La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Microsoft France. Les 3 facettes de la sécurité Le facteur humain : maillon faible de la chaîne de la sécurité Lingénierie sociale (social engineering)

Présentations similaires


Présentation au sujet: "Microsoft France. Les 3 facettes de la sécurité Le facteur humain : maillon faible de la chaîne de la sécurité Lingénierie sociale (social engineering)"— Transcription de la présentation:

1 Microsoft France

2 Les 3 facettes de la sécurité Le facteur humain : maillon faible de la chaîne de la sécurité Lingénierie sociale (social engineering) Pourquoi et comment Le facteur humain : un atout pour la sécurité Les qualités spécifiques de lhumain pour la sécurité Solutions pour renforcer la sécurité par lhumain

3

4 Architecture sécurisée Technologies OS Annuaire Correctifs IPSEC Kerberos PKI Chiffrement de fichiers SSL/TLS Clusters Détection dintrusion Gestion de systèmes Supervision Pare-feu Antivirus Personnes Admin. de lEntreprise Admin. Du Domaine Service/ Support Développeur Utilisateur Archivage Politique daccès Installation Réparation Gestion des événements Gestion des perfs Gestion du Changement / de la Configuration Processus Restauration Sauvegarde Réponse à Incident Évaluation de risques

5

6 Lingénierie sociale (ou social engineering) : menace souvent sous estimée mais régulièrement exploitée pour tirer parti du maillon faible de la chaîne de la sécurité : lêtre humain Forme de manipulation Art de faire en sorte que les personnes se conforment à vos souhaits Exploite les faiblesses du comportement humain (ignorance, naïveté, désir de se faire apprécier ou reconnaître…)

7 La manipulation, une fois maîtrisée, peut être utilisée pour obtenir laccès à tout système en dépit de la qualité du matériel et des logiciels présents Certainement lattaque la plus difficile à contrer car aucune technologie nest en mesure de larrêter Motivation : gain financier, collecte dinformation, revanche, espionnage industriel, ….

8 In 1994, a French hacker named Anthony Zboralski called the FBI office in Washington, pretending to be an FBI representative working at the U.S. embassy in Paris. He persuaded the person at the other end of the phone to explain how to connect to the FBI's phone conferencing system. Then he ran up a $250,000 phone bill in seven months. Bruce Schneier. Secret and Lies. Bruce Schneier. Secret and Lies. Pas uniquement dans les livres….

9 1. Collecte dinfos 2. Développement relationnel 3. Exploitation

10 Diffusion de la responsabilité « Le chef dit que vous ne serez pas tenu responsable… » Possibilité dobtention de bonnes grâces « Regardez ce que vous pouvez en tirer comme bénéfice » Obligation morale « Vous devez maider » Culpabilité « Quoi? Vous ne voulez pas maider !? » Relations de confiance « Cest quelquun de bien, je peux lui faire confiance » Identification « Vous et moi, on se comprend tous les deux » Désir daider « Pourriez-vous me tenir la porte svp, je suis chargé » Coopération « A deux, on ira plus vite »

11 Il existe plusieurs vecteurs dattaques possibles pour un manipulateur : 1.Internet 2.La téléphonie 3.Lapproche directe 4.Le reverse social engineering 5.La fouille des poubelles Chacun de ces vecteurs peut être utilisé pour exploiter une « des failles » humaines présentées précédemment et combiné avec dautres vecteurs

12 Courrier électronique : Phishing Spear Phishing Scam Pièce jointe malveillante Messagerie instantanée Faux site Web Logiciel malveillant Boite de dialogue et fenêtre pop-up

13 Le téléphone est un média particulièrement apprécié par les manipulateurs car cest un outil de communication très commun mais surtout très impersonnel Le téléphone est un média particulièrement apprécié par les manipulateurs car cest un outil de communication très commun mais surtout très impersonnel La plupart du temps, on ne connait pas la voix de toutes les personnes de lentreprise et on fait confiance à lidentité affichée sur le combiné Avec ladoption croissante de la VoIP, les cas dusurpation didentité vont être de plus en plus fréquents permettant là encore des attaques par ingénierie sociale

14 La majorité des gens considèrent que toutes les personnes qui leur parlent sont de bonne foi. Ceci est intéressant car cest également un fait que la plupart des gens admettent parfois mentir La plus simple des méthodes utilisées par un manipulateur consiste à demander directement linformation Pour cela, plusieurs types dapproches sont possibles : Lintimidation La persuasion Lassistance..

