Archives par mot-clé : professionnels

Éviter d’utiliser les appareils professionnels pour des usages personnels

Aujourd’hui, on peut dire sans se tromper que nous sommes à l’ère du travail à distance.

La collaboration à distance qui était réservée à une catégorie professionnelle s’est généralisée. Pourtant, de la pandémie à coronavirus et de confinement des populations pour casser la chaîne de contamination, les habitudes des utilisateurs en matière de numérique étaient purement personnelle ou en grande partie. Aujourd’hui ces mêmes utilisateurs doivent trouver le juste milieu entre utilisation de l’outil informatique et son utilisation professionnelle. Aujourd’hui envoyer un SMS n’est plus aussi simple à faire carrément surtout quand le contexte a fait varier du jour au lendemain. On serait alors tenté d’envoyer un SMS professionnel par téléphone personnel ou même le contraire. Consulter et gérer des documents professionnels à travers par exemple un ordinateur personnel ou encore consulter ses comptes de réseaux sociaux ses photos grâce à son ordinateur professionnel. Autant de pratiques aujourd’hui qui s’enchevêtrent.

Cet article va aussi vous intéresser : Sécurité informatique et télétravail : quand les employés deviennent des responsables

Si individuellement aucune action précitée les renferme caractère dangereux, on peut dire que dans un contexte cela peut avoir des conséquences plus que dramatique. L’exemple de l’ancien directeur de la CIA, John Mark Deutch, est un cas d’école. En 1996, avant de quitter son poste, John Mark Deutch demande l’autorisation de garder les ordinateurs fournis par le gouvernement américain car selon lui ces appareils contenaient des informations financières qui lui appartenaient car il n’avait pas lui-même d’ordinateur personnel qui lui permettrait de transférer ses informations. À cette époque ne pas avoir d’ordinateur personnel n’était pas scandaleux c’était assez courant. À la demande le gouvernement accepte à condition que ce dernier devienne un consultant du gouvernement sans être rémunéré pour cela. Il ne devrait pas non plus utiliser ces mêmes ordinateurs pour des usages personnels et devait faire en sorte d’acheter un ordinateur personnel pour transférer ses informations financières.

Les années qui suivirent, il a été découvert que les ordinateurs contenaient belle et bien les informations de nature confidentielle. En plus d’être connecté à Internet, les ordinateurs servaient aussi pour des usages courants, pour l’ancien patron de la CIA et pour toute sa famille. Cette situation à pendant très longtemps exposé des secrets d’État qui auraient pu être consultés ou dérobés par n’importe qui à n’importe quel moment. John Mark Deutch s’est retrouvé avec une amende de 5 000 dollars sur la tête pour détention frauduleux de documents confidentiels. La somme qui aurait pu être pire et les conséquences plus dramatiques.

« Mélanger les appareils pro et perso : non ! Je sais qu’il est difficile de ne pas prendre son ordinateur portable pro ou sa tablette pro pour aider ses enfants à faire leurs devoirs ou remplir une demande de prêt immobilier. Nous sommes si nombreux à travailler depuis le canapé de notre salon ou la table de notre cuisine depuis un an que la frontière entre notre vie professionnelle et notre vie privée n’a jamais été aussi floue. Surtout que de nombreux fabricants de matériel informatique ont joué sur ce fait en commercialisant leurs produits comme étant capables de gérer en toute sécurité à la fois le travail et les loisirs. Mais même avec ces solutions, il n’y a qu’un seul moyen de se protéger complètement pour ne pas subir le même sort que John Deutch : garder nos technologies professionnelles et personnelles séparées. », note Bill Detwiler, consultant IT.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Les professionnels de la cybersécurité : les héros de demain ?

Sans comprendre exactement pourquoi, l’on a eu tendance à associer les notions d’intelligence artificielle et d’éthique dans le domaine des IT.

Si cela présente un aspect positif, il n’en demeure pas moins qu’il ne peut pas permettre d’appréhender les contours de ces différentes notions. Alors il serait intéressant de s’interroger sur la portée de la notion d’éthique dans le domaine des l’IT.

« Deux domaines devraient intégrer la notion d’éthique. Le premier concerne le développement de produits où les acteurs malicieux et la peur sont les principaux obstacles à des modèles éthiques. Le second est, quant à lui, lié à la culture de l’industrie informatique, où la complaisance et l’avidité peuvent souvent empêcher de « faire ce qui est juste ». Explique Florent Embarek, Directeur régional des ventes – Europe du Sud et de l’Est chez BlackBerry.

Cet article va aussi vous intéresser : Les professionnels de la sécurité informatique majoritairement touchés par le surmenage

« Lorsque le sujet de l’éthique dans l’IT est abordé, l’intelligence artificielle est au cœur des discussions car cette technologie est mal comprise et souvent considérée comme effrayante. Or, l’éthique ne devrait pas s’appliquer uniquement à l’IA mais bien à l’ensemble de la chaîne de développement de produits IT. Dès la phase de R&D, se contenter de définir les fonctionnalités auxquelles une technologie est supposée répondre est insuffisant et il est indispensable de s’interroger sur le potentiel positif qu’il représente ou non, au-delà de l’objectif fixé. » ajoute ce dernier.

