Ce post est la suite d'un premier article de présentation du workshop du M.I.T. et d’un second article sur les métriques de sécurité.
Lors du workshop cyber sécurité du Massachussets Institute of Technology, j’ai présenté non seulement sur les métriques de sécurité mais également sur le social engineering. Voici un résumé de ma présentation.
A l’heure où la vaste majorité des entreprises n’a mis en place aucune protection contre le social engineering, l’objectif de ma présentation était de montrer l’inconsistance des moyens mis en œuvre contre les attaques visant l’infrastructure technique comparée aux mesures prises contre les attaques transitant par un employé, ainsi que des pistes pour se protéger.
J’ai commencé par rappeler que le social engineering n’est rien d’autre que de la manipulation mentale. On cherche à mettre l’employé dans une situation de confort ou au contraire inconfortable pour l’amener à faire quelque chose qu’il ne ferait pas s’il savait qui était son interlocuteur. Les moyens et scénarios ne sont limités que par la créativité de l’attaquant.
Comme souligné par plusieurs orateurs s’appuyant sur des cas concrets lors de ce workshop, il faut des années avant qu’une fuite de données continue ne soit détectée. Dans le cas du social engineering, c’est encore pire : une attaque de type social engineering bien faite ne laissera aucune trace et ne sera pas détectable après coup. Il y a une très forte probabilité qu’elle ne soit jamais détectée.
employés et collègues sont-ils capables de reconnaître une attaque de social engineering ?
J’ai continué en rappelant que l’Homme a des comportements paradoxaux. L’être humain a tendance à ne craindre que les risques pour lesquels il n’a pas un contrôle direct : on a plus peur de l’antenne de téléphonie mobile sur le toit en face que du téléphone portable… Et pourtant les radiations sont plus importantes avec le téléphone portable. On a plus facilement peur de l’accident d’avion que de l’accident de voiture, etc. Il en va de même pour le social engineering. Les gens pensent être capable de reconnaitre l’hameçonnage (phishing), et ceci à 89% selon une étude intéressante. Or, c’est l’inverse : ils sont 92% à ne pas avoir reconnu des emails malveillants.
Mon expérience personnelle est encore plus parlante concernant le social engineering : j’ai toujours pu entrer dans les bâtiments et accéder à ce qui m’intéressait ou connecter ce que je voulais. Je n’ai jamais été intercepté. Dans un cas, j’ai même piégé celui qui a signé le contrat de test d’intrusion incluant le social engineering.
Tout le monde peut se faire piéger… tout le monde, cela inclut moi-même et vous-même. Personnellement, j’ai reconnu deux tentatives. Mais est-ce que j’en ai laissé passer ? Je ne le sais pas et je ne le saurai probablement jamais. Vous non plus, vous ne savez pas si vous avez été piégé une fois.
social engineering : et si on arrêtait de faire l’autruche ?
Ensuite, j’ai continué avec une diapositive (slide) qui illustrait la différence entre toutes les couches de sécurité en place pour se protéger d’une attaque qui passerait pas Internet par rapport à une attaque de social engineering.
D’un côté, toutes les entreprises ont des firewalls, des protection antimalwares, etc. De nombreuses ont des systèmes de détection/blocage d’intrusion, de gestion des incident de sécurité (SIEM), des outils de prévention de fuites de données (DLP), etc. Et elles ne font rien, ou si peu, pour préparer leurs employés à reconnaître une attaque de social engineering et comment la gérer.
Il faut se rappeler que celui qui a un téléphone, ou qui a un point d’entrée physique d’un bâtiment à un moment donné est votre première ligne de défense pour vous protéger d’une attaque, comme l’est votre firewall ou votre passerelle antimalwares par rapport à Internet.
D’un côté, on considère que l’être humain est le maillon faible, on sait qu’une attaque transitant par un employé est indétectable à posteriori, que les conséquences peuvent être catastrophique et… on ne fait rien. On continue à investir en temps et en argent sur les attaques techniques uniquement.
Certes, je suis méchant car de nombreuses entreprises évoquent le social engineering durant leur campagne de sensibilisation de sécurité (awareness training). L’awareness training… vous savez ce truc auquel les gens rechignent à participer jusqu’à ce qu’ils soient forcés, ce truc qui selon eux est coupé de la réalité du business, ce truc de paranos qui les empêche de faire leur boulot de manière efficace et correcte… Et qui a lieu une fois par année dans la vaste majorité des entreprise... Oui, ceci est votre seule protection contre le social engineering, ou presque.
Je pense qu’il faut arrêter de faire l’autruche. Il existe un risque très important et on ne s’en occupe pas de manière suffisante.
sensibiliser mais pas n'importe comment
Il faut se rendre compte que tout le monde peut « se faire avoir ». Personne n’est à l’abri, le RSSI, le DSI, le Directeur Général, le réceptionniste, le facteur interne, le nettoyeur, le commercial, tout le monde.
La première action concrète est de changer d’objectif avec les cours de sensibilisation. Il faut stopper l’awareness training. Oui, vous avez bien lu : arrêtez. Faites de la formation avec entraînement. La principale activité des gendarmes, leur «activité métier », n’est pas de tirer sur les gens… et pourtant ils s’entraînent au moins toutes les semaines au stand de tir. Au cas où… Le principe est le même avec les employés : identifier les attaques de social engineering, repérer les intrus dans les locaux n’est pas leur métier principal. Mais ils doivent être capable d’identifier, de gérer ces situations, et de les reporter. Plus on s’entraîne, meilleur on est. Demandez aux sportifs, demander à ceux qui vont sortir des survivants lors de catastrophes naturelles…
Mon expérience montre qu’il est judicieux de commencer par une campagne de social engineering sur plusieurs mois. Ensuite, on présente le résultats aux dirigeants et aux employés en présentant tout ce qui a été possible de faire. L’idée étant de leur « ouvrir les yeux » ou « mettre un pied au … » selon ce qui correspond à votre personnalité et à la situation dans votre entreprise. Si on annonce de suite que l’on faire des formations de sécurité tous les mois, vous allez faire face à une levée de boucliers et vous allez perdre votre crédibilité. Il faut d’abord permettre à vos dirigeants et collègues de comprendre l’étendue du problème et les risques liés.
formation au social engineering pour les employés : quoi et comment
Ensuite, on peut commencer à former les gens à identifier les attaques. Kevin Mitnick a écrit le livre référence du social engineering : « l’art de la supercherie » (« the art of deception » en anglais). Il donne quelques trucs comme par exemple : l’attaquant va probablement s’assurer que la personne va collaborer avant de déclencher son attaque. Il va donc tester le degré de confiance de sa « victime ».
Par exemple, il peut poser une question semi-personnelle du genre « depuis combien de temps travaillez-vous ici ? » Si vous répondez à cette question, vous avez confiance dans votre interlocuteur, il pourra alors poser sa vraie question ou tenter de vous pousser à faire quelque chose dont il a besoin. il faut donner ce genre de trucs aux employés mais attention cette phrase n’est qu’un exemple seulement, il en existe des centaines d’autres et d’autres techniques pour s’assurer du degré de confiance obtenu.
Il faut également leur expliquer que faire en cas de doute car il peut s’agir d’une demande légitime et on ne va pas « envoyer promener » un client ou une autorité de surveillance. La fameuse technique de rappeler à un numéro connu : la personne se prétend de l’inspection sécurité incendie, très bien. Je n’ai pas le temps maintenant, mais je vous rappelle et vous rappelez les pompiers et pas le numéro donné.
Il faut également informer les employés si la stratégie de l’entreprise est de bloquer les attaques. C’est-à-dire que lorsqu’on a identifié une tentative, on la bloque immédiatement. Ou au contraire on laisse aller à l’étape suivante pour tenter de comprendre le but recherché par l’attaquant car il se pourrait très bien qu’il fasse la même tentative dans un autre lieu ou avec une autre personne.
le mot de la fin : s'entraîner !
Finalement, le plus important est de tester ses employés, de les entraîner. Vous faites des tests, en mandatant des experts en social engineering. En règle générale, la question que je reçois en réponse est : mais combien de fois par année ? La réponse est simple : soyez consistant ! Vous faites des tests de vulnérabilités combien de fois par année ? Si vous en faites deux par années, vous ferez la même chose pour le social engineering. Si vous les faites tous les mois, tous les mois.
Il faut bien sûr faire évoluer les scénarios et en fonction des résultats mettre à jour les formations des employés pour qu’après chaque campagne de tests on ajoute ou insiste sur les scénarios qui ont permis de déjouer l’attention des employés. Ainsi, on augmente nos chances de détecter une attaque.
Mais dernier point : désormais ce plan d’entraînement, les scénarios utilisés pour tester les utilisateurs, etc. deviennent confidentiels ! Car celui qui y a accès sait tout ce qui a de bonnes chances d’être intercepté. Cela ne vous viendrait pas à l’esprit de publier votre plan de sécurité physique, le positionnement des caméras, les alarmes, les rondes…
Et vous, que faites-vous pour protéger votre entreprise contre les attaques de social engineering ?
Johny
Crédit photo : © Marcel Schauer - Fotolia.com
Après avoir passé des années en tant qu’auditeur informatique auprès de KPMG, le besoin de résoudre les problèmes a été le plus fort. C’est assez naturellement que j’ai rejoint le groupe des consultants sécurité d’Orange Business pour la région EMEA.
J’officie depuis plusieurs années en tant que Responsable de la sécurité des systèmes d’informations pour des multinationales clientes d’Orange Business.