hapsis a mis au point l’offre SE Force. Elle est constituée de 4 volets :

Evaluation de la résistance de l’entreprise aux attaques de type SE.

Systémique : audit des processus, analyse des vulnérabilités, renforcement des processus.

Humain : sensibilisation et formation

Détection et surveillance

tel:01%2053%2016%2030%2060
http://www.hapsis.fr/
Page 2: Social Engineering : Quelles stratégies ?

“SOCIAL ENGINEERING : QUELLES STRATEGIES ? Hapsis

45 rue de la Chaussée d'Antin, 75015 Paris • Téléphone: 01 53 16 30 60 • www.hapsis.fr

Ces techniques existent depuis toujours. Les escrocs de tout poil qui ont parsemé l’Histoire de leurs méfaits sont maîtres dans l’art de les appliquer. Une différence de taille existe néanmoins entre l’usage qui en était fait autrefois et aujourd’hui. En effet, celui qui utilisait ces techniques devait à l’époque être particulièrement doué dans leur application car elles s’appliquaient essentiellement face à face entre le criminel et sa victime. Le risque d’être pris était à cet égard élevé en cas d’échec. Au travers de l’usage d’Internet non seulement les possibilités d’escroqueries se sont ouvertes à des escrocs moins qualifiés mais aussi à des escrocs provenant potentiellement du monde entier. L’ingénierie sociale est une menace à prendre très au sérieux, la plupart des experts s’accorde aujourd’hui pour la considérer comme la menace numéro 1 pesant sur les systèmes d’information des entreprises. En effet la plupart des attaques d’envergure ayant engendré les dégâts les plus importants pour les entreprises victimes et les profits les plus conséquents pour les criminels, ont, à un moment ou à un autre, exploité des techniques d’ingénierie sociale. Un scénario typique peut être le suivant :

1. Des cybercriminels sont mandatés pour pénétrer le système d’information d’une société cible et dérober des informations sensibles ;

2. Ils commencent par collecter de l’information sur la société cible et certains de ses collaborateurs ;

3. Via les réseaux sociaux ils nouent

des relations avec des collaborateurs de l’entreprise cible et deviennent leurs « amis ». Au travers de ces relations ils recueillent de précieux renseignements sur les procédures de l’entreprise, sur des noms d’autres personnes de l’entreprise et leurs responsabilités, les projets importants… ;

4. Une fois qu’ils disposent d’un nombre d’informations suffisant ils peuvent préparer l’attaque proprement dite. Pour ce faire le cybercriminel se choisit une « couverture ». Dans les cas les plus fréquents, il se fait passer pour un client, pour un collaborateur d’un fournisseur, ou encore pour un employé de la société visée. Le plus efficace est sans conteste le dernier cas. En effet, le collaborateur ciblé se sentira d’autant plus en confiance qu’il croira avoir à faire à un collègue. En revanche c’est certainement le plus difficile à accomplir et ne peut être réservé que dans des entreprises suffisamment grande et étendue pour que tous les collaborateurs ne se connaissent pas ;

5. Cette attaque s’effectue en règle générale soit par mail soit par téléphone, plus rarement par contact direct ;

6. Dans le cas d’une attaque par mail il s’agit en général de permettre l’installation dans le réseau de l’entreprise cible d’un code malveillant comme un cheval de Troie ;

Il sera ainsi possible pour les cybercriminels de « revenir » dans le réseau ainsi compromis et d’extraire des informations sensibles du système d’information de l’entreprise victime. Les attaquants utilisent donc pour ce faire les informations préalablement recueillies, et rédigent un mail crédible qui trompera une personne cible de l’entreprise. Cette dernière croira à un message légitime de l’entreprise et activera le code malveillant qu’il contient à son insu. L’un des cas les plus médiatisés en 2011 de ce type d’attaque est celui dont a été victime la société RSA ;

7. Dans le cas d’une attaque par téléphone il s’agit, dans la majorité des cas, pour l’attaquant d’obtenir des informations confidentielles de la personne contactée. On a même vu des exemples où le pirate établit une relation avec la personne cible pendant des semaines, avant d’obtenir l’information recherchée et maintenir ensuite la relation quelque temps afin de ne pas éveiller de soupçons ;

On l’aura compris les cybercriminels, pour mettre en œuvre leurs noirs desseins, vont au plus facile. Le piratage informatique pur étant de plus en plus complexe, ils ne cherchent plus à forcer le coffre-fort, ils demandent la clé ou la combinaison à l’un de ses « copropriétaires » en le dupant.

