Hacking d’entreprise : “rien ne sert d’investir des millions, si l’utilisateur clique sans réfléchir”

© Thinkstock

Votre entreprise est-elle protégée contre d’éventuelles attaques malveillantes ? La sécurité totale n’existe pas, mais il est possible d’agir à plusieurs niveaux pour éviter le pire. Explications.

Selon Frank Staut, patron de SecureLink, il faut que les entrepreneurs prennent conscience des dangers qui menacent leur entreprise. “Il faut sécuriser l’infrastructure et les applications, mais il faut aussi éduquer les utilisateurs”, explique-t-il. “Nous remarquons de plus en plus que les sociétés pensent être protégées et qu’un simple antivirus suffit, mais c’est loin d’être le cas.” “La sécurité à 100 % n’existe pas. Si les hackers veulent pénétrer une entreprise, ils finiront par y arriver. C’est pourquoi il est important d’utiliser une approche sur plusieurs niveaux, pour essayer de les ralentir le plus possible.”

Le danger peut venir de l’intérieur Filip Waeteyns, hacker éthique, se charge de hacker des entreprises pour leur fournir un rapport sur les failles de leur sécurité. Selon lui, le plus gros problème, ce n’est pas la sécurité du réseau ou de l’infrastructure, mais bien l’insécurité créée par les utilisateurs du réseau, autrement dit, les travailleurs de l’entreprise. “Les sociétés ne se sentent pas concernées par les menaces internes, mais c’est pourtant ce qu’il s’est passé pour la NSA”.

Une campagne de sensibilisation

Pour évaluer la sécurité interne d’une entreprise, le hacker se sert de spams qui usurpent l’identité d’une personne ou d’une entité connue pour amener l’utilisateur à cliquer sur un lien qui va lui permettre de s’implanter dans le réseau. “C’est un genre d’invasion très efficace, car on ne s’attaque pas à la technologie, mais plutôt à l’utilisateur.”
Une fois le spam envoyé, le hacker analyse le comportement des utilisateurs. “Réfléchissent-ils avant de cliquer sur un lien ?” Lors des dernières campagnes réalisées en Belgique, Filip Waeteyns a réussi à pénétrer toutes les entreprises en moins de trois jours. “Il s’agissait d’une opération avec 100 % de réussite, alors que réaliser le spam nous a pris dix jours”, commente-t-il.

Grâce à cette technique, il est capable d’analyser sur quel spam l’utilisateur a cliqué, à quel moment et où il se trouvait. “C’est intéressant pour les entreprises, car elles peuvent se rendre compte des failles de leur système. Si la sécurité de l’infrastructure fonctionne correctement ou si l’utilisateur est responsable des failles”. Sur base de ces données, l’entreprise peut entamer une campagne de sensibilisation auprès de ses utilisateurs.

“Les technologies évoluent et la population doit être consciente des dangers. Cette mentalité de cliquer sur n’importe quoi doit changer. Vous pouvez dépenser des milliers d’euros dans des systèmes de sécurité informatique, ça ne vous aidera pas si un de vos utilisateurs clique sur des liens sans réfléchir”, explique Filip Waeteyns.

La loi peut changer les choses

Les choses commenceront réellement à évoluer lorsque les entreprises auront l’obligation légale de sécuriser leur réseau, selon Filip Waeteyns. “L’investissement dans la sécurité dépend toujours d’un équilibre entre ce que l’entreprise est prête à dépenser et ce qu’elle risque de perdre si elle est attaquée. Le vrai travail de sécurisation des entreprises pourra commencer lorsqu’il y aura une obligation légale et que la menace d’amende sera présente.”

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Partner Content