La sécurité informatique, de moins en moins High-Tech
On s’imagine souvent que la sécurité informatique est un domaine très complexe. Or, depuis quelques années, les failles les plus exploitées et les plus lucratives sont de moins en moins techniques.
Le journaliste Armen Keteyian de la CBS nous le démontre facilement dans cet article que tout gestionnaire en TI devrait lire.
J’ai vu plusieurs entreprises se procurer des pare-feu à coup de dizaines de milliers de dollars, des systèmes de prévention d’intrusion encore plus coûteux…ces mêmes entreprises ne contrôlaient pas qui pouvait branché une clé USB dans leur ordinateur ni l’accès à certaine salle où se trouvait des serveurs.
Si quelqu’un se présente en uniforme de mécanicien et demande l’accès à votre salle de serveur afin de changer le filtre de l’air conditionné. Pensez-vous qu’il y aura accès sans avoir à s’identifier? Pensez-vous qu’il sera surveillé afin de s’assurer qu’il ne branche pas une clé USB dans un des serveurs?
Ce type d’attaque est appelé ingénierie sociale, et ne requière aucune connaissance informatique. Mais peut être extrêmement dommageable stratégiquement et financièrement. Pourtant elles sont relativement faciles à prévenir.
Bref, dans certains cas, la prévention de perte de donnée peut être très terre-à-terre et peu coûteuse. Imaginez vos états financiers, demande de brevet ou dossier d’employé qui peuvent se retrouver dans les mains de vos compétiteurs ou encore dans les mains du crime organisé.