1 COMMENTAIRE / HISTOIRE (EN FRANÇAIS)
1.1 Histoire 1: La cybersécurité nous concerne tous
Les informations sont essentielles et constituent un atout précieux. Il peut s’agir de données sur les clients, le
personnel, la recherche et le développement ou celles concernant les projets de rachat par la direction, etc. La
protection de ces informations est primordiale. Qu’elles se présentent sous forme électronique sur des
ordinateurs, des tablettes ou dans le cloud, sous forme imprimée ou qu’elles soient simplement des
connaissances du personnel.
Ces informations intéressent aussi les hackers. Le nombre de cyberattaques augmente donc inexorablement,
avec des dommages difficilement quantifiables pour les entreprises concernées. Les entreprises doivent être en
mesure de lutter contre les cyberattaques telles que l’hameçonnage (phishing), les rançongiciels (ransomwares),
les virus ou l’ingénierie sociale (social engineering). Mais comment cela fonctionne?
Dans le passé, de hauts murs de protection étaient érigés pour se protéger des attaques. À l’époque, ils étaient
en pierre. Désormais, ils sont maintenant constitués de pare-feu et de logiciels ou de matériel. Mais il est, hélas,
impossible de s’isoler complètement du monde extérieur. Aussi avons-nous besoin de « portes » pour
communiquer par e-mail ou par téléphone, pour avoir accès à Internet, collaborer avec des partenaires
commerciaux et des fournisseurs et enfin et disposer, surtout, d’une véritable entrée permettant de pénétrer dans
le bâtiment. Les hackers essaient aussi d’utiliser ces portes et ils tentent nous manipuler afin de nous forcer à les
ouvrir.
Mais qu’est-ce que cela signifie pour vous et pourquoi devriez-vous, autant que vous êtes, vous préoccuper de la
cybersécurité ? Eh bien, tout simplement - parce que vous êtes notre meilleur pare-feu et que nous sommes tous
responsables de la sécurité dans l’entreprise !
Vous vous demandez pourquoi ? Les hackers essaient de plus en plus de manipuler les individus via l’ingénierie
sociale afin d’obtenir des informations. Trois facteurs doivent donc interagir pour garantir le bon fonctionnement
de la cybersécurité: la technologie, les processus et les personnes elles-mêmes, en un mot comme en cent,
vous !
À titre comparatif, prenons ce qui se passe sur la route : dans la voiture, il y a des airbags, des ceintures de
sécurité, un indicateur de distance de sécurité, etc. Ces technologies protègent des accidents ou permettent de
limiter les dégâts. Mais quel intérêt si nous ne fixons pas le sens de la circulation? Sans réglementation, la
technologie est inutile.
Mais rien ne nous empêche de mettre en place les meilleurs systèmes et règles de sécurité. Après tout, dans
certaines situations, seuls le bon sens et une réaction rapide peuvent prévenir un accident.
Il en va de même pour la sûreté de l’information. Nous utilisons aussi des technologies et des processus de
sécurité. Par exemple, les pare-feu, les programmes de protection contre les virus, les badges et, enfin et surtout,
nos directives de sécurité. Mais au bout du compte, dans de nombreux cas, c’est vous qui êtes responsable.
La sûreté oblige à la confiance: Les clients et les fournisseurs nous font confiance et nous considèrent comme un
partenaire fiable, mais vous, en votre qualité de salarié.e, vous nous faites confiance en tant qu’employeur et
nous veillons à ce que les informations de nature confidentielle et personnelle fassent l’objet d’un traitement
attentif. La sûreté de l’information est de notre ressort !
1.2 Histoire 2: Mot de passe et ransomware
Voici Hans Muster. Il se rend au travail en voiture tous les jours. Hans trouve une clé USB dans le parking devant
le bureau. Il se demande qui a bien pu la faire tomber de sa poche et l’emporte. Peut-être y a-t-il des informations
sur la clé qui identifieront la ou le propriétaire.
Lorsqu’il arrive au bureau, il allume son ordinateur. Le système lui demande systématiquement de saisir son mot
de passe. Pas plus tard qu’hier, il s’est encore énervé à ce sujet, car il a dû choisir un nouveau mot de passe.
Puisqu’il est impossible de se souvenir de tous les mots de passe, il les a écrits sur un Post-it qu’il a collé sous
son tapis de bureau. Ainsi, « Susi1986 », le nom de sa petite amie et l’année de sa naissance.
