1 COMMENTAIRE / HISTOIRE (EN FRANÇAIS) 1.1 Histoire 1: La cybersécurité nous concerne tous Les informations sont essentielles et constituent un atout précieux. Il peut s’agir de données sur les clients, le personnel, la recherche et le développement ou celles concernant les projets de rachat par la direction, etc. La protection de ces informations est primordiale. Qu’elles se présentent sous forme électronique sur des ordinateurs, des tablettes ou dans le cloud, sous forme imprimée ou qu’elles soient simplement des connaissances du personnel. Ces informations intéressent aussi les hackers. Le nombre de cyberattaques augmente donc inexorablement, avec des dommages difficilement quantifiables pour les entreprises concernées. Les entreprises doivent être en mesure de lutter contre les cyberattaques telles que l’hameçonnage (phishing), les rançongiciels (ransomwares), les virus ou l’ingénierie sociale (social engineering). Mais comment cela fonctionne? Dans le passé, de hauts murs de protection étaient érigés pour se protéger des attaques. À l’époque, ils étaient en pierre. Désormais, ils sont maintenant constitués de pare-feu et de logiciels ou de matériel. Mais il est, hélas, impossible de s’isoler complètement du monde extérieur. Aussi avons-nous besoin de « portes » pour communiquer par e-mail ou par téléphone, pour avoir accès à Internet, collaborer avec des partenaires commerciaux et des fournisseurs et enfin et disposer, surtout, d’une véritable entrée permettant de pénétrer dans le bâtiment. Les hackers essaient aussi d’utiliser ces portes et ils tentent nous manipuler afin de nous forcer à les ouvrir. Mais qu’est-ce que cela signifie pour vous et pourquoi devriez-vous, autant que vous êtes, vous préoccuper de la cybersécurité ? Eh bien, tout simplement - parce que vous êtes notre meilleur pare-feu et que nous sommes tous responsables de la sécurité dans l’entreprise ! Vous vous demandez pourquoi ? Les hackers essaient de plus en plus de manipuler les individus via l’ingénierie sociale afin d’obtenir des informations. Trois facteurs doivent donc interagir pour garantir le bon fonctionnement de la cybersécurité: la technologie, les processus et les personnes elles-mêmes, en un mot comme en cent, vous ! À titre comparatif, prenons ce qui se passe sur la route : dans la voiture, il y a des airbags, des ceintures de sécurité, un indicateur de distance de sécurité, etc. Ces technologies protègent des accidents ou permettent de limiter les dégâts. Mais quel intérêt si nous ne fixons pas le sens de la circulation? Sans réglementation, la technologie est inutile. Mais rien ne nous empêche de mettre en place les meilleurs systèmes et règles de sécurité. Après tout, dans certaines situations, seuls le bon sens et une réaction rapide peuvent prévenir un accident. Il en va de même pour la sûreté de l’information. Nous utilisons aussi des technologies et des processus de sécurité. Par exemple, les pare-feu, les programmes de protection contre les virus, les badges et, enfin et surtout, nos directives de sécurité. Mais au bout du compte, dans de nombreux cas, c’est vous qui êtes responsable. La sûreté oblige à la confiance: Les clients et les fournisseurs nous font confiance et nous considèrent comme un partenaire fiable, mais vous, en votre qualité de salarié.e, vous nous faites confiance en tant qu’employeur et nous veillons à ce que les informations de nature confidentielle et personnelle fassent l’objet d’un traitement attentif. La sûreté de l’information est de notre ressort ! 1.2 Histoire 2: Mot de passe et ransomware Voici Hans Muster. Il se rend au travail en voiture tous les jours. Hans trouve une clé USB dans le parking devant le bureau. Il se demande qui a bien pu la faire tomber de sa poche et l’emporte. Peut-être y a-t-il des informations sur la clé qui identifieront la ou le propriétaire. Lorsqu’il arrive au bureau, il allume son ordinateur. Le système lui demande systématiquement de saisir son mot de passe. Pas plus tard qu’hier, il s’est encore énervé à ce sujet, car il a dû choisir un nouveau mot de passe. Puisqu’il est impossible de se souvenir de tous les mots de passe, il les a écrits sur un Post-it qu’il a collé sous son tapis de bureau. Ainsi, « Susi1986 », le nom de sa petite amie et l’année de sa naissance. Lorsque le système démarre, Hans connecte la clé USB à son ordinateur. Il ne parvient malheureusement pas à trouver de renseignement à propos de sa ou son propriétaire. Or, il existe un fichier sur la clé USB intitulé « Vue d’ensemble des salaires ». Ce dossier éveille la curiosité de Hans. Un message apparaît indiquant que la fonction macro doit être activée. Il clique sur le fichier pour l’ouvrir. Hans procède ainsi afin de pouvoir garantir la pleine fonctionnalité du fichier. Un message s’affiche simultanément, signalant que toutes les données ont été cryptées. On demande à Hans de transférer une certaine somme d’argent en bitcoins pour permettre la relecture des données. Quelle erreur a commise Hans ? Avant tout, les mots de passe sont secrets et ne doivent jamais être écrits. Les mots de passe doivent aussi être difficiles à retrouver. - De plus, les clés USB inconnues ne peuvent pas être utilisées sans contrôle de sécurité. La fonction macro ne doit pas non plus être activée pour les fichiers d’origine inconnue, car des logiciels malveillants, tels que des ransomwares pour le cryptage des données dans ce cas, peuvent alors pénétrer dans le réseau de l’entreprise sans toutefois le bloquer. Comment agir avec discernement dans pareil cas ? 1. Ne jamais écrire de mots de passe et en utiliser chaque fois un différent pour chaque application. Notre conseil : prenez une phrase, une citation connue ou une parole de chanson dont vous vous souvenez bien et servez-vous-en pour créer le mot de passe. Par exemple : Waliays_TB66! (We all live in a yellow submarine, The Beatles, parution en 1966!) 2. Vérifier que les clés USB, même celles d’origine connue, ne contiennent pas de virus. 3. Toujours remettre à des fins d’élimination les clés USB trouvées ou déposées auprès de la personne responsable de la sûreté. Ne jamais connecter à l’ordinateur des clés USB d’origine inconnue. 4. Ne pas activer pas les macros dans les fichiers Office d’origine inconnue. 1.3 Histoire 3: Phishing Hans travaille dans son bureau lorsqu’il reçoit un nouvel e-mail dont l’objet est « Gagnez un iPad Pro ». Hans veut en savoir plus. Cela faisait longtemps qu’il voulait acheter cette tablette. Et s’il peut la gagner, eh bien, tant mieux Il ouvre rapidement l’e-mail. Il s’agit d’une (soi-disant) enquête réalisée par un fournisseur. Ce dernier met en place un nouveau service et voudrait interroger les utilisateurs à ce sujet. Cinq tablettes sont tirées au sort et les gagnant.e.s se trouvent parmi les cent premiers utilisateurs. Selon les indications données dans l’e-mail, il suffit à Hans de cliquer sur le lien et de se connecter avec son nom d’utilisateur et son mot de passe. Ainsi, on s’assure qu’il appartient vraiment à l’entreprise. Il clique alors sur le lien et est dirigé vers un site web qui ressemble exactement à la page d’accueil du site du fournisseur. Hans saisit vite ses coordonnées. Lorsqu’il a terminé et envoyé l’enquête, un message apparaît:« Félicitations - vous faites partie des cents premiers participants et avez une chance de gagner ! ». Cela valait donc la peine de réagir rapidement ! Quelle erreur a commise Hans ? Hans a cliqué sur le lien sans aucune hésitation. Il n’a cependant pas vérifié si l’adresse Internet sousjacente, l’URL, correspond réellement à l’expéditeur du courrier et renvoie au domaine correspondant du partenaire. On peut le vérifier en déplaçant le pointeur de la souris sur le lien, mais sans cliquer sur dessus. De plus, Hans a dû s’authentifier auprès de l’interlocuteur avec ses données de connexion. Pourtant, le nom d’utilisateur et le mot de passe ne doivent jamais être transmis. Mais attention, ces attaques de phishing ne se limitent pas à l’envoi d’e-mail. Elles peuvent aussi se produire par SMS ou par appels téléphoniques automatisés. Comment agir avec discernement dans pareil cas ? 1. Vérifier le destinataire et le contenu de l’e-mail. 3. Vérifier le lien sans cliquer dessus. 3. Ne jamais divulguer pas votre nom d’utilisateur et votre mot de passe. Même le personnel du service Helpdesk ou les gestionnaires informatiques n’ont pas besoin de connaître le mot de passe et certainement pas des personnes extérieures. 4. Vérifier le contenu des e-mails. 5. En cas de doute, adressez-vous à votre responsable direct. 