“SOCIAL ENGINEERING : QUELLES STRATEGIES ?                                                                                ...
“SOCIAL ENGINEERING : QUELLES STRATEGIES ?                                                                                ...
“SOCIAL ENGINEERING : QUELLES STRATEGIES ?                                                                                ...
“SOCIAL ENGINEERING : QUELLES STRATEGIES ?                                                                                ...
“SOCIAL ENGINEERING : QUELLES STRATEGIES ?                                                                                ...
Upcoming SlideShare
Loading in …5
×

Social Engineering : Quelles stratégies ?

824
-1

Published on

Comment lutter contre le social engineering dans une entreprise ?

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
824
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
18
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Social Engineering : Quelles stratégies ?

  1. 1. “SOCIAL ENGINEERING : QUELLES STRATEGIES ? Hapsis “Social Engineering”: Quelles stratégies ?LIVRE BLANC HAPSIS« Définition pas si simple » Hapsis L’ingénierie sociale (social Peut-être aurions-nous dû parler Hapsis est un cabinet de conseil engineering) au sens de la sécurité des d’escroquerie informatique ? indépendant spécialisé dans le domaine systèmes d’information (SSI) est à ne de la gestion des risques et de la sécurité pas confondre avec son homonyme Une fois ce préambule établi nous des systèmes d’information. Créé par des désignant la réalisation de travaux utiliserons dans la suite de ce professionnels de la sécurité dans les domaines des politiques document les termes d’ingénierie informatique, Hapsis est constitué de sociales et de l’intervention sociale. sociale ou de social engineering dans consultants reconnus dont l’expertise et un contexte de sécurité de l’expérience sont associés à une Il existe même pour cette dernière un l’information. connaissance approfondie des contraintes et des enjeux des entreprises. diplôme d’état. On voit ici comment la Proposons en premier lieu une traduction d’un terme américain a pu définition : l’ingénierie sociale engendrer une confusion potentielle consiste en une série de techniques en français, confusion d’autant plus visant à amadouer, duper ou tromper forte que l’ingénierie sociale au sens de une personne cible en vue d’obtenir la SSI ne s’adresse pas qu’aux seuls d’elle une information ou un professionnels de la SSI mais bien comportement qu’elle n’aurait pas évidemment également, et au premier donnée ou qu’elle n’aurait pas eu chef, aux professionnels des ressources sans la mise en œuvre de ces SE Force humaines (RH), eux-mêmes déjà techniques. Pour lutter contre l’ingénierie sociale, familiarisés avec cette appellation Hapsis a mis au point l’offre SE Force. Elle justement dans le domaine des est constituée de 4 volets : politiques sociales.  Evaluation de la résistance de Voilà donc un sujet qui commence bien l’entreprise aux attaques de type SE. mal, engendrant une confusion  Systémique : audit des processus, amenant la majorité des analyse des vulnérabilités, professionnels de la SSI à conserver la renforcement des processus. terminologie anglo-saxonne.  Humain : sensibilisation et formation  Détection et surveillance 45 rue de la Chaussée dAntin, 75015 Paris • Téléphone: 01 53 16 30 60 • www.hapsis.fr
  2. 2. “SOCIAL ENGINEERING : QUELLES STRATEGIES ? Hapsis « Une menace à prendre très au sérieux » Ces techniques existent depuis toujours. Les escrocs de tout poil qui ont parsemé l’Histoire de leurs méfaits sont maîtres dans l’art de les appliquer. des relations avec des collaborateurs de l’entreprise cible Il sera ainsi possible pour les Une différence de taille existe et deviennent leurs « amis ». Au cybercriminels de « revenir » dans néanmoins entre l’usage qui en était travers de ces relations ils le réseau ainsi compromis et fait autrefois et aujourd’hui. En effet, recueillent de précieux d’extraire des informations celui qui utilisait ces techniques devait renseignements sur les procédures sensibles du système à l’époque être particulièrement doué de