L’exploitation du facteur humain demeure l’une des principales stratégies d’attaque, physique ou numérique, des entreprises. Un certain nombre de mesures simples peut permettre de se prémunir d’une bonne part de ces risques. La formation des personnels, cependant, reste la meilleure solution.
« En informatique, le problème se trouve souvent entre la chaise et le clavier ». Cette expression, quoique humoristique, traduit avec précision le rôle prépondérant du facteur humain dans le cadre des difficultés rencontrées dans le domaine informatique.
Toutefois, l’impact du facteur humain n’est pas circonscrit au domaine numérique. En effet, l’individu étant au centre des activités de la quasi-totalité des acteurs, publics ou privés, l’exploitation de ses failles demeure une stratégie de choix pour des entités souhaitant acquérir des informations sur lesdits acteurs. Ces stratagèmes peuvent autant être utilisés dans le cadre d’opérations physiques que dans celui d’opérations numériques. C’est pour cette raison qu’il demeure vital de sensibiliser les divers acteurs de l’entreprise à ces pratiques.
Le facteur humain dans les attaques physiques
L’exploitation du facteur humain dans un environnement physique, dans le but de nuire ou de dérober des secrets, demeure, même à l’heure du numérique, un risque à ne pas sous-estimer. La formation des personnels ne doit pas passer au second plan dans les stratégies de gestion de risques des entreprises. Cette nécessité est parfaitement illustrée au travers d’un article d’Alex Legeay publié pour le compte d’Usecure. M. Legeay y développe les principaux risques physiques auxquels s’expose une entreprise. Certaines pratiques, parfois sophistiquées, consistent à s’introduire illégalement au sein des locaux d’une entreprise ciblée. L’article prend pour exemple la technique du « café », un subterfuge né de la rencontre de l’ingénierie sociale avec le talonnage, et qui consiste à s’introduire dans une zone sécurisée en suivant une personne accréditée.
La technique du « café » mentionnée plus tôt représente un perfectionnement du talonnage. M. Legeay la décrit ainsi : « une personne tenant une tasse de café dans chaque main se dirige vers la porte d’un bureau. Un employé peu méfiant qui passe par la porte ou qui se trouve à proximité tient la porte ouverte par courtoisie – laissant ainsi entrer une personne non autorisée dans les locaux. ».
Le lecteur pourrait, à la lecture de ces lignes, éprouver un certain amusement au vu de l’apparente simplicité d’un tel subterfuge. Nous l'encourageons, le cas échéant, à se familiariser avec les travaux du psychologue Robert Cialdini afin de comprendre la pression qu’exercent les mécanismes sociaux et à quel point ils peuvent influencer nos comportements.
L’exploitation du facteur humain peut être davantage subtile et moins frontale que l’utilisation d’un subterfuge psychologique. Dans ce domaine, la Chine est particulièrement efficace.
La République populaire de Chine a opéré diverses manœuvres de collectes d’informations à propos des activités de défense françaises près de l’Ile Longue. Selon une note confidentielle rédigée par le SGDSN en juillet 2018 et rendue publique par Antoine Izambard, journaliste de Challenges, les services français seraient particulièrement préoccupés par les rapprochements entre le personnel et les étudiantes chinoises de la zone. En effet, la Direction du Renseignement et de la Sécurité de la Défense apparaissait particulièrement inquiète quant à « l’augmentation de mariages entre des militaires affectés en Bretagne et des étudiantes chinoises de l’Université de Bretagne Occidentale [UBO] et de l’École nationale supérieure de techniques avancées [ENSTA]. ». De plus, les militaires ne sont pas les seuls ciblés par cette menace. Un article du journal « Le Télégramme » a révélé que les ingénieurs civils opérant dans le domaine de la défense avaient aussi été ciblés par ce type d’approche, rappelant ainsi les méthodes du KGB durant la guerre froide.
Le facteur humain à l’heure du numérique
Même à l’heure du numérique, l’exploitation du facteur humain demeure une stratégie d’attaque très usitée. C’est, en tout cas, la conclusion à laquelle est parvenue l’entreprise Kaspersky dans une étude en date de 2018. Afin d’arriver à une telle conclusion, l’entreprise de sécurité informatique se base sur les statistiques récoltées par IBM. En tout, plus de 90 % des incidents de sécurité trouveraient leur source dans une erreur humaine (clic sur un lien de phishing, consultation d’un site Web suspect, activation de virus ou autres menaces persistantes avancées).
Cette omniprésence du facteur humain lors des incidents de sécurité informatique est particulièrement visible au niveau des TPE. Selon l’étude de Kaspersky, la part de très petites entreprises (1 à 49 salariés) victimes d’une attaque impliquant une erreur humaine est passée de 25 à 32 %. Bien que particulièrement présente au sein des TPE, cette lacune n’y est pas circonscrite. Ainsi, toujours selon l’étude de Kaspersky : « près de la moitié des entreprises (entre 44 et 48 %) ne se sentent pas bien protégées contre la menace posée par l’ignorance, la naïveté et la malice de leurs propres salariés. ».
Le caractère vital de la formation
Face à l’importance de l’exploitation du facteur humain dans la stratégie de divers acteurs souhaitant porter atteinte au patrimoine d’entreprises, il convient de prendre des mesures préventives. La définition claire de protocoles de sécurité (instauration de politique de rangement des bureaux afin d’éviter le vol de document), l’adaptation des équipements du site (l’achat de portes anti-talonnage pour les plus fortunés) ou encore la mise en place de portes d’identification et de badges visiteurs afin de savoir qui est présent sur le site, demeurent des alternatives plus que viables.
Cependant, le principal moyen de réduire l’exposition d’une structure aux offensives demeure la formation des personnels. En effet, il apparaît aujourd’hui comme impératif de sensibiliser les divers collaborateurs à la multitude de stratagèmes dont ils pourraient être la cible, qu’ils soient physiques ou numériques. Une précaution supplémentaire devrait être prise dans le cas d’individus travaillant dans des secteurs stratégiques pouvant attirer les prédations d’acteurs entraînés. Il conviendrait ainsi de former les personnels stratégiques à certaines procédures traditionnelles (M.I.C.E) afin de prévenir au maximum toute fuite involontaire.
Club Risques AEGE
Pour aller plus loin: