{"id":993,"date":"2015-10-20T09:34:27","date_gmt":"2015-10-20T08:34:27","guid":{"rendered":"http:\/\/www.ab-consulting.fr\/blog\/?p=993"},"modified":"2015-10-20T20:37:51","modified_gmt":"2015-10-20T19:37:51","slug":"voyageurs-une-cible-de-choix-pour-les-hackers","status":"publish","type":"post","link":"https:\/\/www.ab-consulting.fr\/blog\/securite\/voyageurs-une-cible-de-choix-pour-les-hackers","title":{"rendered":"Voyageurs, une cible de choix pour les hackers"},"content":{"rendered":"

Beaucoup de cadres d’entreprises, en particulier des dirigeants, sont des voyageurs\u00a0r\u00e9guliers \u00e0 travers le monde dans le cadre de leur emploi. Les pirates et les cybercriminels le savent parfaitement,\u00a0ce\u00a0qui constitue\u00a0un facteur de risque que les entreprises ne devraient pas ignorer, d’autant que ces voyageurs disposent souvent d’acc\u00e8s privil\u00e9gi\u00e9s aux informations sensibles de leur Organisation.<\/em><\/p>\n

\"Voyageurs<\/a><\/p>\n

Les adversaires sous la forme d’entreprises concurrentes, de\u00a0gouvernements ou\u00a0simplement de\u00a0criminels ciblent tout sp\u00e9cialement les cadres sup\u00e9rieurs en d\u00e9placement d’affaires pour deux raisons essentielles\u00a0: la personne et ce qu’elle repr\u00e9sente, et\u00a0l’information \u00e0 laquelle elle\u00a0a acc\u00e8s au sein de son Entreprise.<\/p>\n

Alors m\u00eame que les risques physiques \u00e9voluent peu, les risques li\u00e9s \u00e0 l’information ont progress\u00e9 de fa\u00e7on importante durant ces derni\u00e8res ann\u00e9es. Il y a quelques ann\u00e9es,\u00a0le risque relatif \u00e0\u00a0\u00a0l’information se limitait aux documents papier que le cadre transportait avec lui. Maintenant, non seulement le voyageur d’affaire\u00a0transporte une beaucoup plus grande\u00a0quantit\u00e9\u00a0de donn\u00e9es sensibles sur une collection d’appareils num\u00e9riques (smartphone, tablette, ordinateur portable), mais de plus, ces donn\u00e9es peuvent \u00eatre copi\u00e9es rapidement, silencieusement et sans en d\u00e9ssaisir la victime\u00a0qui, souvent, ne s’en rendra m\u00eame pas compte.<\/p>\n

Pire encore, les terminaux\u00a0num\u00e9riques offrent un acc\u00e8s imm\u00e9diat et \u00e9ventuellement \u00e0 plus long terme sur les actifs de l’organisation au travers du r\u00e9seau d’Entreprise. Les pirates\u00a0ont la capacit\u00e9 d’extraire les donn\u00e9es non crypt\u00e9es ou faiblement crypt\u00e9es \u00e0 partir de tout appareil, y compris les communications \u00e0 destination et en provenance de ces dispositifs, qu’ils\u00a0peuvent m\u00eame modifier physiquement \u00a0pour contrecarrer les meilleures mesures de s\u00e9curit\u00e9 et de\u00a0cryptage.<\/p>\n

Quelques r\u00e8gles de s\u00e9curit\u00e9 \u00e0 l’usage des voyageurs<\/h2>\n

Dans le cadre du mois de la cyber-s\u00e9curit\u00e9<\/a>, AB Consulting vous pr\u00e9sente un r\u00e9sum\u00e9 des premi\u00e8res mesures de s\u00e9curit\u00e9, les plus simples, que devraient prendre tous les voyageurs business afin de pr\u00e9server la confidentialit\u00e9 et l’int\u00e9grit\u00e9 des donn\u00e9es de l’Entreprise.<\/p>\n

Faire preuve d’une extr\u00eame prudence avec les appareils mobiles<\/h3>\n

Cela peut sembler une \u00e9vidence,\u00a0mais l’un des plus grands risques de s\u00e9curit\u00e9 impliquant des cadres en d\u00e9placement est la perte ou le vol de leurs appareils mobiles\u00a0ainsi que des donn\u00e9es qu’ils contiennent.<\/p>\n

Quelques facteurs\u00a0font de cette menace un\u00a0d\u00e9fi de taille. Le premier\u00a0est que les gens ne savent plus se passer de leurs\u00a0appareils, et ont tendance \u00e0 vouloir les prendre avec eux o\u00f9 qu’ils aillent. Le second, c’est que, souvent, ils ne transportent pas seulement\u00a0un appareil, mais plusieurs: smartphones, tablettes, ordinateurs portables, objets connect\u00e9s (montre, …), etc.<\/p>\n

Certains experts, comme Michael McCann, ancien chef de la s\u00e9curit\u00e9 des Nations Unies et maintenant pr\u00e9sident du\u00a0fournisseur de services de s\u00e9curit\u00e9 McCann Services, recommandent que les dirigeants laissent syst\u00e9matiquement\u00a0leurs appareils \u00e0 la maison. Ceci\u00a0est particuli\u00e8rement vrai s’ils voyagent dans des pays \u00e0 risques tels que la\u00a0Chine par exemple. \u00ab\u00a0Deuxi\u00e8me Conseil, assurez-vous que votre appareil\u00a0est attach\u00e9 \u00e0 vous; ne le laissez jamais nulle part \u00ab\u00a0, dit-il.<\/p>\n

Tous les appareils mobiles doivent \u00eatre \u00e9quip\u00e9s de technologies telles que la protection par mot de passe, le cryptage, la sauvegarde des donn\u00e9es et l’effacement \u00e0 distance des donn\u00e9es stock\u00e9es, dans le cas o\u00f9 le terminal viendrait \u00e0 dispara\u00eetre.<\/p>\n

\"VerrouillezLa perte d’ordinateurs portables et d’appareils mobiles, tels que les smartphones et les tablettes, continue d’\u00eatre une menace importante, d’autant que\u00a0beaucoup d’organisations n’ont pas encore mis en oeuvre le cryptage des donn\u00e9es sur les terminaux portables. Compte tenu de la simplicit\u00e9 de l’activation du cryptage de l’appareil et des syst\u00e8mes d’exploitation actuels, ceci\u00a0devrait \u00eatre une exigence minimale de protection des donn\u00e9es pour tout cadre en d\u00e9placement professionnel.<\/p>\n

Lorsque vous quittez votre chambre d’h\u00f4tel, une pr\u00e9caution \u00e9l\u00e9mentaire consiste\u00a0\u00e0 enfermer\u00a0votre appareil mobile dans le coffre-fort de la chambre.<\/p>\n

A l’ext\u00e9rieur du bureau, gardez toujours\u00a0un \u0153il sur votre ordinateur portable et prenez toujours soin de le verrouiller quand vous n’\u00eates pas en train de l’utiliser.. A l’a\u00e9roport ne le faites pas passer\u00a0au scanner\u00a0\u00e0 rayons X si vous n’\u00eates pas\u00a0pr\u00eat \u00e0 passer vous-m\u00eame le contr\u00f4le. Ne laissez pas votre ordinateur ou votre tablette sur\u00a0votre table dans un caf\u00e9 ou un restaurant\u00a0si vous vous\u00a0levez\u00a0pour commander\u00a0un caf\u00e9. Cela\u00a0ne prend que quelques secondes\u00a0pour d\u00e9rober\u00a0un appareil et dispara\u00eetre.<\/p>\n

Assurez-vous que les connexions \u00e0 distance sur le r\u00e9seau\u00a0d’Entreprise sont s\u00e9curis\u00e9es<\/h3>\n

Les cadres en d\u00e9placement\u00a0se connectent\u00a0de fa\u00e7on r\u00e9guli\u00e8re avec le si\u00e8ge afin de v\u00e9rifier leurs e-mails ou\u00a0pour acc\u00e9der \u00e0 l’information de l’Entreprise, ce qui\u00a0constitue un maillon faible potentiel. Une bonne id\u00e9e consiste \u00e0 utiliser\u00a0un canal de communication s\u00e9curis\u00e9 ou un r\u00e9seau priv\u00e9 virtuel d’entreprise (VPN) s\u00e9curis\u00e9 pour toutes les connexions r\u00e9seau \u00e0 distance.<\/p>\n

Une autre bonne pratique consiste \u00e0 utiliser l’authentification multi-facteur avec l’utilisation de jetons \u00e0 usage unique pour acc\u00e9der aux applications et services lors de d\u00e9placements professionnels. Par exemple, l’acc\u00e8s aux\u00a0\u00a0applications critiques de l’Entreprise\u00a0pourraient \u00eatre s\u00e9curis\u00e9 gr\u00e2ce \u00e0 une\u00a0 authentification \u00e0 deux facteurs tels que la combinaison nom d’utilisateur \/ mot de passe et un jeton \u00e0 usage unique.<\/p>\n

En utilisant les connexions distantes crypt\u00e9es\u00a0et une authentification renforc\u00e9e\u00a0sur des\u00a0r\u00e9seaux identifi\u00e9s, les dirigeants peuvent acc\u00e9der avec un risque minimum aux donn\u00e9es dont ils ont besoin pendant leur d\u00e9placement.<\/p>\n