On peut prendre comme cas palpable, la situation de Intel, qui a développé des puces qui sont censées représenter l’efficacité même de l’innovation informatique.  Le problème, c’est que le géant américain n’a pas anticipé des failles de sécurité très importantes en l’occurrence Spectre et Meltdown. Des failles de sécurité qui bien sûr ont a été découverte en quelques années plus tard, dans les processeurs, au détriment des utilisateurs et de la société productrice. Cette situation met un exergue un fait totalement réaliste et inexorable : c’est que tout ne peux pas être prévu ou pris en compte lors de la conception d’un produit informatique.

« Si des technologies telles que les robots, les drones ou les super-ordinateurs ont été créées à l’origine avec les meilleures intentions – comme renforcer l’efficacité ou encourager le deep learning – leur puissance et leur potentiel peuvent induire des comportements et des résultats imprévus voire, non voulus. Il est facile de s’éprendre d’une technologie si attrayante et si brillante, que les avantages commerciaux et sociétaux l’emportent sur les risques associés. D’ailleurs, une citation du film Jurassic Park illustre d’ailleurs parfaitement cette notion : « La véritable préoccupation des scientifiques est la réussite. Tout ce qui les intéresse, c’est de savoir s’ils peuvent faire quelque chose et ils ne prennent jamais le temps de se demander s’ils devraient le faire. » » souligne Florent Embarek.

Dans de telles perspectives, il faudrait garder à l’esprit quelque chose de plus important que la productivité ou la rentabilité d’un produit informatique. Cette chose est l’évaluation des mauvaises ou bonnes utilisations dont peut être obligé une technologie quelconque. Ce qui conduit à envisager, dès la conception, des mesures de protection, qui vont permettre d’assurer dans une certaine mesure les standards éthiques.

« Cela nous amène alors à la question de la culture de l’industrie IT. L’objectif fondamental de la technologie est d’optimiser la productivité, la sécurité et l’expérience utilisateur. Or, il est souvent admis que les commerciaux sont bien trop obnubilés par leurs objectifs, entrant alors en contradiction avec ces principes. Cette perception peut empêcher les organisations d’établir des partenariats constructifs et par conséquent entraver l’amélioration de l’efficacité, de la cyber-résilience et de l’expérience. C’est précisément là où l’éthique entre en jeu. Les équipes commerciales qui souhaitent changer la donne et aider leur entreprise devraient mettre de côté les techniques d’intimidation. Il est facile de s’approprier des discours alarmistes et d’espérer qu’en répandant la peur, l’incertitude et le doute, cela débouchera sur une vente. En réalité, les discussions constructives, collaboratives et emplies d’espoir sur l’innovation seront celles qui feront vraiment la différence et qui permettront aux vendeurs d’établir des relations de confiance et des partenariats durables. » conclut Florent Embarek de chez BlackBerry. En d’autres termes, la notion d’éthique dans le domaine de l’IT difficilement dissociable de celle de la sécurité informatique.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Les dangers du télétravail face à l’ingénierie sociale

Aujourd’hui le maître mot sur le plan professionnel est le télétravail ou la collaboration à distance.

Une grande partie des sociétés à travers le monde entier ont adopté ce modèle pour être en mesure de répondre à un besoin qui se faisait sentir lors de confinement.

Cependant, la popularité du télétravail a aussi accru les risques liés aux incidents informatiques. La forme qui le prend, travailler à distance est aujourd’hui devenu quelque chose de bien risqué, quand bien même que cela est tendance. Car dans une certaine mesure le danger est partout. Une petite erreur de jugement, une mauvaise manipulation, un choix non judicieux, c’est tout un système qui est mis en branle. Comme le signifie Anu Bourgeois, professeur d’information à la Georgia State University : « Tout le monde est devenu vulnérable à ce moment-là ».

En effet, les protocoles de sécurité lorsqu’il y a des protocoles, ne sont pas respectés à la lettre. C’est le problème de formation et de maîtrise des domaines et risque cyber est toujours d’actualité. Avec le piratage de Twitter, l’ingénierie sociale est devenue d’actualité comme un risque à ne pas négliger. De ce côté-là fraude au président, reste la pratique la plus courante. Pour réussir leur coup, les cybercriminels vont prendre du temps pour analyser chaque élément essentiel pour usurper l’identité de la personne qui le permettra de tromper le maximum d’employés. « Les individus récupèrent des données en vente sur le dark web ou sur les réseaux sociaux. Une fois qu’ils détiennent les informations, le jour où le président est en vacances, ou absent, ou injoignable, ils appellent un membre de l’entreprise, un ou une assistant(e), comptable ou autre en se faisant passer pour le président, en faisant croire que c’est lui au bout du fil et en ordonnant de faire un virement vers des pays ou des comptes d’où l’argent ne revient évidemment jamais », explique dans le fond, Fred Raynal, qui ne cesse de mettre en évidence que cette pratique est certes négligées mais très répandue depuis ces 6 dernières années. « Le social engineering : peu coûteux, ne nécessite pas de gros moyens matériels, s’appuie sur la psychologie et les ressorts cognitifs ».