15 Le reverse social engineering (RSE) est une situation dans laquelle la victime fait lapproche initiale. Dans ce cas de figure, le manipulateur est perçu comme une aide par sa cible. Ainsi, il paraît naturel pour la cible de poser des questions mais également de donner de linformation. Une attaque en RSE est le plus souvent décomposée en 3 phases :

16 Les poubelles de toute entreprise peuvent se révéler une mine dinformations La plupart des employés considèrent en effet quune personne qui connaît beaucoup de choses sur lentreprise et qui utilise le vocabulaire interne est un vrai employé Et que trouve-t-on dans les poubelles ? Les vieux annuaires téléphoniques Les organigrammes Des procédures et autres manuels Des calendriers Des courriers électroniques Des brouillons de documents…

17 Ciblage de spécificités naturelles de lêtre humain Attributs naturels (Pourquoi)Tactique (Comment) ConfianceApproche directe, expert technique Désir de venir en aide Approche directe, expert technique, voix de lautorité Désir davoir quelque chose gratuitement Cheval de Troie, chaîne de messages électroniques Curiosité Cheval de Troie, ouverture de pièce jointe dun expéditeur inconnu Peur de linconnu ou de la perte de quelque chose Fenêtre popup IgnoranceFouille de poubelles, approche directe NégligenceFouille de poubelles, espionnage, écoutes

18

19 Faut-il éliminer lhumain ? La sécurité serait-elle meilleure sans implication humaine ? NON, la solution pour une meilleure sécurité nest pas nécessairement technique –La cause de la plupart des incidents de sécurité est liée à des erreurs de management, de confiance aveugle des technophiles dans leurs solutions, manque de sensibilisation et de formation, …

20 Différence entre sécurité voulue et réelle due à une transgression des règles ou à une violation de la politique de sécurité Études en sécurité, fiabilité et ergonomie : hiérarchisation des priorités Donc, pas nécessairement de volonté malveillante, mais adaptation des règles pour atteindre un but en présence de contraintes Il faut donc améliorer lergonomie pour aligner les règles et les objectifs

21 Les systèmes dinformation sont complexes La complexité ne peut pas être gérée par un automate à états finis (qui ne peut faire que ce pourquoi il a été conçu) Seul lesprit humain est capable dappréhender les situations complexes Ainsi, la nature imprévisible et fondamentalement irrationnelle de lhumain peut être le pire cauchemar du RSSI MAIS dans une situation imprévue, cest un atout irremplaçable

22 La SSI (sécurité des systèmes dinformation) relève de la gestion des risques (prise de décisions) La SSI est le domaine des choix non déterministes Un système technique ne peut pas piloter la SSI, des personnes le peuvent SANS HUMAIN, PAS DE SECURITE DES SYSTEMES DINFORMATION (et non pas linverse;-)) Piloter la SSI, cest décider dans lincertain plutôt que gérer les risques Le facteur humain est une incertitude, pas un risque

23

24 1.Mettre en place une organisation sécurité Sponsor hiérarchiquement haut placé Sponsor hiérarchiquement haut placé Responsable(s) sécurité Responsable(s) sécurité Information Information Physique Physique Responsable de la formation / sensibilisation / communication Responsable de la formation / sensibilisation / communication 2.Évaluer les risques 3.Mettre en place les défenses appropriées dans le cadre de la politique de sécurité

