Un incident de sécurité ? Faites-vous assister : 01 47 28 38 39

Les référentiels de sécurité, notamment la norme ISO 27002, recommandent de sensibiliser les utilisateurs aux problématiques de sécurité courantes (même si le sujet ne semble pas faire l’unanimité dans le milieu). Mais comment le faire ?

Face à la recrudescence d’attaques plus ou moins ciblées basées sur l’envoi d’e-mails incitant les employés d’une société précise à cliquer sur un lien malveillant ou demandant leurs identifiants, des tests d’ingénierie sociale peuvent permettre d’identifier les populations d’utilisateurs nécessitant une sensibilisation avec un cas réel.

Méthodologie

Intrinsec a mené des campagnes d’ingénierie sociale (téléphone, e-mail…) soit sous forme d’opérations ponctuelles soit au travers de missions de test d’intrusion, en tant que vecteur d’attaque parmi d’autres. Ces expériences concrètes montrent que l’approche basée sur l’envoi d’un e-mail incitant l’utilisateur à entrer des informations personnelles est la plus pertinente et permet une sensibilisation immédiate.
Un scénario peut par exemple comprendre les étapes suivantes :
  • Un e-mail est envoyé aux utilisateurs leur indiquant une panne du SI et la nécessité de remplir un formulaire afin d’assurer la reprise du service
  • L’utilisateur clique sur le lien et se retrouve face à une mire d’authentification aux couleurs de sa société
  • Si l’utilisateur remplit le formulaire et le soumet, une page de sensibilisation non culpabilisante lui indique les différents points qui auraient pu éveiller ses soupçons
La démarche devant être constructive, plusieurs “erreurs” sont mises en place pour que l’utilisateur soit alerté par l’aspect frauduleux de cette demande:
  • L’adresse e-mail émettrice utilise un nom de domaine inexistant et dérivé du nom de domaine officiel
  • L’e-mail doit rester très générique (pas de logo, pas d’usurpation de signature…)
  • Le formulaire est hébergé sur un domaine extérieur à la société
  • Le formulaire n’envoie pas les données sur un canal sécurisé HTTPS
Enfin, pour des raisons de confidentialité et parce que les tests ne doivent pas engendrer de nouveaux risques, les identifiants ne sont pas transmis lorsque l’utilisateur valide le formulaire. Seule une validation JavaScript et une redirection sont effectuées.

 

Pré-requis

Pour que ces tests soient pertinents, plusieurs points doivent être prévus:
  • Cadrer le scénario et ses limites avec les responsables des ressources humaines
  • Prendre le temps d’expliquer la démarche aux organisations syndicales peut s’avérer nécessaire suivant le contexte de l’entreprise
  • Une liste d’utilisateurs représentatifs et bien répartis doit être identifiée (il est nécessaire de bien respecter ce périmètre défini)
  • Une classification de ces populations par métier, localisation, âge… permet d’obtenir des statistiques plus précises
  • Le support utilisateur doit être prévenu, car il est intéressant d’obtenir une visibilité sur le nombre d’utilisateurs l’ayant contacté
  • Dans la mesure du possible il est recommandé de répartir géographiquement le panel représentatif d’utilisateurs afin de limiter la communication d’un utilisateur à l’autre, ce qui pourrait fausser les tests.

 

Résultats

Les résultats suivants sont issus d’un test effectué sur un panel de 320 utilisateurs pour un effectif de 1800. Ils sont représentatifs de ce qu’Intrinsec constate régulièrement lors de ce type de prestation.

Les tests montrent:
  • que 26% des collaborateurs ont donné leur mot de passe
  • que 89% d’entre eux l’ont fait en moins d’une minute
  • que 90% des résultats sont obtenus durant les 48 premières heures
  • que 46% des utilisateurs ont cliqué sur le lien reçu par e-mail

Exemples d’informations obtenues:

Evolution du nombre de clics et de soumissions de formulaire durant les 35 premières heures de test.

Réactions de la population testée

Réactions de la population testée

Conclusion

S’il est difficile de se prémunir contre ce genre d’attaques ciblées, une détection plus rapide (via un signalement au support par exemple) permet une réaction plus efficace (changement des mots de passe des utilisateurs, monitoring des connexions des comptes compromis, communications après incident…).

Ce type de test permet d’identifier les actions de sensibilisation à effectuer en priorité ainsi que les populations à cibler. Il peut également être utilisé pour vérifier l’efficacité d’une campagne. Enfin, effectué régulièrement comme un test d’évacuation en cas d’incendie, il permet d’entraîner les utilisateurs à réagir correctement.