Lorsque le système démarre, Hans connecte la clé USB à son ordinateur. Il ne parvient malheureusement pas à
trouver de renseignement à propos de sa ou son propriétaire. Or, il existe un fichier sur la clé USB intitulé « Vue
d’ensemble des salaires ». Ce dossier éveille la curiosité de Hans. Un message apparaît indiquant que la fonction
macro doit être activée. Il clique sur le fichier pour l’ouvrir. Hans procède ainsi afin de pouvoir garantir la pleine
fonctionnalité du fichier.
Un message s’affiche simultanément, signalant que toutes les données ont été cryptées. On demande à Hans de
transférer une certaine somme d’argent en bitcoins pour permettre la relecture des données.
Quelle erreur a commise Hans ?
Avant tout, les mots de passe sont secrets et ne doivent jamais être écrits. Les mots de passe doivent
aussi être difficiles à retrouver. -
De plus, les clés USB inconnues ne peuvent pas être utilisées sans contrôle de sécurité.
La fonction macro ne doit pas non plus être activée pour les fichiers d’origine inconnue, car des logiciels
malveillants, tels que des ransomwares pour le cryptage des données dans ce cas, peuvent alors
pénétrer dans le réseau de l’entreprise sans toutefois le bloquer.
Comment agir avec discernement dans pareil cas ?
1. Ne jamais écrire de mots de passe et en utiliser chaque fois un différent pour chaque application.
Notre conseil : prenez une phrase, une citation connue ou une parole de chanson dont vous vous
souvenez bien et servez-vous-en pour créer le mot de passe. Par exemple : Waliays_TB66! (We all live
in a yellow submarine, The Beatles, parution en 1966!)
2. Vérifier que les clés USB, même celles d’origine connue, ne contiennent pas de virus.
3. Toujours remettre à des fins d’élimination les clés USB trouvées ou déposées auprès de la personne
responsable de la sûreté. Ne jamais connecter à l’ordinateur des clés USB d’origine inconnue.
4. Ne pas activer pas les macros dans les fichiers Office d’origine inconnue.
1.3 Histoire 3: Phishing
Hans travaille dans son bureau lorsqu’il reçoit un nouvel e-mail dont l’objet est « Gagnez un iPad Pro ».
Hans veut en savoir plus. Cela faisait longtemps qu’il voulait acheter cette tablette. Et s’il peut la gagner, eh bien,
tant mieux Il ouvre rapidement l’e-mail. Il s’agit d’une (soi-disant) enquête réalisée par un fournisseur. Ce dernier
met en place un nouveau service et voudrait interroger les utilisateurs à ce sujet. Cinq tablettes sont tirées au sort
et les gagnant.e.s se trouvent parmi les cent premiers utilisateurs.
Selon les indications données dans l’e-mail, il suffit à Hans de cliquer sur le lien et de se connecter avec son nom
d’utilisateur et son mot de passe. Ainsi, on s’assure qu’il appartient vraiment à l’entreprise.
Il clique alors sur le lien et est dirigé vers un site web qui ressemble exactement à la page d’accueil du site du
fournisseur. Hans saisit vite ses coordonnées. Lorsqu’il a terminé et envoyé l’enquête, un message
apparaît:« Félicitations - vous faites partie des cents premiers participants et avez une chance de gagner ! ». Cela
valait donc la peine de réagir rapidement !
Quelle erreur a commise Hans ?
Hans a cliqué sur le lien sans aucune hésitation. Il n’a cependant pas vérifié si l’adresse Internet sous-
jacente, l’URL, correspond réellement à l’expéditeur du courrier et renvoie au domaine correspondant du
partenaire. On peut le vérifier en déplaçant le pointeur de la souris sur le lien, mais sans cliquer sur
dessus.
De plus, Hans a dû s’authentifier auprès de l’interlocuteur avec ses données de connexion. Pourtant, le
nom d’utilisateur et le mot de passe ne doivent jamais être transmis.
Mais attention, ces attaques de phishing ne se limitent pas à l’envoi d’e-mail. Elles peuvent aussi se
produire par SMS ou par appels téléphoniques automatisés.
Comment agir avec discernement dans pareil cas ?
1. Vérifier le destinataire et le contenu de l’e-mail.
3. Vérifier le lien sans cliquer dessus.
3. Ne jamais divulguer pas votre nom d’utilisateur et votre mot de passe. Même le personnel du service
Helpdesk ou les gestionnaires informatiques n’ont pas besoin de connaître le mot de passe et
certainement pas des personnes extérieures.