« Une menace à prendre très au sérieux »

tel:01%2053%2016%2030%2060
http://www.hapsis.fr/
Page 3: Social Engineering : Quelles stratégies ?

“SOCIAL ENGINEERING : QUELLES STRATEGIES ? Hapsis

45 rue de la Chaussée d'Antin, 75015 Paris • Téléphone: 01 53 16 30 60 • www.hapsis.fr

Une stratégie globale pour se défendre

Nous ne chercherons pas à détailler ici plus avant les mécanismes utilisés et les raisons pour lesquelles ils fonctionnent si bien. A partir de l’instant où le niveau de dangerosité de l’ingénierie sociale est bien évident, l’objectif est maintenant de dégager les lignes de la stratégie à mettre en œuvre pour lutter contre ce fléau. Toute lutte contre l’ingénierie sociale doit agir sur deux composantes de l’entreprise : les processus et les collaborateurs. En agissant sur les processus on renforce la défense systémique de l’entreprise,

c’est à dire sa capacité à résister par construction à ce type d’attaques. En agissant sur les collaborateurs on renforce la capacité de ceux-ci à identifier la menace et à se défendre et ainsi défendre leur entreprise. S’appuyant sur ce principe, la stratégie proposée est composée de trois parties :

1. Audit et défense systémique Tests d’intrusion La pratique régulière de tests d’intrusion de type ingénierie sociale permet de mesurer dans le temps les progrès accomplis par la mise en œuvre de la stratégie dans son ensemble. Ils sont également utiles afin de sensibiliser la Direction de l’entreprise à la nécessité d’agir en démontrant les risques encourus. En fonction du périmètre ciblé et de la politique de l’entreprise, ces tests pourront prendre différentes formes : campagne de phishing, envoi de mails ciblés, récupération d’informations sensibles par téléphone ou via les réseaux sociaux, intrusion dans les locaux…

Audit de processus Il s’agit d’analyser un processus de l’entreprise, comme, par exemple, celui du traitement des clients par un support téléphonique, ou encore celui du paiement des factures fournisseurs, en identifiant si à une étape ou une autre, il peut être vulnérable à une attaque d’ingénierie sociale. Sont ensuite préconisées et mises en œuvre des contre-mesures en modifiant le processus si cela est possible et/ou en formant les personnes pouvant être la cible de l’attaque. Il est particulièrement intéressant de noter ici que des objectifs sécuritaires peuvent être tout à fait en phase avec un objectif d’amélioration business. En effet, prenons le cas d’un service de banque par téléphone

tel:01%2053%2016%2030%2060
http://www.hapsis.fr/
Page 4: Social Engineering : Quelles stratégies ?

“SOCIAL ENGINEERING : QUELLES STRATEGIES ? Hapsis

45 rue de la Chaussée d'Antin, 75015 Paris • Téléphone: 01 53 16 30 60 • www.hapsis.fr