6. Supprimez les e-mails suspects. Histoire 3: Social Engineering par téléphone 1.4 Barbara Insouciance se trouve à son bureau quand, tout à coup, un dénommé Thomas Ackermann du service Helpdesk appelle. Il l’informe qu’un virus particulièrement agressif circule. Il ne peut être détecté par le logiciel antivirus en place. Le service Helpdesk a maintenant mis en place un serveur spécifique pour vérifier chaque ordinateur. Pourrait-elle lui permettre de vérifier son ordinateur ? Barbara accepte. Thomas Ackermann l’informe qu’elle doit éteindre son ordinateur et après l’avoir redémarré, se connecter en utilisant son nom d’utilisateur et son mot de passe Windows. Un message d’erreur apparaît sur son écran. Thomas lui demande à nouveau d’entrer le mot de passe correctement. Barbara retape l’information, mais le même message apparaît à nouveau. Thomas lui réclame maintenant son nom d’utilisateur et son mot de passe Windows afin de pouvoir l’essayer sur sa console. Comme Barbara hésite, Thomas insiste sur la nécessité absolue d’une intervention rapide. Barbara est d’accord et transmet l’information à Thomas. Il essaie, apparemment, une nouvelle fois et confirme ensuite à Barbara que quelque chose cloche vraiment. Il va vérifier et la recontactera. Quelle erreur a commise Barbara ? Barbara n’aurait en aucun cas dû donner les données d’accès à l’appelant. Même un collaborateur du service Helpdesk ou un administrateur informatique n’a pas besoin de ces informations pour tester un service. Comment agir avec discernement dans pareil cas ? 1. Ne jamais divulguer pas votre nom d’utilisateur et votre mot de passe Windows. 2. Prendre note du numéro de téléphone et du nom du contact téléphonique et, en cas de demandes inhabituelles, consulter votre supérieur direct afin de vous faire préciser l’exactitude de la procédure. 3. Ne transmettre aucune information à des tiers concernant l’informatique de l’entreprise. 1.5 Histoire 5: Social Engineering Thomas Ackermann, un prétendu technicien de maintenance, se présente à la réception et indique qu’il a été informé par le service informatique d’une réparation à effectuer sur une imprimante multifonctions défectueuse au deuxième étage. Comme il passe justement dans le coin, c’est inutile d’enregistrer sa visite puisque ça ne prendra pas beaucoup de temps. Il a, d’ailleurs, emporté la pièce de rechange. La personne est admise dans le bâtiment. Elle se trouve au deuxième étage et cherche une imprimante. Elle se met au travail, éteint l’imprimante et prend les documents imprimés. Lorsque Barbara Insouciance du service de préparation des commandes veut récupérer ses documents, le technicien de maintenance lui dit qu’il a dû temporairement éteindre l’imprimante pour remplacer une pièce défectueuse. Elle doit dès lors réimprimer le document. Lorsque le technicien de maintenance se retrouve seul, il enlève le disque dur de l’imprimante et l’emporte. Il pose ensuite une note sur l’imprimante « Imprimante défectueuse – note du technicien de maintenance ». De retour à la réception, il indique qu’il s’agit d’un problème majeur. Il a déjà informé le service logistique et commandé la pièce de rechange à la société en question. Un de ses collègues va l’apporter à la société le lendemain matin. Quelle erreur a commise Barbara ? 1. Les personnes extérieures doivent toujours être préenregistrées et porter un badge visiteur. 2. Le personnel des entreprises tierces n’est autorisé à se déplacer dans le bâtiment que s’il est accompagné d’une personne en interne. 3. De telles opérations doivent toujours être supervisées par une personne en interne. 4. Les personnes non accompagnées ne disposant pas d’un badge visiteur doivent être questionnées sur le motif de leur visite et sur leur interlocuteur et accompagnées à la réception pour clarifier la situation au besoin. 5. Les documents contenant des informations confidentielles doivent être immédiatement retirés de l’imprimante. Comment agir avec discernement dans pareil cas ? 1. Les personnes étrangères à la société (par exemple les visiteurs, le personnel d’entretien et d’inspection, etc.) portent toujours un badge visiteur. 2. Recevoir et raccompagner les personnes extérieures à l’accueil. 3. Contrôler les limites d’accès et les activités. 4. Ne pas laisser de documents contenant des informations confidentielles sur l’imprimante. 