jeudi 20 septembre 2012

Le social engineering est-il roi au royaume du numérique ?

source: www.current.com
Pour obtenir des informations sur les organisations, les attaquants ne se contentent plus d'infiltrer les systèmes d'informations, ils utilisent une méthode ancestrale, le "social engineering" (ou ingénierie sociale en français).
Ce terme englobe toutes les techniques de malveillance qui exploitent les faiblesses humaines dans le but d'obtenir des informations sur une organisation.

Comme nous l'explique le Ponemon Institute, 78% des fuites d'informations en entreprise sont le fait de collaborateurs qui ont accès à ces informations et 95% de ces pertes de données ne sont pas intentionnelles.
On voit donc là les limites des politiques de sécurité des systèmes d'informations, si performantes soient elles.

On le sait, la solidité d'une chaine dépend de son maillon le plus faible hors, dans ce cas précis, l'humain semble tenir ce rôle.
Certes le développement des technologies et la multiplication des réseaux de diffusion ont accru la vulnérabilité des entreprises et la sécurité des systèmes d'informations doit être au cœur des préoccupations stratégiques mais n'appréhender cette mission que du seul point de vue matériel risque de réduire la qualité des résultats escomptés. 

Le social engineering joue sur plusieurs ressorts de la psychologie humaine et utilise tant l'influence que la soumission et la manipulation et ces techniques ont depuis longtemps été étudiées scientifiquement.
Nous pouvons prendre en exemple la notion de "soumission librement consentie" étudiée par Robert-Vincent Joule et Jean-Léon Beauvois dans leur "Petit traité de manipulation à l'usage des honnêtes gens"(1987) reprenant eux-mêmes la procédure "du pied dans la porte" (1966) de J. Freedman et S. Fraser basée sur la théorie de l'engagement .
Le but est "simple": influencer quelqu’un au point de l’amener à modifier en toute liberté, sans avoir à exercer sur lui de pressions, ni même sans avoir à le convaincre, ses décisions ou son comportement.
Dans  l’expérience de J. Freedman et S. Fraser (1966), par exemple, on proposait aux sujets d’installer, dans leur jardin, un grand panneau publicitaire sur la sécurité routière (comportement attendu). 76 % des sujets ont accepté l’installation de ce panneau après avoir accepté, au préalable, d’apposer une petite affichette du même thème sur leur fenêtre (acte préparatoire), contre 17 % en demande directe.

Les applications au monde professionnel sont courantes, fréquemment malveillantes et les conséquences sont parfois lourdes.
Tous les outils de communication peuvent être mis à profit: le téléphone, le mail (hameçonnage), les réseaux sociaux mais aussi les entretiens d'embauche, les contacts directs...

L'enjeu de la protection de l'information ne prend donc son sens que si ses deux paramètres vecteurs, que sont les systèmes et les personnes qui l'utilisent, sont intégrés à la réflexion et à la stratégie. Les risques sont élevés et il semble nécessaires que les organisations en prennent conscience afin de sensibiliser, former et informer leurs collaborateurs pour leur permettre d'adopter les bons gestes en cas de "sollicitations".
Ceci est particulièrement vrai en temps de crise, période pendant laquelle l'état de fatigue et de stress est accru, les modes de fonctionnement parfois dégradés, le besoin de se reposer sur l'organisation plus fort et les moyens de détection généralement dégradés.
L'intelligence économique, dans cette lutte, jouera un rôle clé car la détection des signaux faibles que génère le social engineering est compliquée et la sensibilité de veille devra être d'autant plus forte.

Pour aller plus loin :
  • C.A. Kiesler, The Psychology of Commitment, Academic Press, 1971 (anglais).
  • Robert-Vincent Joule et Jean-Léon Beauvois, Petit traité de manipulation à l'usage des honnêtes gens, Presses universitaires de France, 1987.
  • Jonhattan L Freedman et Scott C Fraser, Compliance without pressure, The foot-in-the-doot technique, Journal of Personality and Social Psychology, 1966 (anglais).

Aucun commentaire:

Enregistrer un commentaire

Remarque : Seul un membre de ce blog est autorisé à enregistrer un commentaire.