Symposium sur la sécurité des technologies de l'information et des communications

Conférence francophone sur le thème de la sécurité de l'information.
Elle a eu lieu à Rennes du 4 au 6 juin 2008.

Identification et exploitation des failles humaines par les prédateurs informationnels : un risque sous-estimé par les entreprises ?m_ok


Date : 04 June 2008 à 11:15 — 30 min.

Dans le cadre des tests de pénétration réalisés dans le cadre de la sécurité, peu d'actions développent une approche des "failles humaines". Or, il existe de multiples cas ayant démontré la fragilité du "maillon humain" qui peut entraîner des pertes importantes pour les entreprises. À ce titre, l'intervention porte sur les problématiques de failles humaines - opérationnelles, ou autres - exploitées par les "prédateurs informationnels" afin d'accéder à des informations diverses en fonction de leurs besoins.

La notion de prédateur informationnel regroupe l'ensemble des individus ayant pour objectif de collecter de l'information en provenance de sources humaines pour exploiter celle-ci. A ce titre, au-delà du social engineer bien connu (qui pourtant est souvent peu formé), on retrouve également dans cette catégorie, les opérationnels du renseignement industriel, les acteurs de la criminalité organisée, les arnaqueurs, etc...

Malgré des objectifs totalement différents, tous ces prédateurs ont un point commun : ils doivent disposer d'un accès aux informations sensibles de l'entreprise-cible afin d'exploiter ces dernières à leurs profits.

Notre propos est de présenter les principales approches exploitées par ces prédateurs pour mieux appréhender le risque sous-jacent à ces opérations par essence discrètes. L'auteur rappelle que les techniques/méthodes présentées sont dans la majorité des zones du monde considérées comme illégales et ne sont présentées ici qu'à titre informationnel afin d'illustrer notre propos.

À ce titre, l'auteur rappelle qu'il condamne formellement le recours à ces méthodologies pour accéder à des informations en dehors du cadre spécifique des tests de pénétration informationnelle, réalisés en accord avec l'entreprise cliente et dans un cadre juridique et méthodologique précis.

L'intervention met l'accent sur :

- la compréhension des failles humaines et son exploitation;

- l'identification des failles telle que réalisée par les prédateurs

- les méthodologies déployées par ces prédateurs pour collecter de l'information sensible.

Compte tenu de la sous-estimation régulière du risque que représente ces prédateurs informationnels, le premier objectif de l'intervention est de comprendre le mode de fonctionnement de ces derniers afin de pouvoir reproduire lors des tests de sécurité informationnelle les méthodologies de collecte, afin de mieux cerner les failles de son entreprise.

Le second objectif est de permettre d'appréhender le risque que représentent ces menaces dans le dispositif de sécurité mis en place par la société, afin de pouvoir mettre en place des mesures efficaces d'identification et de minimisation de ces risques.