Alors que l’ingénieur social opère comme un hybride entre la faiblesse humaine et technologique, il existe aussi des menaces purement techniques. Ces menaces impliquent de nombreuses formes de systèmes technologiques : ordinateurs, smartphones, imprimantes, systèmes de sécurité, équipements de réseau, entrepôts de stockage de données, bases de données, sites Web, systèmes de chauffage et de refroidissement, etc.
Les menaces : qu’est-ce que c’est ?
Les prémisses du piratage de ces systèmes repose sur les menaces, qui peuvent être décrites comme des défauts de logiciels ou matériels permettant à un pirate habile d’exécuter des commandes système qui n’étaient pas prévues par les concepteurs originaux. Il existe de nombreux chercheurs en sécurité informatique dont le seul travail (en tant que consultants ou initiés) consiste à trouver des menaces dans les logiciels et le matériel. Bien que leurs méthodes dépassent le cadre de cet article, ils disposent de diverses méthodologies très techniques qu’ils utilisent pour dénicher les menaces.
Bien que de nombreux chasseurs opèrent dans le monde de l’entreprise, beaucoup sont également des chasseurs de primes de menaces, ce qui signifie que leur objectif n’est pas seulement de trouver des menaces, mais de vendre ces menaces pour faire du profit.
Le manque d’investissement facilite la menace
Sachez que vos départements des technologies de l’information et de la sécurité de l’information ont probablement des budgets très serrés. Ils sont chargés de protéger les « clés du royaume », mais bien souvent, cette directive n’est pas soutenue financièrement au niveau des finances de l’entreprise. Il s’agit là d’un problème majeur. Sans mesures de protection de la sécurité de l’information appropriées et sans personnel formé pour les faire fonctionner, la question n’est pas de savoir si vous subirez une violation, mais de savoir quand.
Les menaces prennent du temps à trouver, à résoudre, à distribuer et à appliquer. Vous pouvez penser que la correction des exploits est monnaie courante. La triste réalité est qu’il existe encore des ordinateurs connectés à Internet qui pourraient présenter des centaines de vulnérabilités n’attendant que d’être exploitées par un pirate opportuniste.
En tant que conseiller en matière de risques d’entreprise, suggérez que les programmes de sécurité de l’information soient soigneusement élaborés et soutenus par des budgets, du personnel et des formations appropriés afin que votre entreprise se positionne comme une cible difficile. Souvent, les pirates recherchent la cible facile et délaissent les cibles plus difficiles.
Tentez d’atteindre la situation où vous êtes en avance sur l’adoption de mesures de sécurité de l’information par votre secteur. Si votre entreprise n’en a pas, engagez un responsable de la sécurité de l’information (CISO) pour superviser les solutions technologiques qui font progresser les objectifs de sécurité de l’information de votre organisation. Suggérer des audits de sécurité de l’information par l’intermédiaire d’un conseiller externe. L’avantage d’engager un avocat externe pour superviser les audits est que le rapport du consultant en sécurité de l’information peut être remis à l’avocat externe et intégré dans un document juridique plus complet qui analyse les menaces potentielles en termes juridiques et technologiques.
