Un test d’intrusion réalisé au Ministère de la sécurité intérieure américain (U.S Department of Homeland Security) a démontré combien il était facile de compromettre la sécurité d’une organisation. La technique exploitée par les consultants est pourtant vieille comme le monde : ils ont disséminés des clés USB et des CD-ROM sur le parking du ministère. Les résultats sont sans appel : 60% des employés qui ont ramassé un support l’ont inséré dans leur ordinateur professionnel afin d’explorer son contenu (ou, probablement, de l’effacer pour récupération en ce qui concerne les clés USB !). Pire : lorsque le CD ou la clé affiche le logo de l’entreprise, la proportion passe alors à 90%.

Ces chiffres n’ont rien de vraiment surprenant mais ils confirment à quel point ceux qui devaient être le premier rempart de l’entreprise face aux pirates ne sont pas à la hauteur.

Bien entendu, la première réaction face à une telle nouvelle sera probablement de faire l’apologie de la sensibilisation de base : si les employés avaient été prévenus qu’il s’agit là d’une technique de pénétration courante, le bilan aurait certainement été moins défavorable.

Cependant outre sensibiliser les employés aux principales techniques d’intrusion (« ne cliquez pas sur les liens reçus par email« , « ne ramassez pas de clé USB sur le parking« , etc…) le véritable travail d’éducation doit porter sur les moyens mis à la disposition des collaborateurs pour remonter les anomalies. Et la sensibilisation dépasse alors l’instruction des troupes, pour devenir l’Art de créer un réseau de vigies au sein de l’entreprise (les utilisateurs) disposant de canaux simples et efficaces pour remonter ce qui leur semble étrange. Charge à la SSI (ou au CERT interne s’il existe !) de consolider ces informations et d’en tirer une tendance, voire une alerte.

Ceci change bien sûr la nature même du programme de sensibilisation : les utilisateurs doivent être régulièrement encouragés à remonter les comportements ou erreurs suspectes, et avoir l’assurance qu’ils ne seront ni ignorés, ni pénalisés s’ils font part de trop d’événements. Et cela exige une organisation efficace, presque industrialisée, afin de traiter ces remontées. Mais c’est à ce prix que l’entreprise pourra intercepter les attaques de manière générique plutôt que spécifique (et donc à retard).

La sensibilisation ne résoudra évidemment pas tous les problèmes (les attaques sont parfois trop complexes ou trop sournoises, la sécurité est rarement une priorité pour les utilisateurs, etc…). Mais il s’agira de ce qu’en protection rapprochée l’on appelle « le cordon intermédiaire » : un rempart supplémentaire, avant les protections « dures ».

Si vous avez mis en oeuvre un tel processus dans votre entreprise, n’hésitez-pas à venir en discuter avec la communauté !