Mission Possible

Dominic nous avait convaincus de produire un premier vidéo de sensibilisation à la sécurité. Le vidéo original a été repris et formaté pour permettre la présentation sous la forme de capsules de sensibilisation.

Mise en contexte


[youtube=http://youtu.be/KlRuEi2ar6M">http://youtu.be/KlRuEi2ar6M]

Les informations dans les organisations ont une grande valeur pour des tiers externes. La prémisse du vidéo est de mettre comme agent externe le crime organisé, mais n'importe qui ou n'importe quelle organisation peut être assimilé à cet agent externe, autant les dessins peuvent être variable, allant du simple vol d'information, à de l'espionnage industriel.

Usurpation d'identité par téléphone


[youtube=http://youtu.be/V0sAHT0oq1Q">http://youtu.be/V0sAHT0oq1Q]

L’information qui peut être glanée sur Internet et les réseaux sociaux permettent aux attaquants de bâtir des scénarios d’ingénierie sociale crédible. Il est alors important de limiter les informations qui sont diffusées sur Internet qu’à des informations utiles pour la poursuite des affaires. De même, il est important de sensibiliser les utilisateurs à limiter les informations qu’elles diffusent sur Internet et les réseaux sociaux. Il est aussi important de sensibiliser les utilisateurs à ne pas divulguer des informations sensibles, telles que leur mot de passe, NIP ou carte de crédit à une personne qui les appels. Il est important de bien identifier la personne qui est à l’autre bout du fil, soit en lui posant des questions qui permettent de l’identifier hors de tout doute raisonnable, ou de l’appeler à un numéro public connu.

Prise de contrôle d'un poste à distance


[youtube=http://youtu.be/I8qqwfbcI3s">http://youtu.be/I8qqwfbcI3s]

Bien sensibiliser les employés à rapporter rapidement des activités inhabituelles qu’ils découvrent sur leur poste, comme le lecteur de CD qui s’ouvre seul, l’ouverture de fenêtre non voulue, pointeur de souris qui se déplace seul, une lenteur inhabituelle du poste. C’est le signe qu’un code malicieux (Netbus, BO2k si on se replace dans le contexte original du vidéo, autant le ver Flame pour reprendre ce qui se passe dans l’actualité) est présent sur le poste et donne des accès à un tiers non autorisé. En plus, il faut sensibiliser les gens de la première ligne de support informatique à déceler ce type de problème et l’aiguiller aux personnes responsables de la sécurité.

Entrée à califourchon dans un bâtiment


[youtube=http://youtu.be/EKyOt1T_8Yc">http://youtu.be/EKyOt1T_8Yc]

Sensibiliser les employés à ne pas laisser entrer une personne qui ne dispose pas d’identification de l’entreprise et les outiller de question à poser pour confronter une personne qui ne semble pas être autorisée sur les lieux du travail. Lorsque le visiteur nomme la personne qu’elle désire rencontre, l’accompagner jusqu’à la personne demandée.

Usurpation d'identité d'un technicien de la compagnie ACME


[youtube=http://youtu.be/STy76Z-6aBs">http://youtu.be/STy76Z-6aBs]

Sensibiliser les employés à ne pas diffuser d’information sensibles, tels que mot de passe et NAS à un inconnu qui se présente à leur bureau. De même, ne pas laisser une personne agir sur le poste de travail s’il n’y a pas eu de requête d’action ou une communication officielle qui détaille la nature de l’intervention.

Recherche de documents confidentiels sur les espaces de travail, dans les poubelles, et sur les imprimantes


[youtube=http://youtu.be/vABiz8GhvXM">http://youtu.be/vABiz8GhvXM]

Sensibiliser les employés qui manipulent des documents sensibles de toujours les mettre sous clés lors d’absence prolongée, les déchiquetés lorsque le document est en fin de vie et les ramasser promptement à l’imprimante.

