Sensibilisation à la Sécurité de l’Information

De nos jours, la Sécurité des Systèmes d’Information est primordiale pour toutes les entreprises. Au-delà de l’aspect Sécurité logique et physique, les utilisateurs jouent un rôle primordial dans la protection des informations sensibles.

Un programme de sensibilisation à la Sécurité de l’Information est donc un atout majeur face à une menace plus que constante.

Pour construire ce dernier, il est nécessaire de bien prendre en compte le fait que l’information a de la valeur et qu’elle constitue une ressource stratégique pour  votre entreprise (données financières, commerciales, RH, etc.).

De ce fait, les informations sont exposées à plusieurs facteurs, qui amplifient le besoin de protection. Il faut dès lors se préparer à l’émergence de nouveaux risques, tels que l’espionnage industriel, l’ingénierie sociale, etc.

Menaces

La menace peut provenir aussi bien de l’externe que de l’interne :

Les menaces externes : les virus, les tentatives de fraudes et d’escroquerie, l’espionnage industriel (notamment « l’ingénierie sociale » qui consiste à soutirer une
information confidentielle sous couvert d’une discussion apparemment banale, ou en se faisant passer pour un autre), le vol de PC.

Les menaces internes : les tentatives de piratage, d’usurpation, de contournement des moyens de protection, qui sont en pleine croissance, notamment du fait de la
vulgarisation des outils informatiques. L’utilisation de médias protégés par les droits d’auteur et les lois sur la propriété intellectuelle (images, musique, vidéos, logiciels).

Profil des attaquants

Il est important de prendre conscience du profil des attaquants. On retiendra le plus connu à savoir les « hackers ». Ces derniers peuvent agir individuellement ou via des organisations. Il existe 3 grands types d’attaquants :

Les chapeaux blancs – ces derniers ont un sens de l’éthique et de la déontologie. On retrouve dans cette catégorie les consultants en sécurité, administrateurs réseaux etc.
Les chapeaux gris – pénètrent les systèmes dans le but de tester leurs connaissances sans nuire. Ils ne connaissent souvent pas la conséquence de leurs actes.
Les chapeaux noirs – pénètrent les réseaux informatiques afin de nuire. Ils diffusent volontairement des virus et n’hésitent pas à revendre de l’information confidentielle.

Les principaux objectifs de ces attaquants sont de cinq ordres :

– Désinformer
– Prendre le contrôle du système pour l’utiliser ultérieurement
– Empêcher l’accès à une ressource sur le système d’information
– Utiliser le système compromis pour rebondir vers un système voisin
– Récupérer de l’information présente sur le système

Les pirates informatiques utilisent de nombreuses techniques permettant d’accéder à un Système d’Information. On peut noter différentes attaques connues telles :  injection SQL, Buffer Overflow, dénis de service, ingénierie sociale etc…

Une attaque par ingénierie sociale est très souvent efficace, car elle va frapper au niveau du maillon le plus fragile de la chaîne de sécurité : l’être humain.

Le programme de sensibilisation va permettre d’aider l’utilisateur à prendre conscience de l’importance de ses actions vis-à-vis du SI et de ce fait protéger un peu plus votre réseau.

Vous pouvez donc, au moyen d’une campagne, inculquer à vos utilisateurs les bons réflexes à avoir :

– Ne pas donner son mot de passe à n’importe qui et ne pas l’afficher sur un post-it à la portée de tous
– Ne pas installer de logiciels sans autorisation préalable
– Ne pas insérer de clé USB venant de l’extérieur
– Verrouiller son poste de travail CTRL + ALT + SUPPR
– Placer sous clés les documents confidentiels
– etc.

Mesurer l’efficacité de votre programme

Dans un projet de sensibilisation, la difficulté principale se trouve sur la mesure de l’efficacité de la campagne.

En effet, comment pouvons-nous estimer le travail qu’il reste à accomplir, ou comment savoir si le message est bien passé pour les utilisateurs ?

Voici quelques éléments de réponses à notre problématique :

– Mesurer les connaissances sur la sensibilisation au moyen de questionnaires. Ces derniers doivent être proposés avant et après la session afin de constater une évolution;
– Auditer les utilisateurs en passant dans leur bureau.

Cependant, ces mesures restent tout de même assez complexe à réaliser car cela demande un investissement pas toujours souhaité des utilisateurs. Certains n’auront pas forcément l’envie ou le temps de répondre à un questionnaire. Une sensation de « flicage » peut également être perçue.

Nous avons vu à travers cet article d’introduction de sensibilisation à la sécurité de l’information qu’elle occupe aujourd’hui une place importante au sein des entreprises. Cependant, sa sécurité fait l’objet de nombreuses idées reçues. En effet, certaines personnes pensent encore qu’elles n’ont aucun rôle à jouer dans le domaine de la Sécurité de l’Information, ces derniers étant persuadés que la technologie protège de tout.

Seulement, l’humain est bel et bien l’un des maillons les plus faibles de la Sécurité de l’Information. Malheureusement, les Entreprises ont encore du mal à investir pour effectuer un programme de sensibilisation, ces dernières misant plus sur les moyens technologiques.

10 Responses to "Sensibilisation à la Sécurité de l’Information"

  • deder says:
  • robsonabrilt says:
  • Fan says:
  • admin says:
  • SL4Y3R says:
  • Fan says:
  • admin says:
  • Fan says:
  • admin says:
  • cyber_risks says:
Laissez un commentaire