2. Education et sensibilisation Ce qu’il faut retenir Il y a beaucoup à dire sur le contenu d’un programme d’éducation et de sensibilisation à l’ingénierie sociale. Il faut en effet expliquer ce que c’est, faire prendre conscience de la menace, dire ce que l’on risque, expliquer pourquoi cela fonctionne, détailler les techniques et indiquer les parades. Cependant, pour que des personnes non professionnelles de la sécurité soient sensibles au message, fassent l’effort de comprendre et, d’appliquer les bonnes pratiques, il y a deux points essentiels à faire passer : Le risque pèse aussi et surtout sur eux. En effet, lorsqu’il s’agit d’une attaque technique, dans laquelle un pirate tente une intrusion via l’infrastructure informatique d’une entreprise, les collaborateurs ne sont pas directement impactés. Dans le cadre d’une attaque d’ingénierie sociale, c’est tout le contraire, elle cible en premier un ou plusieurs collaborateurs de l’entreprise. Au bout du compte c’est bien une personne qui se fait duper et manipuler. Les conséquences psychologiques peuvent dans ce cas être difficiles à supporter. Il est donc impératif de faire prendre conscience aux collaborateurs que cette menace les vise et les concerne directement. Ce n’est pas si compliqué que cela. Une réaction courante face à ce sujet est de considérer que les cybercriminels sont bien trop malins et compétents face aux béotiens que nous sommes et que donc on ne peut pas y faire grand chose. En fait, il est fondamental de comprendre que pour résister et faire face à une attaque d’ingénierie sociale, il n’est absolument pas nécessaire d’en maîtriser les techniques, loin s’en faut. Afin d’illustrer ce propos, on peut comparer cette situation à celle du hérisson face au renard.

En effet le renard, qui chasse le hérisson, est un animal rusé. Il déploie ainsi maints stratagèmes en vue de capturer le hérisson. Face à ces attaques au nombre desquelles il n’entend pas grand chose, le hérisson répond toujours d’une simple et unique manière : il se met en boule et dresse ses épines face à l’attaquant. Dépité, le renard rentre à chaque fois bredouille. De la même façon, il suffit au collaborateur d’une entreprise, d’apprendre les quelques réflexes simples à avoir pour faire échec aux manœuvres rusées des renards que sont les cybercriminels.

Campagnes de sensibilisation Nous ne rentrerons pas ici dans le détail de mise en œuvre de campagnes de sensibilisation et sur les facteurs clé de succès de ces campagnes. Il faut cependant prendre soin d’intégrer aux campagnes de sensibilisation, menées sur la sécurité de l’information, des modules dédiés à l’ingénierie sociale.

Formations ciblées plus poussées Certaines catégories de collaborateurs sont, en quelque sorte, en première ligne face au risque d’attaques d’ingénierie sociale. Ce sont par exemple les nouveaux arrivants, les assistantes

Lorsqu’un client appelle, un processus d’identification permet de s’assurer qu’il est bien celui qu’il prétend. Les procédures standards simples peuvent, comme cela s’est déjà produit, prêter le flanc à certaines attaques d’ingénierie sociale. Certaines banques ont renforcé cette procédure en formant leurs opérateurs à avoir un dialogue plus personnel basé sur une meilleure connaissance de leur client, tenu naturellement sur le ton d’une conversation amicale. Cela permet de renforcer le niveau de sécurité de l’identification

car le client doit fournir d’avantage d’informations, tout en ayant l’impression d’une plus grande proximité de la banque à son égard ce qui est certainement un avantage commercial.

Organisation

La lutte contre l’ingénierie sociale nécessite également qu’elle soit prise en compte d’un point de vue organisationnel. Dans la grande majorité des cas elle s’intègre dans l’organisation existante. Il peut néanmoins être utile d’y apporter parfois quelques aménagements

tel:01%2053%2016%2030%2060
http://www.hapsis.fr/
Page 5: Social Engineering : Quelles stratégies ?

“SOCIAL ENGINEERING : QUELLES STRATEGIES ? Hapsis

45 rue de la Chaussée d'Antin, 75015 Paris • Téléphone: 01 53 16 30 60 • www.hapsis.fr

de direction, les commerciaux, le support client… Pour ces personnes il est utile de leur fournir une formation plus poussée. Les objectifs de cette formation sont :

• développer auprès des collaborateurs une conscience de la menace et une compréhension des enjeux,

• leur expliquer les techniques d'ingénierie sociale utilisées,

• et surtout leur apprendre à réagir et à adopter les comportements qui protègent.

