Avec l’utilisation toujours croissante d’Internet, les risques pour la sécurité du système d’information de l’entreprise ont explosé… et sont infiniment plus variés qu’auparavant. Ceci posé, les grandes catégories de risques restent connues, au premier rang desquelles ce que l’on désigne habituellement par le terme «facteur humain». Autrement dit les utilisateurs, par leur comportement, sont ceux qui mettent en péril la sécurité des données de l’entreprise.
Des exemples? Un ordinateur portable, ayant des espaces partagés pour les collègues, et apporté sur une foire-exposition sans être protégé, avec des données accessibles pour toute personne se donnant la peine de les chercher. Un billet publié sur LinkedIn annonçant un futur voyage de prospection, très important, permet aux concurrents de se préparer à accueillir l’utilisateur. Un hobby annoncé sur Facebook et l’on peut adapter la vidéo piégée que l’on envoie à sa cible…
Ces pratiques sont désignées par le terme d'ingénierie sociale (social engineering dans sa version anglophone). Elle désigne l’art et la manière d’acquérir de l’information en utilisant une approche déloyale, voire l’escroquerie. C’est une forme d’attaque qui se concentre, non pas sur la technologie, mais sur la structure sociale de l’entreprise. En utilisant les goûts de personnes identifiées, leur crédulité, il est possible d’obtenir des informations données de bonne foi. Le développement des réseaux sociaux n’a pas amélioré la situation, en encourageant de nombreuses personnes à rendre publiques des informations facilitant une approche «sociale».
Comment peut-on améliorer la situation? Comment sensibiliser ses utilisateurs? Quelles clauses et conditions préciser dans les règles d’utilisation d’Internet au bureau? Faut-il définir une politique de présence dans les médias sociaux? Quel contenu y mettre? Comment préparer sa présence informatique sur un stand, lors d’une foire? Comment préparer un voyage et sécuriser son ordinateur?
Objectifs
A l’issu de ce workshop interactif, vous connaîtrez les risques et les mesures à prendre pour améliorer la sécurité de votre système d’information pour tout ce qui touche au comportement des utilisateurs.
Public cible
Responsables informatiques, responsables de la sécurité du système d’information, service Informatique, service des ressources humaines.
Intervenant
François Thill est diplômé dans le domaine des Technologies de l’Information à l’Université de Linz. Après plus de 10 ans d’expérience dans le domaine bancaire, il rejoint le ministère de l’Economie en 2001. Il est aujourd’hui responsable de CASES, une initiative du ministère pour améliorer la sécurité informatique au Grand-Duché.
Langue du workshop: Français.