Sécurité : 96 % des attaques sociales réussissent

Une récente étude montre que plus de neuf utilisateurs sur dix livrent des informations sensibles sans réfléchir. La formation reste l'outil le plus efficace pour protéger son système d'information.

On savait que les utilisateurs étaient le maillon faible de la sécurité informatique.

Mais personne ne l'aurait imaginé à ce point ! Lors d'un Defcon – le rassemblement annuel des hackers – une équipe de pirates a tenté d'extorquer des informations confidentielles à 135 employés de 17 grandes entreprises américaines telles que Cisco, Coca-Cola, Google, Ford, Pepsi, Symantec, Wal-Mart, etc.

Les pirates se sont simplement fait passer pour des consultants qui menaient une enquête interne ou pour des prestataires. On appelle cette approche le "social engineering" car elle exploite l'aspect humain et social de la structure à laquelle est lié le système informatique visé.

Résultat ? 96 % des personnes contactées par e-mail ou par téléphone ont livré leurs secrets ! Sur les 135 salariés interrogés, seules cinq femmes n'ont pas craché le morceau. Elles ont même raccroché au bout de 15 secondes. Les femmes semblent donc plus fiables que les hommes pour garder les secrets de l'entreprise !

Cette situation est particulièrement grave car les informations recueillies permettent aux pirates de contourner les défenses logicielles mises en place par le département informatique. Les informations récoltées allaient de la version du système d'exploitation au navigateur utilisé, en passant par l'antivirus installé sur les postes de travail.

On sait ainsi que plus de la moitié des entreprises attaquées utilisent une ancienne version d'un navigateur web. Bon nombre de postes de travail ont donc potentiellement été infectés par des chevaux de Troie ou des spyware car la plupart des interlocuteurs ont accepté de se connecter sur les sites web douteux indiqués par les hackers...

Ou ont données leurs codes d'accès pour des portails métiers hébergé en mode SAS, sans double authentification.

Cette expérience prouve, encore une fois, la nécessité de former les salariés à la sécurité informatique en leur faisant prendre conscience des conséquences de leurs actes.

Le Club est l'espace de libre expression des abonnés de Mediapart. Ses contenus n'engagent pas la rédaction.

L’auteur·e a choisi de fermer cet article aux commentaires.