Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Le social engineering : Un risque sous-évalué du système d’information de l’ent

Le social engineering : Un risque sous-évalué du système d’information de l’entreprise moderne Travail de Bachelor réalisé en vue de l’obtention du Bachelor HES en Informatique de Gestion par : Mirco BONIOLO Conseiller au travail de Bachelor : Peter DAEHNE, Professeur HES Genève, le 25 juin 2013 Haute École de Gestion de Genève (HEG-GE) Filière Informatique de gestion Le social engineering : Un risque sous-évalué du système d’information de l’entreprise moderne BONIOLO, Mirco i Déclaration Ce travail de Bachelor est réalisé dans le cadre de l’examen final de la Haute école de gestion de Genève, en vue de l’obtention du titre Bachelor of Science en Informatique de gestion. L’étudiant accepte, le cas échéant, la clause de confidentialité. L'utilisation des conclusions et recommandations formulées dans le travail de Bachelor, sans préjuger de leur valeur, n'engage ni la responsabilité de l'auteur, ni celle du conseiller au travail de Bachelor, du juré et de la HEG. « J’atteste avoir réalisé seul le présent travail, sans avoir utilisé des sources autres que celles citées dans la bibliographie. » Genève, le 25 juin 2013 Mirco BONIOLO Le social engineering : Un risque sous-évalué du système d’information de l’entreprise moderne BONIOLO, Mirco ii Remerciements Je tiens ici à adresser mes plus sincères remerciements à mon conseiller au travail de Bachelor, M. Peter DAEHNE, qui m’a suivi tout au long de ce travail et s’est toujours montrée disponible pour répondre à mes questions. Ses remarques, ses réflexions et nos nombreuses entrevues m’ont permis d’aboutir au présent rapport. Un merci également aux bibliothécaires de l’Université de Montréal, qui m’ont aidé dans mes diverses recherches documentaires et les commandes des différents articles scientifiques auxquels j’ai pu accéder par leurs soins. Pour finir, je tiens aussi à adresser mes chaleureux remerciements à ma famille, mes proches et mes amis, qui m’ont soutenu tout au long de ce projet. Le social engineering : Un risque sous-évalué du système d’information de l’entreprise moderne BONIOLO, Mirco iii Résumé Le social engineering est un risque dont la prise de conscience est relativement récente du point de vue de la sécurité des systèmes d’information. Il constitue donc un objet d’étude de premier choix pour celles et ceux qui s’intéressent aux risques informatiques pesant sur le système d’information ou qui doivent les gérer et amener des solutions concrètes. Nous avons commencé ici par nous informer sur cette menace et notamment pour mettre une définition claire sur ce concept multiforme. En effet comprendre le risque, c’est d’abord en saisir ses contours. Nous poursuivons ensuite sur ses caractéristiques, ses spécificités. Des outils et modèles sont proposés pour le traitement et la mitigation. Le premier constat est que cette menace reste très fortement sous-évaluée. Avec 41% des professionnels de la sécurité sondés qui ne savent pas s’ils ont été la cible ou non de ce type de risque, il est important de comprendre ce phénomène. Deuxièmement, un manque de formation et de sensibilisation du personnel vis-à-vis de ce risque nous sont clairement apparus au fur et à mesure de notre travail (26% seulement ont mis en place un programme de sensibilisation). Troisième point, la valeur de l’information n’est pas toujours prise en considération. Enfin, les nouvelles technologies du Web exacerbent ce type de phénomène. Le social engineering : Un risque sous-évalué du système d’information de l’entreprise moderne BONIOLO, Mirco iv Table des matières Déclaration .......................................................................................................... i Remerciements .................................................................................................. ii Résumé ............................................................................................................. iii Table des matières ........................................................................................... iv Liste des Tableaux ........................................................................................... vi Liste des Figures .............................................................................................. vi 1. Introduction ................................................................................................. 1 1.1 Tour d’horizon du problème ....................................................................... 1 1.2 Le périmètre de notre recherche ................................................................ 2 1.3 La méthodologie du travail de recherche .................................................. 3 2. Une définition .............................................................................................. 4 2.1 Le social engineering qu’est-ce que c’est? ............................................... 4 2.2 Un état de l’art .............................................................................................. 6 3. Les quatre étapes d’une attaque d’ingénierie sociale .......................... 14 3.1 Une approche globale ................................................................................ 14 3.2 La récolte d’information ............................................................................ 16 3.3 Le prétexte .................................................................................................. 18 3.3.1 Les biais cognitifs ............................................................................ 19 3.4 L’extraction ................................................................................................. 31 3.5 La clôture .................................................................................................... 32 4. Techniques et outils pour l’ingénierie sociale ....................................... 33 4.1 Les réseaux sociaux et le Web en général .............................................. 33 4.1.1 Une politique pour encadrer ........................................................... 36 4.1.1.1 Facebook, Twitter et compagnie ........................................................ 42 4.2 Les moteurs de recherche ........................................................................ 45 4.3 Techniques courantes ............................................................................... 50 5. Formation, prévention et mitigation ....................................................... 61 5.1 La formation et la sensibilisation des employés .................................... 