3. Détection et réponse à incidents Honeypots sociaux Dans le cadre d’une lutte efficace contre l’ingénierie sociale, il est utile de pouvoir détecter en amont la préparation d’une attaque. On l’a vu, toute attaque commence par une collecte intensive d’informations sur la cible. L’idée est donc de placer des leurres aux endroits de prédilection des attaquants, à savoir les réseaux sociaux. Ces leurres sont ce que l’on appelle des honeypots (pots de miel) sociaux, et consistent en la création de faux profils sur les réseaux sociaux, ces profils crédibilisant la possible détention d’informations susceptibles d’intéresser les attaquants. Une sollicitation de mise en relation, suivie de demandes d’informations peut ainsi éveiller les soupçons et permettre de savoir que quelque chose se prépare.

Réseau de sentinelles La plupart des entreprises cibles sont des grandes entreprises, étendues géographiquement. On l’a vu, les attaques d’ingénierie sociale peuvent cibler tout collaborateur n’importe où dans l’entreprise. Une bonne surveillance des attaques ou des tentatives d’attaques passe donc par une capillarité suffisante du processus de surveillance.

Agréable à suivre, vivante et immersive cette formation met en œuvre :

• Des ateliers basés sur des cas pratiques, Des exercices,

• Des vidéos, • Un jeu de rôle immersif spécialement conçu

pour cette formation, animée par des comédiens professionnels qui permet de mettre en pratique les enseignements.

L’idée est donc de créer un réseau interne de veille et de détection au travers d’une équipe de sentinelles réparties dans l’entreprise. Ce réseau peut venir se greffer sur le réseau existant de gestion des incidents. Les sentinelles, une fois formées, collectent autour d’elles les évènements suspects et propagent les bonnes pratiques. Les évènements recensés sont centralisés en un point ou la corrélation permet une vigilance globale.

Réponse à incidents Intégrée à la politique de gestion des incidents, la réponse faite aux incidents liés aux attaques d’ingénierie sociale consiste en la prise de mesures défensives ou de prévention complémentaires : modification de processus, formation, déploiement d’outils, surveillance accrue…

tel:01%2053%2016%2030%2060
http://www.hapsis.fr/

Tendances assurance en France : quelles implications pour vos stratégies marketing ?

Tendances assurance en France : quelles implications pour vos stratégies marketing ?

Marketing
Atelier E1 QUELLES STRATÉGIES NUMÉRIQUES POUR ATTAQUER LES BRICS ?

Atelier E1 QUELLES STRATÉGIES NUMÉRIQUES POUR ATTAQUER LES BRICS ?

Documents
Quelles sont les stratégies utilisées en lecture par un

Quelles sont les stratégies utilisées en lecture par un

Documents
Pédagogie et neuropsychologie : quelles stratégies pour les

Pédagogie et neuropsychologie : quelles stratégies pour les

Documents
Aide aux élèves en difficulté Quels dispositifs? Quelles stratégies?

Aide aux élèves en difficulté Quels dispositifs? Quelles stratégies?

Documents
Google Home - Quelles possibilités pour vos stratégies social media ?

Google Home - Quelles possibilités pour vos stratégies social media ?

Social Media
PI : quelles stratégies de protection? Nicolas Minvielle

PI : quelles stratégies de protection? Nicolas Minvielle

Documents
Fonds de dette quelles stratégies pour quels risques · 2019-02-01 · Fonds de dette : Quelles stratégies pour quels risques ? Panorama des marchés français et européen des

Fonds de dette quelles stratégies pour quels risques · 2019-02-01 · Fonds de dette : Quelles stratégies pour quels risques ? Panorama des marchés français et européen des

Documents
Réseaux Sociaux : Quelles stratégies d’utilisation pour l’entreprise ?

Réseaux Sociaux : Quelles stratégies d’utilisation pour l’entreprise ?

Business
Industrie 4.0 : quelles stratégies numériques ?

Industrie 4.0 : quelles stratégies numériques ?