Installation d'un renifleur physique sur un poste de travail d'un employé de la compagnie ACME


[youtube=http://youtu.be/b9aiLj4XVcY">http://youtu.be/b9aiLj4XVcY]

Un renifleur de touche permet la capture de tout ce qui est saisi par le clavier, comme les mots de passe ou autres informations sensibles. L’installation d’un renifleur de touche physique peut laisser des traces perceptibles par l’utilisateur. De même, les renifleurs de touches logiciels, que l’on trouve avec plusieurs codes malicieux qui circulent présentement peut être détecté par l’utilisateur lorsqu’il constate des anomalies sur son poste de travail. Lorsque l’utilisateur à un doute raisonnable qu’il y a un renifleur de touche, il doit contacter avec les responsables de la sécurité de l’entreprise, afin qu’une vérification soit effectuée.

Connexion au réseau de la compagnie ACME par une borne sans fil à des actifs informationnels


[youtube=http://youtu.be/t7vEpc6HLoY">http://youtu.be/t7vEpc6HLoY]

Un périphérique non autorisé peut permettre l’accès complet au réseau de l’entreprise à partir de l’extérieur de son périmètre physique. La capsule montre l’usage d’un point d’accès sans fil que l’on peut se procurer à faible coût dans la plupart des grandes surfaces d’électroniques. Il est aussi possible d’utiliser des bornes qui utilisent les fréquences cellulaires ou permet d’ouvrir une session inversée (reverse shell). Afin de se prémunir contre ce type de menace, l’entreprise doit mettre en oeuvre des moyens pour détecter et limiter les périphériques non autorisés, afin de limiter la suite possible d’information.

Exploitation d'une faiblesse de comportement d'utilisation d'un système informatique par un employé de la compagnie ACME


[youtube=http://youtu.be/-YVHCquaL50">http://youtu.be/-YVHCquaL50]

Une fois dûment authentifié à leur poste de travail, celui-ci devient porteur de l’identité numérique de la personne. Lorsqu’il est laissé sans surveillance, une personne mal intentionnée peut utiliser l’identité de la personne pour commettre des actions. Conséquemment, l’utilisateur sera responsable de ces actions. Il est important de sensibiliser les utilisateurs à la valeur de leur identité numérique, et les informer des mesures à leur disposition pour la protéger, tel que verrouiller leur poste. Il est aussi recommandé de mettre en place des mesures technologiques afin d’aider les utilisateurs à protéger leur identité numérique, en verrouillant ou expirant automatiquement leur session après un délai défini.

Vol physique d'un ordinateur portable dans les locaux de la compagnie ACME


[youtube=http://youtu.be/swXV6W9_BDM">http://youtu.be/swXV6W9_BDM]

Afin de dissuader un voleur, ajouter des éléments d’identifications à l’ordinateur et l’attacher à un objet fixe. Lors d’absence prolongée, amener l’ordinateur portable avec soi ou le ranger dans une armoire barrée. Pour protéger les informations qui sont contenues sur le disque, il est recommandé de le chiffrer pour le rendre inutilisable à un tiers.

Vol du portable du président de la compagnie ACME dans son automobile


[youtube=http://youtu.be/FnwN-5wy1RU">http://youtu.be/FnwN-5wy1RU]

Lorsqu’un ordinateur portable doit être transporté dans une auto, il est recommandé de ne pas le laisser sans surveillance. Dans la meilleure situation, toujours le transporter avec soi. Si ce n’est pas possible, le ranger dans le coffre, afin qu’il ne soit pas à la vue d’une personne qui pourrait être tentée de le voler. Malgré tout, le laisser dans un véhicule sans surveillance présente un risque de vol.

Conclusion

Ces capsules montrent qu’une infime partie de la menace auquel les organisations font face. Pour que les organisations soient en bonne posture pour lutter contre ces menaces elles doivent utiliser des cadres de références tel que la famille ISO 27000 ou Cobit 5. Des regroupements de professionnels tels que ISACA et des événements tels que le Hackfest sont des sources d’informations utiles pour préparer l’organisation aux menaces.

Voici quelques activités qui peuvent aider votre organisation:

  • Mettre en place une politique de sécurité
  • Mettre en place un cadre de gestion de la sécurité dans l’organisation
  • Classifier les actifs informationnels
  • Prévoir l’organisation humaine de la sécurité
  • Assurer la sécurité physique
  • Définir les responsabilités et procédures pour la gestion de la sécurité
  • Planifier les contrôles d’accès
  • Assurer le développement et l’entretien des systèmes
  • Instaurer une gestion de la continuité des affaires
  • Veiller à la conformité, aux normes et lois en vigueur