l’entreprise, sur des noms d’information de l’entreprise dans leur application car elles d’autres personnes de l’entreprise victime. Les attaquants utilisent s’appliquaient essentiellement face à et leurs responsabilités, les projets donc pour ce faire les informations face entre le criminel et sa victime. Le importants… ; préalablement recueillies, et risque d’être pris était à cet égard élevé rédigent un mail crédible qui en cas d’échec. Au travers de l’usage 4. Une fois qu’ils disposent d’un trompera une personne cible de d’Internet non seulement les nombre d’informations suffisant l’entreprise. Cette dernière croira à possibilités d’escroqueries se sont ils peuvent préparer l’attaque un message légitime de ouvertes à des escrocs moins qualifiés proprement dite. Pour ce faire le l’entreprise et activera le code mais aussi à des escrocs provenant cybercriminel se choisit une malveillant qu’il contient à son potentiellement du monde entier. « couverture ». Dans les cas les insu. L’un des cas les plus plus fréquents, il se fait passer médiatisés en 2011 de ce type L’ingénierie sociale est une menace à pour un client, pour un d’attaque est celui dont a été prendre très au sérieux, la plupart des collaborateur d’un fournisseur, ou victime la société RSA ; experts s’accorde aujourd’hui pour la encore pour un employé de considérer comme la menace numéro la société visée. Le plus efficace 7. Dans le cas d’une attaque par 1 pesant sur les systèmes est sans conteste le dernier cas. En téléphone il s’agit, dans la d’information des entreprises. En effet effet, le collaborateur ciblé se majorité des cas, pour l’attaquant la plupart des attaques d’envergure sentira d’autant plus en confiance d’obtenir des informations ayant engendré les dégâts les plus qu’il croira avoir à faire à un confidentielles de la personne importants pour les entreprises collègue. En revanche c’est contactée. On a même vu des victimes et les profits les plus certainement le plus difficile à exemples où le pirate établit une conséquents pour les criminels, ont, à accomplir et ne peut être réservé relation avec la personne cible un moment ou à un autre, exploité des que dans des entreprises pendant des semaines, avant techniques d’ingénierie sociale. suffisamment grande et étendue d’obtenir l’information recherchée pour que tous les collaborateurs et maintenir ensuite la relation Un scénario typique peut être le ne se connaissent pas ; quelque temps afin de ne pas suivant : éveiller de soupçons ; 5. Cette attaque s’effectue en règle 1. Des cybercriminels sont mandatés générale soit par mail soit par On l’aura compris les cybercriminels, pour pénétrer le système téléphone, plus rarement par pour mettre en œuvre leurs noirs d’information d’une société cible contact direct ; desseins, vont au plus facile. Le et dérober des informations sensibles ; 6. Dans le cas d’une attaque par mail piratage informatique pur étant de il s’agit en général de permettre plus en plus complexe, ils ne cherchent 2. Ils commencent par collecter de l’installation dans le réseau de plus à forcer le coffre-fort, ils l’information sur la société cible et l’entreprise cible d’un code demandent la clé ou la combinaison à certains de ses collaborateurs ; malveillant comme un cheval de l’un de ses « copropriétaires » en le 3. Via les réseaux sociaux ils nouent Troie ; dupant. 45 rue de la Chaussée dAntin, 75015 Paris • Téléphone: 01 53 16 30 60 • www.hapsis.fr
  3. 3. “SOCIAL ENGINEERING : QUELLES STRATEGIES ? Hapsis Une stratégie globale pour se défendre Nous ne chercherons pas à détailler ici plus avant les mécanismes utilisés et les raisons pour lesquelles ils fonctionnent si bien. A partir de l’instant où le niveau de dangerosité de l’ingénierie sociale est bien évident, l’objectif est maintenant de dégager les lignes de la stratégie à mettre en c’est à dire sa capacité à résister par construction à œuvre pour lutter contre ce fléau. ce type d’attaques. En agissant sur les collaborateurs on renforce la capacité de ceux-ci à Toute lutte contre l’ingénierie sociale doit agir sur identifier la menace et à se défendre et ainsi deux composantes de l’entreprise : les processus défendre leur