4. Vérifier le contenu des e-mails.
5. En cas de doute, adressez-vous à votre responsable direct.
6. Supprimez les e-mails suspects.
1.4 Histoire 3: Social Engineering par téléphone
Barbara Insouciance se trouve à son bureau quand, tout à coup, un dénommé Thomas Ackermann du service
Helpdesk appelle. Il l’informe qu’un virus particulièrement agressif circule. Il ne peut être détecté par le logiciel
antivirus en place. Le service Helpdesk a maintenant mis en place un serveur spécifique pour vérifier chaque
ordinateur. Pourrait-elle lui permettre de vérifier son ordinateur ? Barbara accepte.
Thomas Ackermann l’informe qu’elle doit éteindre son ordinateur et après l’avoir redémarré, se connecter en
utilisant son nom d’utilisateur et son mot de passe Windows. Un message d’erreur apparaît sur son écran.
Thomas lui demande à nouveau d’entrer le mot de passe correctement. Barbara retape l’information, mais le
même message apparaît à nouveau. Thomas lui réclame maintenant son nom d’utilisateur et son mot de passe
Windows afin de pouvoir l’essayer sur sa console. Comme Barbara hésite, Thomas insiste sur la nécessité
absolue d’une intervention rapide. Barbara est d’accord et transmet l’information à Thomas.
Il essaie, apparemment, une nouvelle fois et confirme ensuite à Barbara que quelque chose cloche vraiment. Il va
vérifier et la recontactera.
Quelle erreur a commise Barbara ?
Barbara n’aurait en aucun cas dû donner les données d’accès à l’appelant. Même un collaborateur du
service Helpdesk ou un administrateur informatique n’a pas besoin de ces informations pour tester un
service.
Comment agir avec discernement dans pareil cas ?
1. Ne jamais divulguer pas votre nom d’utilisateur et votre mot de passe Windows.
2. Prendre note du numéro de téléphone et du nom du contact téléphonique et, en cas de demandes
inhabituelles, consulter votre supérieur direct afin de vous faire préciser l’exactitude de la procédure.
3. Ne transmettre aucune information à des tiers concernant l’informatique de l’entreprise.
1.5 Histoire 5: Social Engineering
Thomas Ackermann, un prétendu technicien de maintenance, se présente à la réception et indique qu’il a été
informé par le service informatique d’une réparation à effectuer sur une imprimante multifonctions défectueuse au
deuxième étage. Comme il passe justement dans le coin, c’est inutile d’enregistrer sa visite puisque ça ne
prendra pas beaucoup de temps. Il a, d’ailleurs, emporté la pièce de rechange.
La personne est admise dans le bâtiment. Elle se trouve au deuxième étage et cherche une imprimante. Elle se
met au travail, éteint l’imprimante et prend les documents imprimés.
Lorsque Barbara Insouciance du service de préparation des commandes veut récupérer ses documents, le
technicien de maintenance lui dit qu’il a dû temporairement éteindre l’imprimante pour remplacer une pièce
défectueuse. Elle doit dès lors réimprimer le document.
Lorsque le technicien de maintenance se retrouve seul, il enlève le disque dur de l’imprimante et l’emporte. Il
pose ensuite une note sur l’imprimante « Imprimante défectueuse – note du technicien de maintenance ».
De retour à la réception, il indique qu’il s’agit d’un problème majeur. Il a déjà informé le service logistique et
commandé la pièce de rechange à la société en question. Un de ses collègues va l’apporter à la société le
lendemain matin.
Quelle erreur a commise Barbara ?
1. Les personnes extérieures doivent toujours être préenregistrées et porter un badge visiteur.
2. Le personnel des entreprises tierces n’est autorisé à se déplacer dans le bâtiment que s’il est
accompagné d’une personne en interne.
3. De telles opérations doivent toujours être supervisées par une personne en interne.
4. Les personnes non accompagnées ne disposant pas d’un badge visiteur doivent être questionnées
sur le motif de leur visite et sur leur interlocuteur et accompagnées à la réception pour clarifier la
situation au besoin.
5. Les documents contenant des informations confidentielles doivent être immédiatement retirés de
l’imprimante.
Comment agir avec discernement dans pareil cas ?
1. Les personnes étrangères à la société (par exemple les visiteurs, le personnel d’entretien et
d’inspection, etc.) portent toujours un badge visiteur.
2. Recevoir et raccompagner les personnes extérieures à l’accueil.
3. Contrôler les limites d’accès et les activités.
4. Ne pas laisser de documents contenant des informations confidentielles sur l’imprimante.
6
7
1
/
7
100%
