vendredi 29 janvier 2010

Vol d'informations, personnalité et technicité !

Le vol d'informations, une crainte récurrente en entreprise, est largement facilitée par plusieurs facteurs. Si les failles ou vulnérabilités de nature technique sont connues, souvent documentées, publiées, l'autre aspect, dit "humain", bénéficie d'une visibilité plus mitigée.

En effet, bien que les experts en sécurité et ceux qui les publient, parlent souvent de l'importance du facteur humain, il n'existe que peu d'études s'attaquant avec efficacité au sujet.

Une étude récente publiée par Experian, a ainsi étudié le profil sociale, le niveau technique etc. etc. des victimes de vol d'informations, notamment via le social engineering.

Parmi les résultats principaux, il en est ressorti que le profil social, c'est à dire le niveau de revenus ou encore de responsabilités, attirait plus les pirates que la faiblesse technique. En revanche, le niveau technique justement ne se présentait jamais comme un obstacle. L'étude livre également des critères de discrimination plus contestables, ou moins logiques, comme les loisirs pratiqués ou autre : les tennisman seraient ainsi très dangereux pour les entreprises :-)..

Cette étude prouve, une fois de plus, la détermination de la pratique humaine dans le succès des vols d'informations. Réalisée après les attaques, elle montre des schémas ou des constantes dans les attaques réalisées mais ne permet pas de déterminer que tels ou tels critères a effectivement présidé aux choix des attaquants.

Cette étude, cependant, met en avant le fait que l'opportunité technique n'est, à priori, pas forcément un critère discriminant dans le biais utilisé par l'attaquant. Ce n'est pas, pour autant, une raison pour délaisser cet aspect : on peut, au contraire, analyser cela de la façon suivante : la sécurité technique ayant progressé, les attaquants ont une méthode de ciblage plus efficace et négligent la sécurité au profit d'une forte discrimination de la cible. L'effort nécessaire à la réalisation technique de l'attaque importe peu car il sera de toute façon fourni.

En revanche, le ciblage précis permet de faciliter la mise en œuvre technique de l'attaque par l'utilisation extensive des vulnérabilités humaines...

Des résultats à mettre en perspective..comme d'habitude avec les statistiques

Source : http://www.darkreading.com/securityservices/security/privacy/showArticle.jhtml?articleID=222600185

http://www.securityvibes.com/etude-experian-vol-identite-jsaiz-news-3003531.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+securityvibes-france-news+%28SecurityVibes+France+-+News%29&utm_content=Google+Reader

Aucun commentaire:

Enregistrer un commentaire