entreprise. S’appuyant sur ce et les collaborateurs. En agissant sur les processus principe, la stratégie proposée est composée de on renforce la défense systémique de l’entreprise, trois parties :  Audit de processus 1. Audit et défense systémique Il s’agit d’analyser un processus de l’entreprise,  Tests d’intrusion comme, par exemple, celui du traitement des La pratique régulière de tests d’intrusion de type clients par un support téléphonique, ou encore ingénierie sociale permet de mesurer dans le celui du paiement des factures fournisseurs, en temps les progrès accomplis par la mise en œuvre identifiant si à une étape ou une autre, il peut être de la stratégie dans son ensemble. Ils sont vulnérable à une attaque d’ingénierie sociale. Sont également utiles afin de sensibiliser la Direction de ensuite préconisées et mises en œuvre des contre- l’entreprise à la nécessité d’agir en démontrant les mesures en modifiant le processus si cela est risques encourus. possible et/ou en formant les personnes pouvant En fonction du périmètre ciblé et de la politique de être la cible de l’attaque. l’entreprise, ces tests pourront prendre différentes Il est particulièrement intéressant de noter ici que formes : campagne de phishing, envoi de mails des objectifs sécuritaires peuvent être tout à fait en ciblés, récupération d’informations sensibles par phase avec un objectif d’amélioration business. téléphone ou via les réseaux sociaux, intrusion En effet, prenons le cas d’un service de banque par dans les locaux… téléphone 45 rue de la Chaussée dAntin, 75015 Paris • Téléphone: 01 53 16 30 60 • www.hapsis.fr
  4. 4. “SOCIAL ENGINEERING : QUELLES STRATEGIES ? Hapsis Lorsqu’un client appelle, un processus car le client doit fournir d’avantage d’informations, d’identification permet de s’assurer qu’il est bien tout en ayant l’impression d’une plus grande celui qu’il prétend. Les procédures standards proximité de la banque à son égard ce qui est simples peuvent, comme cela s’est déjà produit, certainement un avantage commercial. prêter le flanc à certaines attaques d’ingénierie  Organisation sociale. Certaines banques ont renforcé cette La lutte contre l’ingénierie sociale nécessite procédure en formant leurs opérateurs à avoir un également qu’elle soit prise en compte d’un point dialogue plus personnel basé sur une meilleure de vue organisationnel. Dans la grande majorité connaissance de leur client, tenu naturellement sur des cas elle s’intègre dans l’organisation existante. le ton d’une conversation amicale. Cela permet de Il peut néanmoins être utile d’y apporter parfois renforcer le niveau de sécurité de l’identification quelques aménagements 2. Education et sensibilisation  Ce qu’il faut retenir Il y a beaucoup à dire sur le contenu d’un programme d’éducation et de sensibilisation à l’ingénierie sociale. Il faut en effet expliquer ce que c’est, faire prendre conscience de la menace, dire ce que l’on risque, expliquer pourquoi cela fonctionne, détailler les techniques et indiquer les parades. Cependant, pour que des personnes non professionnelles de la sécurité soient sensibles au message, fassent l’effort de comprendre et, d’appliquer les bonnes pratiques, il y a deux points En effet le renard, qui chasse le hérisson, est un essentiels à faire passer : animal rusé. Il déploie ainsi maints stratagèmes Le risque pèse aussi et surtout sur eux. En effet, en vue de capturer le hérisson. Face à ces lorsqu’il s’agit d’une attaque technique, dans attaques au nombre desquelles il n’entend pas laquelle un pirate tente une intrusion via grand chose, le hérisson répond toujours d’une l’infrastructure informatique d’une entreprise, les simple et unique manière : il se met en boule et collaborateurs ne sont pas directement impactés. dresse ses épines face à l’attaquant. Dépité, le Dans le cadre d’une attaque d’ingénierie sociale, renard rentre à chaque fois bredouille. De la c’est tout le contraire, elle cible en premier un ou même façon, il suffit au collaborateur d’une plusieurs collaborateurs de l’entreprise. Au bout du entreprise, d’apprendre les quelques réflexes compte c’est bien une personne qui se fait duper et simples à avoir pour faire échec aux