Blog Sécurité des données

Ingénierie sociale dans l’entreprise

de Rob Sobers Au vu de la poignante histoire de Mat Honan, où Apple et Amazon ont été victimes d’attaques d’ingénierie sociale à cause de faiblesses profondes dans leurs procédures...
David Gibson
2 minute de lecture
Dernière mise à jour 17 août 2022

Contents

    de Rob Sobers

    Au vu de la poignante histoire de Mat Honan, où Apple et Amazon ont été victimes d’attaques d’ingénierie sociale à cause de faiblesses profondes dans leurs procédures de vérification d’identité, la question à un million devient : quel est le degré de vulnérabilité à l’ingénierie sociale de vos procédures internes ?

    Avez-vous déjà appelé l’assistance technique pour une réinitialisation de mot de passe ?  Qu’est-ce qui vous est demandé pour vérifier votre identité ?  Votre nom et votre département ?  Le nom de votre supérieur hiérarchique ?  Un numéro de badge ?

    On peut espérer que l’histoire de Mat conduira les équipes responsables de la sécurité des entreprises de toutes tailles à prendre l’ingénierie sociale très au sérieux.

    Que pouvons-nous faire ?

    Une tactique hautement efficace de protection contre l’ingénierie sociale consiste à exécuter de petites attaques d’ingénierie sociale et de phishing contre vos employés.  De même que nous apprenons en nous brûlant sur une plaque électrique, de même le piratage d’employés dans une simulation peut aider à enseigner à ceux-ci ce à quoi ils doivent être attentifs.

    Malheureusement, parce que nous sommes humains, certaines personnes se feront piéger au moins quelques fois, et nous devons donc nous assurer de réduire les risques au minimum lorsque cela se produit. C’est ici que le principe du privilège minimal est utile.

    Une situation dans laquelle les organisations peuvent être vulnérables à la fois à l’ingénierie sociale et à l’incapacité d’assurer le privilège minimal est la procédure d’autorisation. Le département informatique se trouve souvent en position d’accorder l’accès à des données sans disposer des connaissances requises quant à qui doit réellement avoir un accès.

    Appelez votre assistance technique et dites-leur que vous êtes le nouveau chef adjoint des ressources humaines et que vous devez accéder aux données de salaires et à l’application de traitement des salaires.  Il se peut que vous obteniez l’accès. Et à quel moment est-ce que cet accès inapproprié serait examiné, détecté et révoqué ?

    C’est exactement pour cette raison que Varonis insiste tant sur la propriété des données et les procédures d’autorisation.   Si toutes les demandes d’accès aux données des ressources humaines sont acheminées vers un membre de ce service, la probabilité que quelqu’un attribue à tort des permissions excessives voire complètement inappropriées est très fortement réduite. Si le personnel des ressources humaines examine régulièrement l’accès (a fortiori à l’aide de recommandations automatisées), la probabilité d’accès inappropriés diminue encore.

    Voilà quelques unes des précautions que nous pouvons prendre, dans l’esprit du principe de privilège minimal, pour atteindre une meilleure sécurité.

    Comme Mat l’a indiqué dans un article ultérieur :

    « À mesure que davantage d’informations à notre sujet se trouvent dans des emplacements plus nombreux, nous devons nous assurer que ceux à qui nous les confions ont pris les mesures nécessaires pour assurer notre sécurité. Ce n’est pas ce qui se passe actuellement. Et tant que ce ne sera pas le cas, ce qui m’est arrivé pourrait vous arriver à vous également. »

    Cela est également vrai pour nos données d’entreprise, dans le cloud comme derrière le pare-feu.

    Photographie : Tony Fischer

    The post Ingénierie sociale dans l’entreprise appeared first on Varonis Français.

    Que dois-je faire maintenant ?

    Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:

    1

    Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.

    2

    Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.

    3

    Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.

    David Gibson
    David Gibson David Gibson a plus de 20 ans d'expérience dans les domaines de la technologie et du marketing. Il s'exprime fréquemment sur la cybersécurité et les meilleures pratiques technologiques lors de conférences sectorielles et a été cité dans le New York Times, USA Today, The Washington Post et de nombreuses sources d'information sur la sécurité.

    Essayez Varonis gratuitement.

    Obtenez un rapport détaillé sur les risques liés aux données basé sur les données de votre entreprise.
    Se déploie en quelques minutes.
    Commencer Voir un échantillon

    Keep reading

    Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

    data-classification-labels-:-intégration-à-la-solution-de-protection-des-informations-de-microsoft-(mip)
    Data Classification Labels : intégration à la solution de protection des informations de Microsoft (MIP)
    data-classification-labels-:-intégration-à-la-solution-de-protection-des-informations-de-microsoft-(mip)
    Michael Buckbee
    20 juillet 2018
    Nous sommes heureux d’annoncer la publication de la version bêta de Data Classification Labels. Il s’intègre à la solution Microsoft de protection des informations pour améliorer le suivi et la...
    annonce-de-varonis-edge-–-vers-la-sécurité-périmétrique-et-au-delà
    Annonce de Varonis Edge – vers la sécurité périmétrique et au-delà
    annonce-de-varonis-edge-–-vers-la-sécurité-périmétrique-et-au-delà
    Michael Buckbee
    13 novembre 2017
    Pour concevoir Varonis Edge, nous sommes partis d’un constat ; E-mails, Web et attaques par force brute sont les principaux vecteurs d’attaque des programmes malveillants pour percer vos défenses. La...
    vmware-esxi-dans-la-ligne-de-mire-des-ransomwares
    VMware ESXi dans la ligne de mire des ransomwares
    vmware-esxi-dans-la-ligne-de-mire-des-ransomwares
    Jason Hill
    7 février 2023
    Les serveurs exécutant le célèbre hyperviseur de virtualisation VMware ESXi ont été ciblés par au moins un groupe de ransomwares au cours de la semaine dernière. Ces attaques proviendraient d’un balayage visant à identifier les hôtes présentant des vulnérabilités dans le protocole OpenSLP (Open Service Location Protocol).
    varonis-apporte-une-capacité-de-sécurité-des-données-à-nasuni
    Varonis apporte une capacité de sécurité des données à Nasuni
    varonis-apporte-une-capacité-de-sécurité-des-données-à-nasuni
    Rob Sobers
    10 novembre 2017
    Nous sommes heureux d’annoncer que, dans une version à venir, la Plate-forme de sécurité des données Varonis complétera les Nasuni Enterprise File Services de fonctionnalités d’audit et de protection centrées sur...