Soyez conscient de votre environnement<\/h3>\n

Les cadres en d\u00e9placement doivent en permanence avoir une bonne id\u00e9e du moment o\u00f9 ils sont en danger potentiel du point de vue de la s\u00e9curit\u00e9 de l’information.<\/p>\n

Lors de vos d\u00e9placements professionnels, il est important pour vous d’avoir conscience de la situation : \u00e0\u00a0qui parlez-vous et avec qui partagez-vous de l’information? Qui sait o\u00f9 vous allez? Partager ces\u00a0information avec les mauvaises personnes peut faire de vous une cible facile.<\/p>\n

Des mesures de s\u00e9curit\u00e9 efficaces\u00a0n\u00e9cessitent,\u00a0non seulement une prise de conscience de l’environnement, mais de faire preuve de prudence, de jugement et de bon sens. C’est particuli\u00e8rement vrai quand un dirigeant d’entreprise doit, dans le m\u00eame temps, s’acclimater \u00e0 des cultures, des coutumes et des lois diff\u00e9rentes.<\/p>\n

Dans certains cas, les cadres voyageant \u00e0 l’\u00e9tranger pour le compte de leur\u00a0entreprise doivent \u00eatre conscients qu’ils peuvent\u00a0\u00eatre la cible\u00a0de cyber-criminels, d’agences de renseignement, de\u00a0terroristes ou m\u00eame de\u00a0concurrents de leur Organisation s’ils sont en possession ou simplement bien\u00a0inform\u00e9s sur des informations confidentielles.<\/p>\n

Cela signifie qu’il faut absolument \u00e9viter tout bavardage indiscret qui pourrait mettre\u00a0le cadre ou son\u00a0entreprise en difficult\u00e9 par\u00a0des personnes malveillantes. Gr\u00e2ce \u00e0 des\u00a0technologies de pointe, quelqu’un pourrait \u00eatre \u00e0 l’\u00e9coute des conversations sans que les parties ne s’en aper\u00e7oivent.<\/p>\n

\"Voyageurs,Ne\u00a0laissez pas quelqu’un espionner par dessus\u00a0votre \u00e9paule. Je ne compte pas le nombre de fois o\u00f9\u00a0j’ai pu lire tranquillement\u00a0des informations confidentielles sur des pr\u00e9sentations en pr\u00e9paration, des strat\u00e9gies commerciales en cours d’\u00e9laboration ou des projets\u00a0d’achat ou de vente d’actions, simplement en regardant \u00e0 gauche, \u00e0 droite ou sur la rang\u00e9e de si\u00e8ges devant moi,\u00a0dans\u00a0un avion, un\u00a0train ou assis \u00e0 la terrasse d’un caf\u00e9.<\/p>\n

L’affichage d’informations confidentielles sur votre \u00e9cran dans une\u00a0zone publique sans utiliser un filtre\u00a0de\u00a0protection d’\u00e9cran peut entra\u00eener des fuites de donn\u00e9es. Quelqu’un peut m\u00eame vous observer et d\u00e9terminer votre mot de passe ou lire des informations confidentielles permettant l’acc\u00e8s au r\u00e9seau d’Entreprise.<\/p>\n

Informez toujours le d\u00e9partement s\u00e9curit\u00e9 ou l’IT de vos plans de voyage<\/h3>\n

Faites-leur toujours savoir que vous \u00eates en visite au Nig\u00e9ria, \u00e0 New York ou n’importe\u00a0o\u00f9 vous allez.<\/p>\n

La plupart des Organisations ont mis en place des politiques de s\u00e9curit\u00e9 qui d\u00e9terminent le degr\u00e9 d’acc\u00e8s et l’approche que l’organisation juge\u00a0appropri\u00e9e,\u00a0en relation avec\u00a0son app\u00e9tit du\u00a0risque,\u00a0pour chaque\u00a0personne concern\u00e9e. L’acc\u00e8s au\u00a0donn\u00e9es sensibles sera un facteur d\u00e9terminant dans l’identification des\u00a0mesures que vos responsables\u00a0de la s\u00e9curit\u00e9\u00a0exigeront que vous preniez.<\/p>\n

Si possible fournissez vos\u00a0plans de voyage. Si vous avez un syst\u00e8me de monitoring de la s\u00e9curit\u00e9\u00a0sur votre r\u00e9seau, cela\u00a0peut \u00eatre utile pour les personnes\u00a0de votre centre d’op\u00e9rations de savoir o\u00f9 vous voyagez.\u00a0Une tentative d’acc\u00e8s au r\u00e9seau depuis Sydney, que vous avez quitt\u00e9 il y a juste deux jours, ne d\u00e9clenchera\u00a0la sonnette d’alarme que\u00a0si les personnes\u00a0de l’\u00e9quipe\u00a0s\u00e9curit\u00e9 sont inform\u00e9es\u00a0que vous avez\u00a0quitt\u00e9 la ville il y a deux jours, et que vous \u00eates maintenant \u00e0 Singapour.<\/p>\n