1.6 Histoire 6: Clear Desk Policy Hans Muster travaille au bureau. Peu avant midi, son collègue l’appelle et l’invite à déjeuner. Il dépose rapidement son dossier et quitte le bureau. En se rendant jusqu’à la cage d’escalier, il rencontre une personne complètement inconnue qui ne dispose pas de badge visiteur. Il est pressé. L’inconnu entre dans le bureau de Hans et prend le dossier sur le bureau. Il y trouve des données personnelles et des informations confidentielles qu’il copie rapidement sur sa clé USB. Sur l’écran, il trouve également un Post-it avec les données d’accès à une application. Il quitte ensuite le bâtiment. Quand Hans revient de sa pause déjeuner, il se rend compte du préjudice subi. Quelle erreur a commise Hans ? 1. Hans n’a pas verrouillé son ordinateur. L’ingénieur social pouvait accéder au réseau et en copier les informations. Il aurait tout aussi bien pu supprimer des données ou installer des logiciels malveillants. 2. Les informations confidentielles ne doivent pas être rendues accessibles en quittant le bureau. Idem pour les supports de stockage externes tels que les clés USB, les CD ou les disques durs externes. C’est ce qu’on appelle la Clear Desk Policy. 3. Il est interdit d’écrire des mots de passe sur un Post. 4. En dépit de son empressement, Hans aurait dû demander à la personne inconnue la raison de sa visite et le nom de son contact dans l’entreprise. Les personnes ne disposant pas de badge d’accès doivent toujours être accompagnées. 5. Il ne faudrait pas se fier à l’idée que le contrôle d’accès fonctionne toujours à 100 %. Les entrées secondaires doivent, quant à elles, toujours rester fermées. Comment agir avec discernement dans pareil cas ? 1. Parler aux personnes inconnues et les accompagner. 2. Ne pas laisser les personnes non autorisées entrer par la porte secondaire. 3. Verrouiller votre écran, n’écrivez pas de mots de passe, laissez votre bureau libre et sans papier (Clear Desk Policy). 4. Fermer les dossiers sensibles et emporter les supports de stockage portables. Histoire 7: Gestion des réseaux sociaux 1.7 Barbara utilise les réseaux sociaux pour communiquer avec ses amis. Cependant, comme LinkedIn and co sont également des plateformes de réseautage professionnel, elle fournit aussi régulièrement des informations sur l’actualité de sa vie professionnelle. Un jour, elle reçoit une demande en amie de Gaby Schwarz. Barbara ne la connaît pas, mais dans son profil, elle constate que Gaby vient seulement de commencer à travailler pour la même entreprise qu’elle. Elle accepte la demande. Aussitôt, Gaby la recontacte et la remercie. Elle est nouvelle dans l’entreprise et souhaite ainsi nouer rapidement des contacts avec ses collègues. Gaby demande à Barbara de lui indiquer où elle travaille exactement et qui est son responsable. Elle a reçu un organigramme approximatif lors de son premier jour de travail. Deux jours plus tard, Gaby apparaît aussi sur Facebook et elles commencent à parler de leurs passe-temps, de leurs vacances et de leur amour mutuel pour les animaux domestiques. Quelle erreur a commise Barbara ? Barbara est autorisée à utiliser les réseaux sociaux en tant que personne privée. Les informations sur son quotidien au travail ne sont pas perdues pour autant.. Des données telles que les noms des responsables peuvent servir à un ingénieur social lors d’une attaque ciblée. Il est également conseillé de faire preuve de prudence en matière d’information dans un environnement privé. Un hacker peut s’en servir pour rédiger un e-mail de phishing ciblé ou même pour retrouver le mot de passe, car les mots de passe ont souvent un lien direct avec la vie privée de l’utilisateur. Soyez très prudent avec les demandes d’amitié venant de personnes inconnues. Barbara aurait dû d’abord demander si Gaby travaillait vraiment dans l’entreprise. Comment agir avec discernement dans pareil cas ? 1. Utiliser les réseaux sociaux uniquement en tant que personne privée. 2. Respecter les lignes directrices de votre entreprise: o Ne jamais divulguer d’informations secrètes, confidentielles ou internes ou de données à caractère personnel sur les réseaux sociaux et ne jamais faire de commentaires sur des informations qui ne sont pas rendues publiques. o Ne publier ni communiqués, commentaires ou documents qui pourraient porter préjudice à votre propre entreprise. o Ne jamais utiliser l’adresse e-mail du bureau ou le logo de l’entreprise pour un usage personnel sur les réseaux sociaux. o Ne pas répondre vous-même si des responsables de médias ou des utilisateurs de réseaux sociaux vous contactent afin d’obtenir des informations concernant votre employeur. Les diriger vers le service de communication. 3. Faire attention aux demandes d’ami.e.s. 4. Vérifier l’exactitude des paramètres de confidentialité.