Mettez-vous à la place d’un hacker

Deux hommes, un lion. Devez-vous forcément courir plus vite que le lion pour survivre ? Non, il vous suffit d’être le plus rapide des deux hommes. Cette comparaison illustre bien la manière dont réfléchit le secteur de la sécurité. Il est impossible de constamment devancer les cybercriminels. La seule clé du succès consiste donc à proposer des solutions plus efficaces que vos concurrents.

La lutte contre la cybercriminalité s’apparente à une course aux armements. Les cybercriminels attaquent, le secteur de la sécurité riposte. Les entreprises de sécurité lancent une nouvelle solution, les criminels cherchent un moyen de la contourner. Les dernières années témoignent, par ailleurs, d’une professionnalisation rapide dans les deux camps. Le hacker n’est plus l’adolescent solitaire d’autrefois, qui faisait de la création de virus son passe-temps favori ou qui paralysait des systèmes pour le plaisir. La cybercriminalité est désormais aux mains de bandes professionnelles et organisées, qui entendent bien tirer de l’argent de leurs méfaits.

Technologie, non. Psychologie, oui.

Il est impossible d’imaginer un système de sécurité ICT hermétique à 100 %. Il convient encore et toujours de trouver le bon équilibre entre, d’une part, le niveau de sécurité nécessaire et, d’autre part, la convivialité, la performance et la flexibilité. Le secteur de la sécurité répond en partie à cette question en se mettant dans la peau du hacker. En apprenant à réfléchir comme les criminels, le secteur comprend plus rapidement comment se protéger plus efficacement.

Les maillons les plus faibles de l’entreprise ne sont pas les ordinateurs portables, les serveurs ou les convertibles… mais les collaborateurs.

En dépit de toutes les technologies, la psychologie reste l’arme la plus puissante des hackers. Les maillons les plus faibles de l’entreprise ne sont pas les ordinateurs portables, les serveurs ou les convertibles… mais les collaborateurs. Définir des engagements simples et clairs avec eux permet déjà d’éviter de nombreux incidents. La sécurisation d’un smartphone ou d’un ordinateur portable à l’aide d’un mot de passe, par exemple, garantit que les données qui y sont stockées ne seront pas accessibles à n’importe qui en cas de perte ou de vol. Pour la même raison, il est vivement conseillé aux collaborateurs de n’enregistrer que des documents cryptés sur leurs clés USB.

Piratage visuel

De nombreuses formes de cybercriminalité reposent sur le principe du social engineering. Le hacker téléphone à sa victime, se fait passer pour un collaborateur du département ICT et demande un mot de passe. Il est arrivé que des hackers pénètrent tout bonnement dans les bâtiments d’une entreprise, qu’ils s’installent discrètement dans un bureau paysager et qu’ils parviennent finalement à pénétrer dans la salle des serveurs. Dans un environnement où se croisent des dizaines de clients et de partenaires externes, cela se remarque à peine.

Si une personne voisine tente de regarder la dalle de côté, à partir d’un angle de 35 degrés, tout ce qu’elle verra est un écran sombre.

Le visual hacking est la manière la plus simple de dérober des données. Cette technique consiste à traquer tout ce que la victime voit et lit sur son écran. HP a imaginé une solution pour éviter de telles fuites de données. Il s’agit de la fonctionnalité Sure View, qui équipe d’ailleurs l’EliteBook x360, le dernier convertible professionnel de la marque HP. Pour repousser les regards indiscrets, l’utilisateur devait jusqu’ici se contenter de toutes sortes de filtres. Ils étaient non seulement peu pratiques, mais également rarement convaincants en termes de protection. Avec Sure View, HP se penche sur la question de manière nettement plus professionnelle. Lorsque l’utilisateur active l’application, il fait pour ainsi dire apparaître une pellicule supplémentaire sur l’écran de l’ordinateur. Concrètement, seul l’utilisateur peut encore lire le contenu de l’écran. Si une personne voisine tente de regarder la dalle de côté, à partir d’un angle de 35 degrés, tout ce qu’elle verra est un écran sombre.

Être conscient de sa propre vulnérabilité

La sécurité ICT passe avant tout par une connaissance de son propre environnement. Si l’entreprise veut savoir comment les hackers exploitent ses vulnérabilités, elle doit, tout comme ces hackers le feraient, identifier les failles de sécurité. Le danger peut venir de partout : ports réseau non sécurisés, comptes dont le mot de passe par défaut n’a pas encore été modifié, logiciels dépourvus des dernières mises à jour, etc. Gardez toutefois toujours à l’esprit que le collaborateur constitue une cible potentielle. Les hackers parviennent très souvent à rassembler de nombreuses informations personnelles sur un collaborateur via les réseaux sociaux, y compris son adresse e-mail. Par le biais du phishing, ils tentent alors de convaincre l’utilisateur de cliquer sur un lien infecté, ce qui provoque l’installation d’un malware sur le réseau de l’entreprise, etc.

Dans la mesure où nous tendons vers un mode de travail nomade, une partie des risques se déplace vers l’utilisation des appareils mobiles. Avec l’EliteBook x360, HP mise ainsi sur une authentification multifactorielle, qui combine différents éléments tels qu’un mot de passe, la reconnaissance faciale, la reconnaissance de l’iris et l’empreinte digitale. L’utilisation de HP SureStart vient encore renforcer la sécurité de l’appareil. Les hackers visent souvent à prendre le contrôle du BIOS d’un ordinateur portable. Le BIOS est la partie de l’ordinateur qui gère la communication entre le système d’exploitation et le matériel informatique. Si le hacker parvient à en prendre le contrôle, il pourra notamment enregistrer les frappes du clavier et ainsi retrouver les mots de passe. Lorsque HP SureStart détecte un problème au niveau du BIOS, le système rétablit automatiquement le BIOS d’origine. Le hacker est ainsi mis hors-jeu.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire