Blog Sécurité des données

Ingénierie sociale dans l’entreprise

de Rob Sobers Au vu de la poignante histoire de Mat Honan, où Apple et Amazon ont été victimes d’attaques d’ingénierie sociale à cause de faiblesses profondes dans leurs procédures...
David Gibson
2 minute de lecture
Dernière mise à jour 17 août 2022

Contents

    de Rob Sobers

    Au vu de la poignante histoire de Mat Honan, où Apple et Amazon ont été victimes d’attaques d’ingénierie sociale à cause de faiblesses profondes dans leurs procédures de vérification d’identité, la question à un million devient : quel est le degré de vulnérabilité à l’ingénierie sociale de vos procédures internes ?

    Avez-vous déjà appelé l’assistance technique pour une réinitialisation de mot de passe ?  Qu’est-ce qui vous est demandé pour vérifier votre identité ?  Votre nom et votre département ?  Le nom de votre supérieur hiérarchique ?  Un numéro de badge ?

    On peut espérer que l’histoire de Mat conduira les équipes responsables de la sécurité des entreprises de toutes tailles à prendre l’ingénierie sociale très au sérieux.

    Que pouvons-nous faire ?

    Une tactique hautement efficace de protection contre l’ingénierie sociale consiste à exécuter de petites attaques d’ingénierie sociale et de phishing contre vos employés.  De même que nous apprenons en nous brûlant sur une plaque électrique, de même le piratage d’employés dans une simulation peut aider à enseigner à ceux-ci ce à quoi ils doivent être attentifs.

    Malheureusement, parce que nous sommes humains, certaines personnes se feront piéger au moins quelques fois, et nous devons donc nous assurer de réduire les risques au minimum lorsque cela se produit. C’est ici que le principe du privilège minimal est utile.

    Une situation dans laquelle les organisations peuvent être vulnérables à la fois à l’ingénierie sociale et à l’incapacité d’assurer le privilège minimal est la procédure d’autorisation. Le département informatique se trouve souvent en position d’accorder l’accès à des données sans disposer des connaissances requises quant à qui doit réellement avoir un accès.

    Appelez votre assistance technique et dites-leur que vous êtes le nouveau chef adjoint des ressources humaines et que vous devez accéder aux données de salaires et à l’application de traitement des salaires.  Il se peut que vous obteniez l’accès. Et à quel moment est-ce que cet accès inapproprié serait examiné, détecté et révoqué ?

    C’est exactement pour cette raison que Varonis insiste tant sur la propriété des données et les procédures d’autorisation.   Si toutes les demandes d’accès aux données des ressources humaines sont acheminées vers un membre de ce service, la probabilité que quelqu’un attribue à tort des permissions excessives voire complètement inappropriées est très fortement réduite. Si le personnel des ressources humaines examine régulièrement l’accès (a fortiori à l’aide de recommandations automatisées), la probabilité d’accès inappropriés diminue encore.

    Voilà quelques unes des précautions que nous pouvons prendre, dans l’esprit du principe de privilège minimal, pour atteindre une meilleure sécurité.

    Comme Mat l’a indiqué dans un article ultérieur :

    « À mesure que davantage d’informations à notre sujet se trouvent dans des emplacements plus nombreux, nous devons nous assurer que ceux à qui nous les confions ont pris les mesures nécessaires pour assurer notre sécurité. Ce n’est pas ce qui se passe actuellement. Et tant que ce ne sera pas le cas, ce qui m’est arrivé pourrait vous arriver à vous également. »

    Cela est également vrai pour nos données d’entreprise, dans le cloud comme derrière le pare-feu.

    Photographie : Tony Fischer

    The post Ingénierie sociale dans l’entreprise appeared first on Varonis Français.

    Que dois-je faire maintenant ?

    Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:

    1

    Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.

    2

    Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.

    3

    Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.

    David Gibson
    David Gibson David Gibson a plus de 20 ans d'expérience dans les domaines de la technologie et du marketing. Il s'exprime fréquemment sur la cybersécurité et les meilleures pratiques technologiques lors de conférences sectorielles et a été cité dans le New York Times, USA Today, The Washington Post et de nombreuses sources d'information sur la sécurité.

    Essayez Varonis gratuitement.

    Obtenez un rapport détaillé sur les risques liés aux données basé sur les données de votre entreprise.
    Se déploie en quelques minutes.
    Commencer Voir un échantillon

    Keep reading

    Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

    la-semaine-dernière,-dans-l’actualité-du-ransomware-:-semaine-du-12-juillet
    La semaine dernière, dans l’actualité du ransomware : semaine du 12 juillet
    la-semaine-dernière,-dans-l’actualité-du-ransomware-:-semaine-du-12-juillet
    Michael Raymond
    12 juillet 2021
    L'édition précédente de « La semaine dernière, dans l'actualité du ransomware », était morose suite à l'attaque du ransomware REvil. Mais cette semaine, nous avons eu l'agréable surprise d'apprendre que même si ce genre d'attaque représente une menace croissante, l'attaque de REvil n'a pas été aussi dévastatrice que prévu.
    la-semaine-dernière,-dans-l’actualité-du-ransomware-:-semaine-du-28-juin
    La semaine dernière, dans l’actualité du ransomware : semaine du 28 juin
    la-semaine-dernière,-dans-l’actualité-du-ransomware-:-semaine-du-28-juin
    Michael Raymond
    28 juin 2021
    Actualité du ransomware Vous êtes une PME et vous utilisez des lecteurs de stockage dans le cloud hébergés localement d’une marque bien connue ? Déconnectez-les sans attendre du réseau ! Des hackers ont...
    acquisition-de-la-société-polyrize
    Acquisition de la société Polyrize
    acquisition-de-la-société-polyrize
    Yaki Faitelson
    29 octobre 2020
    Avec l'acquisition de Polyrize, nous accélérons nos projets visant à fournir le même niveau de contrôle et d'automatisation à de nouveaux dépôts de données
    la-semaine-dernière,-dans-l’actualité-du-ransomware-:-semaine-du-5-juillet
    La semaine dernière, dans l’actualité du ransomware : semaine du 5 juillet
    la-semaine-dernière,-dans-l’actualité-du-ransomware-:-semaine-du-5-juillet
    Michael Raymond
    5 juillet 2021
    Actualité du ransomware Avant de nous intéresser à l’importante attaque par ransomware survenue lors de ce week-end prolongé, revenons sur l’actualité de la semaine dernière. Une ancienne version de l’outil...