61 5.2 La sensibilisation à tous les niveaux ....................................................... 64 5.3 Les moyens de mitigation ......................................................................... 65 5.4 Tests d’intrusion et audits ........................................................................ 68 6. L’entreprise moderne comme catalyseur ............................................... 73 6.1 La gestion de l’information ....................................................................... 73 6.1.1 Les débuts d’une politique de l’information ..................................... 76 6.2 Social engineering et politique de sécurité ............................................. 80 7. Conclusion ................................................................................................ 82 7.1 Synthèse du travail de recherche ............................................................. 82 7.2 Un apport personnel .................................................................................. 83 Le social engineering : Un risque sous-évalué du système d’information de l’entreprise moderne BONIOLO, Mirco v Glossaire .......................................................................................................... 85 Bibliographie ................................................................................................... 90 Livres (monographies) : ..................................................................................... 90 Articles de périodique : ...................................................................................... 90 Articles de conférences : ................................................................................... 91 Articles électroniques : ...................................................................................... 91 Pages Web : ......................................................................................................... 92 Norme : ................................................................................................................. 92 Annexe 1 Exemples d’attaques de social engineering ................................ 93 Annexe 2 Deux exemples de biais supplémentaire ..................................... 96 Le social engineering : Un risque sous-évalué du système d’information de l’entreprise moderne BONIOLO, Mirco vi Liste des Tableaux Tableau 1 Chiffres clés sur l’état de l’art du social engineering .................................. 12 Tableau 2 Exemples de lignes directrices générales .................................................. 38 Tableau 3 Lignes directrices relatives aux contenus postés par les employés ........... 39 Tableau 4 Lignes directrices pour le comportement en ligne ...................................... 40 Tableau 5 Exemples de lignes directrices à l’attention du public ................................ 41 Tableau 6 Requêtes combinées pour la recherche d’informations sous Google ........ 47 Liste des Figures Figure 1 Les composantes de la définition du social engineering .............................. 4 Figure 2 Liste des principaux facteurs motivationnels cités pour une attaque ........... 8 Figure 3 Typologie et probabilité du personnel à risque ............................................. 9 Figure 4 Approches diverses liées au social engineering en entreprise .................. 10 Figure 5 Les quatre étapes d’une attaque de social engineering………. ................. 16 Figure 6 Exemples d’opérateurs pour la recherche d’informations sous Google ..... 46 Figure 7 Exemples d’informations récoltées via la recherche passive ..................... 48 Figure 8 Liste des principales techniques d’ingénierie sociale ................................. 51 Figure 9 Human security – the missing link .............................................................. 69 Figure 10 La fuite d’information dans le domaine publique en entreprise .................. 74 Le social engineering : Un risque sous-évalué du système d’information de l’entreprise moderne BONIOLO, Mirco 1 1. Introduction 1.1 Tour d’horizon du problème Dans l’entreprise moderne, la gestion du risque au sens large du terme est devenu un élément quasi incontournable de sa stratégie. Que ce soit pour gérer et protéger ses actifs informationnels et ses biens physiques, ou encore pour se créer de nouvelles opportunités sur des marchés, tout en pérennisant ses activités métier sur le long terme. Dès lors, les entreprises ont pris pour habitude de se préoccuper de toutes une série d’éléments bien connus comme le risque sur les opérations (risque opérationnel), le risque de réputation (ou risque d’image), le risque d’intrusion physique (virus, chevaux de Troie, …), ou encore le risque de catastrophe naturelle. De la PME à la grande entreprise travaillant à l’international, des procédures sont mises en place et des systèmes de contrôle et d’audit (interne ou externe) permettent de suivre et de vérifier régulièrement la conformité des règles établies avec l’intégrité du système d’information. Le système d’information est aujourd’hui devenu une ressource clé des entreprises. Ajoutons également que les progrès de la technique moderne nous fournissent des outils de plus en plus puissants, fiables et difficiles à contourner comme par exemple : le firewall, les systèmes de détection d’intrusions, les logiciels antivirus, les systèmes cryptographiques (cf. glossaire p.85 pour plus de détails sur les termes) etc. Ces derniers ont sans aucun doute amené des bénéfices certains dans la gestion et la protection des données, mais il serait faux de croire que l’on peut se barricader derrière ces systèmes pour garantir une sécurité sans faille. En effet, depuis toujours, le maillon faible de tout système de sécurité est précisément celui qui en détient les commandes, c’est-à-dire l’humain lui-même. Depuis maintenant environ une dizaine d’années, nous voyons apparaître un nouveau risque pour le système d’information des entreprises. Ce risque s’appelle le social engineering ou risque d’ingénierie sociale. Il ne s’agit plus dès lors de directement s’attaquer à la partie technique du système d’information informatisé comme le ferait un pirate conventionnel, mais bel et bien de prendre pour cible les personnes qui se trouvent derrière leurs machines et leur réseau ultra-sécurisé. Le pirate moderne va alors mêler techniques informatiques, compétences sociales et éléments de psychologie humaine pour parvenir à ses fins. Ce risque reste méconnu à plus d’un titre : d’une part parce qu’il est relativement nouveau, et d’autre part, du fait de sa nature particulière (il n’est pas un risque relevant uploads/Management/ social-ingelierie.pdf