Documents
Aéroports régionaux : quelles stratégies de développement

Aéroports régionaux : quelles stratégies de développement

Documents
Quelles sont les stratégies d’apprentissage que les

Quelles sont les stratégies d’apprentissage que les

Documents
Quelles stratégies peut-on utiliser pour stimuler lexpression des contenus locaux? Charles Kamdem Poeghela

Quelles stratégies peut-on utiliser pour stimuler lexpression des contenus locaux? Charles Kamdem Poeghela

Documents
Nicolas Bouzou et Christophe Marques : « Éradiquer l’hépatite C en France : quelles stratégies publiques ? »

Nicolas Bouzou et Christophe Marques : « Éradiquer l’hépatite C en France : quelles stratégies publiques ? »

Documents
PI : quelles stratégies de protection? Nicolas Minvielle

PI : quelles stratégies de protection? Nicolas Minvielle

Documents
Bpifrance - cabinet Kohler C&C - industrie 4.0 - quelles stratégies numériques - octobre 2015

Bpifrance - cabinet Kohler C&C - industrie 4.0 - quelles stratégies numériques - octobre 2015

Technology
Audencia : "protection de l'identité, quelles stratégies de protection ?"

Audencia : "protection de l'identité, quelles stratégies de protection ?"

Business
Agir sur le climat scolaire : quelles stratégies pédagogiques · Agir sur le climat scolaire : quelles stratégies pédagogiques ? Séminaire inter académique des 18 et 19 novembre

Agir sur le climat scolaire : quelles stratégies pédagogiques · Agir sur le climat scolaire : quelles stratégies pédagogiques ? Séminaire inter académique des 18 et 19 novembre

Documents
Quelles stratégies pour améliorer le pouvoir de marché des ......Alex Danau Julie Flament Daniel Van Der Steen Collectif Stratégies Alimentaires asbl Bruxelles 2011 Quelles stratégies

Quelles stratégies pour améliorer le pouvoir de marché des ......Alex Danau Julie Flament Daniel Van Der Steen Collectif Stratégies Alimentaires asbl Bruxelles 2011 Quelles stratégies

Documents
Quelles stratégies peut-on utiliser pour stimuler l’expression des contenus locaux?

Quelles stratégies peut-on utiliser pour stimuler l’expression des contenus locaux?

Documents
Les Etats-Unis face aux puissances émergentes : quelles stratégies

Les Etats-Unis face aux puissances émergentes : quelles stratégies

Documents
©Nolla.,j.(2020). Quelles stratégies de jugement en

©Nolla.,j.(2020). Quelles stratégies de jugement en

Documents
1 - Quelles sont les nouvelles stratégies diagnostiques ? 2 - Quelles sont les nouveautés sur le plan thérapeutique ? 3 - Quelles causes et/ou facteurs

1 - Quelles sont les nouvelles stratégies diagnostiques ? 2 - Quelles sont les nouveautés sur le plan thérapeutique ? 3 - Quelles causes et/ou facteurs

Documents
Quelles stratégies pour les marques de luxe en Asie

Quelles stratégies pour les marques de luxe en Asie

Documents
Géopolitique des forêts du monde. Quelles stratégies de

Géopolitique des forêts du monde. Quelles stratégies de

Documents
Handicap et transition professionnelle, quelles stratégies ...€¦ · Handicap et transition professionnelle, quelles stratégies adopter ? (Peut-on (re)mettre l’humain au cœur

Handicap et transition professionnelle, quelles stratégies ...€¦ · Handicap et transition professionnelle, quelles stratégies adopter ? (Peut-on (re)mettre l’humain au cœur

Documents
Eau et changement climatique : quelles stratégies d

Eau et changement climatique : quelles stratégies d

Documents
Les médias sociaux dans la communication publique numérique. Quelles stratégies ?

Les médias sociaux dans la communication publique numérique. Quelles stratégies ?

Business
Engineering, Services & Maintenance Solutions Engineering

Engineering, Services & Maintenance Solutions Engineering

Documents
Quelles stratégies et habitudes de consommation après la

Quelles stratégies et habitudes de consommation après la

Documents