25 1- Politiques2- Sensibilisation et formation3- Durcissement des personnes4- Les pièges anti-manipulateurs5- Réponse à incident

26 Permettent au management de souligner la valeur des informations de lentreprise Fournissent une base légale pour influencer les décisions du personnel Définissent ce que les gens doivent faire ou ne pas faire (avec les sanctions associées) Ciblent les personnes qui doivent régulièrement répondre à des demandes (standard téléphonique, secrétariat, helpdesk…) Leur donner lassurance nécessaire pour résister avec aplomb Sont réalistes et revues régulièrement

27 Confidentialité et classification des données Gestion et contrôle des accès (logiques & physiques) Gestion des supports papier (rangement & destruction) Création et gestion des comptes utilisateurs Politique de mots de passe Procédures du helpdesk …

28 Votre confiance doit se mériter, ne vous laissez pas duper Savoir ce qui a de la valeur Les personnes sympathiques ne sont pas nécessairement des personnes de confiance Les amitiés liées au téléphone sont peu fiables Les mots de passe sont personnels Comme les chewing gums Lhabit ne fait pas le moine Le livreur nest pas toujours un vrai livreur Authentifier lappelant avant toute conversation sensible (même si elle nen a pas lair)

29 Signature dune charte Réunions de groupe Utilisation des broyeurs Rappels périodiques Audits réguliers Lettres dinformation Vidéos Bannière de logon Économiseur décran BrochuresPanneauxPosters Bandes dessinées Tapis de souris Autocollants Bloc notes Stylos…

30

31 Refus de lappelant de sidentifier Précipitation Citation de noms Intimidation Fautes dorthographe Questions bizarres …

32 Apprendre à dire « non » Nécessite le soutien entier et complet du management Entrainer ses employés Apprendre les arguments et contre arguments Marteler le message - Faire prendre conscience Cela existe vraiment Ça narrive pas quaux autres

33 Identifier les inconnus Qui êtes-vous ? Où est votre badge ? Je vous raccompagne Journal des entrées & sorties; ouverture avec badge Politique de rappel téléphonique systématique Politique de Veuillez patienter Ne pas agir dans la précipitation, prendre le temps de valider la demande Question piège

34 Processus bien défini qui : Atténue les activités frauduleuses Alerte dautres victimes potentielles Contacte le personnel de la sécurité Test régulier et mise à jour si nécessaire

35

36 Lingénierie sociale est un problème sérieux. Il faut non seulement établir de bonnes politiques pour sen protéger mais aussi cultiver 3 ingrédients : Savoir : formation appropriée pour faire et connaître les politiques et apprendre les méthodes utilisées par les manipulateurs, les risques encourus pour lentreprise et comment sen prémunir Pouvoir : moyens et autorité nécessaires, responsabilité personnelle, récompense des initiatives personnelles Vouloir : avoir la volonté de réagir dans le sens de lintérêt général (être responsable) Sélectionner les personnes qui peuvent détecter les anomalies Adapter la culture dentreprise et le style de management

37

38 Remerciements à Robert Longeon Nos blogs https://blogs.technet.com/voy https://blogs.technet.com/voy Quelques livres LArt de la Supercherie de Kevin Mitnick (ISBN ) Petit Traité De Manipulation À LUsage Des Honnêtes Gens de Robert-Vincent Joule et Jean-Léon Beauvois Décisions absurdes de Christian Morel (ISBN ) Sur le site Web de Microsoft Portail sécurité How to Protect Insiders from Social Engineering Threats 5033E55-AA96-4D49-8F57-C &displaylang=en 5033E55-AA96-4D49-8F57-C &displaylang=en 5033E55-AA96-4D49-8F57-C &displaylang=en

39

40

41


Télécharger ppt "Microsoft France. Les 3 facettes de la sécurité Le facteur humain : maillon faible de la chaîne de la sécurité Lingénierie sociale (social engineering)"

Présentations similaires


Annonces Google