Appuyez-vous sur le renseignement en mati\u00e8re de menaces<\/h3>\n

Les cadres qui pr\u00e9voient de voyager devraient utiliser les bulletins d’information sur les menaces, similaires aux bulletins de mise en garde disponibles sur les menaces\u00a0physiques publi\u00e9s par le minist\u00e8re des affaires \u00e9trang\u00e8res.\u00a0Un tel r\u00e9seau de renseignement\u00a0pourrait \u00eatre cr\u00e9\u00e9 en utilisant des capacit\u00e9s d’analyse avanc\u00e9e pour int\u00e9grer les cyber-menaces et les informations g\u00e9ospatiales\u00a0incluant\u00a0les h\u00f4tels, les centres\u00a0d’affaires, les\u00a0r\u00e9seaux et les\u00a0endroits o\u00f9 des\u00a0entit\u00e9s malveillantes et hostiles sont connues pour op\u00e9rer.<\/p>\n

\"MotLa connaissance de\u00a0la nature et de la localisation\u00a0physique de ces menaces permettra aux cadres de les \u00e9viter,\u00a0r\u00e9duisant ainsi le risque de piratage wifi et\u00a0de points d’acc\u00e8s pour les t\u00e9l\u00e9phones mobiles,\u00a0la surveillance et la capture du trafic, l’acc\u00e8s physique non autoris\u00e9 aux appareils informatiques et l’installation de code malveillant et\u00a0de syst\u00e8mes\u00a0de\u00a0surveillance.<\/p>\n

Les voyageurs d’affaires ne devraient seulement se connecter au Wi-Fi ou \u00e0 des points d’acc\u00e8s \u00e0 large bande que lorsque des authentifications et les d\u00e9tails de ces points d’acc\u00e8s sont\u00a0pr\u00e9-charg\u00e9es sur leurs terminaux mobiles.\u00a0Au retour du voyageur\u00a0\u00e0 son bureau, les appareils doivent \u00eatre analys\u00e9s afin de d\u00e9terminer si, quand et comment ils ont \u00e9t\u00e9 attaqu\u00e9s. Cette information peut ensuite \u00eatre trait\u00e9e par un moteur d’analyse et ajout\u00e9e aux futurs bulletins\u00a0de renseignement sur les menaces.<\/p>\n

N’oubliez pas la formation<\/h3>\n

Un programme de sensibilisation sur les risques de s\u00e9curit\u00e9 destin\u00e9 aux cadres, et particuli\u00e8rement aux dirigeants d’entreprise se d\u00e9pla\u00e7ant pour des raisons professionnelles est absolument indispensable. La sensibilisation \u00e0 la s\u00e9curit\u00e9 doit\u00a0\u00eatre un processus de formation continue et non un \u00e9v\u00e9nement ponctuel.<\/p>\n

Une combinaison de formation en ligne de sensibilisation \u00e0 la s\u00e9curit\u00e9, de formation en pr\u00e9sentiel cibl\u00e9e\u00a0\u00a0et une\u00a0communication \u00e9lectronique fr\u00e9quente permettent d’accro\u00eetre la sensibilisation des personnels et notamment des cadres et dirigeants de l’Organisation.<\/p>\n

AB Consulting, seul Organisme de Formation Accr\u00e9dit\u00e9 en Afrique par ISACA, APMG, EXIN et AXELOS \u00a0sur les r\u00e9f\u00e9rentiels de Gouvernance du SI, de s\u00e9curit\u00e9 et de cyber-r\u00e9silience vous propose des sessions de sensibilisation sp\u00e9cialement con\u00e7ues pour les membres du\u00a0conseil d’administration et du comit\u00e9 de direction, anim\u00e9es par un expert du domaine :<\/p>\n

Sensibilisation \u00e0 RESILIA pour les dirigeants<\/a> (2 formats : 4 heures ou 1 journ\u00e9e)<\/p>\n

COBIT 5 pour le Board et les Ex\u00e9cutifs<\/a> (2 formats : 4 heures ou 1 journ\u00e9e)<\/p>\n

Sensibilisation \u00e0 ISO 27001 \/ ISO 27002 pour les dirigeants<\/a> (1 journ\u00e9e)<\/p>\n

Pour plus d’information ou pour vous abonner \u00e0 notre newsletter, merci de compl\u00e9ter le formulaire de contact :<\/strong><\/em><\/p>\n

\n
\n