manœuvres manipuler. Les conséquences psychologiques rusées des renards que sont les cybercriminels. peuvent dans ce cas être difficiles à supporter. Il est donc impératif de faire prendre conscience aux  Campagnes de sensibilisation collaborateurs que cette menace les vise et les Nous ne rentrerons pas ici dans le détail de mise concerne directement. en œuvre de campagnes de sensibilisation et sur Ce n’est pas si compliqué que cela. Une réaction les facteurs clé de succès de ces campagnes. Il courante face à ce sujet est de considérer que les faut cependant prendre soin d’intégrer aux cybercriminels sont bien trop malins et campagnes de sensibilisation, menées sur la compétents face aux béotiens que nous sommes et sécurité de l’information, des modules dédiés à que donc on ne peut pas y faire grand chose. En l’ingénierie sociale. fait, il est fondamental de comprendre que pour résister et faire face à une attaque d’ingénierie  Formations ciblées plus poussées sociale, il n’est absolument pas nécessaire d’en Certaines catégories de collaborateurs sont, en maîtriser les techniques, loin s’en faut. Afin quelque sorte, en première ligne face au risque d’illustrer ce propos, on peut comparer cette d’attaques d’ingénierie sociale. Ce sont par situation à celle du hérisson face au renard. exemple les nouveaux arrivants, les assistantes 45 rue de la Chaussée dAntin, 75015 Paris • Téléphone: 01 53 16 30 60 • www.hapsis.fr
  5. 5. “SOCIAL ENGINEERING : QUELLES STRATEGIES ? Hapsis de direction, les commerciaux, le support client… Pour Agréable à suivre, vivante et immersive cette formation ces personnes il est utile de leur fournir une formation met en œuvre : plus poussée. Les objectifs de cette formation sont : • Des ateliers basés sur des cas pratiques, Des exercices, • développer auprès des collaborateurs une • Des vidéos, conscience de la menace et une • Un jeu de rôle immersif spécialement conçu compréhension des enjeux, pour cette formation, animée par des • leur expliquer les techniques dingénierie comédiens professionnels qui permet de sociale utilisées, mettre en pratique les enseignements. • et surtout leur apprendre à réagir et à adopter les comportements qui protègent. 3. Détection et réponse à incidents  Honeypots sociaux L’idée est donc de créer un réseau interne de veille Dans le cadre d’une lutte efficace contre et de détection au travers d’une équipe de l’ingénierie sociale, il est utile de pouvoir détecter sentinelles réparties dans l’entreprise. Ce réseau en amont la préparation d’une attaque. On l’a vu, peut venir se greffer sur le réseau existant de toute attaque commence par une collecte gestion des incidents. Les sentinelles, une fois intensive d’informations sur la cible. L’idée est formées, collectent autour d’elles les évènements donc de placer des leurres aux endroits de suspects et propagent les bonnes pratiques. Les prédilection des attaquants, à savoir les réseaux évènements recensés sont centralisés en un point sociaux. Ces leurres sont ce que l’on appelle des ou la corrélation permet une vigilance globale. honeypots (pots de miel) sociaux, et consistent en la création de faux profils sur les réseaux sociaux,  Réponse à incidents ces profils crédibilisant la possible détention Intégrée à la politique de gestion des incidents, la d’informations susceptibles d’intéresser les réponse faite aux incidents liés aux attaques attaquants. Une sollicitation de mise en relation, d’ingénierie sociale consiste en la prise de mesures suivie de demandes d’informations peut ainsi défensives ou de prévention complémentaires : éveiller les soupçons et permettre de savoir que modification de processus, formation, quelque chose se prépare. déploiement d’outils, surveillance accrue…  Réseau de sentinelles La plupart des entreprises cibles sont des grandes entreprises, étendues géographiquement. On l’a vu, les attaques d’ingénierie sociale peuvent cibler tout collaborateur n’importe où dans l’entreprise. Une bonne surveillance des attaques ou des tentatives d’attaques passe donc par une capillarité suffisante du processus de surveillance. 45 rue de la Chaussée dAntin, 75015 Paris • Téléphone: 01 53 16 30 60 • www.hapsis.fr

×