Dans ce genre de pratique, il est beaucoup plus mis en avant l’aspect psychologique plutôt que l’aspect technique. Les individus les individus concernés c’est-à-dire les cybercriminels, vont usurper l’identité d’une personne importante. Et cela à plusieurs reprises pour créer des relations de confiance. Ceci est une manipulation. « La perception du risque agit sur le comportement et joue un rôle prépondérant sur le processus de décision de l’individu. Considérant que le risque est faible, un individu ne procédera pas au traitement de l’information de manière aussi rigoureuse que s’il considérait le risque élevé », souligne David Castonguay, de l’Université de Montréal. « Nous ne sommes pas du tout sûr de la technique au sens informatique, mais bien sur un domaine des neurosciences. Le marketing, les grandes surfaces utilisent les neurosciences également. Les applications ne manquent pas », note de son côté le président de Quarkslab.

Dans ce contexte le sociologue Pierre Bourdieu observe : « les gouvernants ont aujourd’hui besoin d’une science capable de rationaliser, au double sens, la domination, capable à la fois de renforcer les mécanismes qui l’assurent et de la légitimer. Il va de soi que cette science trouve ses limites dans ses fonctions pratiques, aussi bien chez les ingénieurs sociaux que chez les dirigeants de l’économie. Elle ne peut jamais proférer de mise en question radicale. ».

En outre, l’ingénierie sociale qui à l’origine est une pratique plus sophistiquée, il n’en demeure pas moins qu’elle est efficace. Le cas du piratage de twitter est là pour nous le rappeler. Et derrière cela on s’aperçoit que d’autres problèmes se manifestent. « Cela révèle d’ailleurs un autre problème, et d’une manière générale, c’est celui de qui a accès à nos données ? Nous n’avons aucun moyen de le savoir. Il y a un autre problème : technologiquement aujourd’hui, on sait stocker des données chiffrées. On peut le faire sans souci dans le Cloud. Mais tant qu’elles sont chiffrées, on ne peut pas les déchiffrer. Donc à un moment, il faut que ces données soient déchiffrées, et la question, c’est qui les déchiffre, et où les déchiffre-t-on ? Est-ce sur les serveurs de Twitter, Salesforce ou Doctolib par exemple ? »

En tout cas de cause, le profil des coupables n’a pas encore été déterminé. On hésite entre affirmer que c’est un groupe de cybercriminels, d’un État ou une personne esseulée. Pour Fred Raynal, cet incident « est l’œuvre d’individus malins, qui ne répondaient pas qu’à des considérations techniques. Ils ont dû se demander quel était le meilleur moyen de faire une arnaque au Bitcoin, et se dire ensuite que c’était en s’emparant de gros comptes. Ils ont tout simplement été pragmatiques ». De son côté, le fondateur de Quarkslab reste sceptique. Pour lui, toutes les éventualités doivent être envisagées. « Ça peut être simplement un groupe d’arnaque au Bitcoin désireux de revendre les données d’un Elon Musk à des tiers, ou des gouvernements qui veulent accéder à des données de personnalités parce qu’ils les jugent d’intérêt et veulent les suivre d’un peu plus près car, plus on a d’informations sur une personne, plus c’est facile de l’attaquer », s’interroge-t-il. « Si c’est un gouvernement qui a fait ça, le fait de mettre des Bitcoin peut avoir servi de leurre pour masquer d’où cela vient. On peut imaginer aussi une société ou un ensemble de sociétés privées qui veulent accéder à des choses et veulent cacher le but de leur opération ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Les professionnels de la sécurité informatique majoritairement touchés par le surmenage

Récemment une étude a démontré une situation assez délicate concernant les professionnels de la cybersécurité.

Concernant leur état de santé cette fois ci.

C’est à l’Institut de recherche britannique Chartered Institute of Information Security (CIISec), qu’on doit cette trouvaille. Selon l’Organisation après quelques années d’observations et de recherches, a déclaré que l’un des problèmes majeurs qui affecte le secteur de la cybersécurité n’est pas technique ou technologique, mais humains et sanitaires. En effet, l’institut déclare qu’il est fréquent d’observer chez les professionnels de la cybersécurité un état d’épuisement professionnel et de surmenage.

Cet article va aussi vous intéresser : Les pirates informatiques promettent de ne pas s’en prendre aux institutions de santé et hôpitaux

La récente étude de l’Institut britannique de recherche a vu la participation de 450 professionnels les facteurs de la sécurité. Il a été observé que 54 % des participants, ont déclaré avoir quitté leur emploi, soit à cause d’un épuisement professionnel, ou du surmenage. Où ces derniers ont travaillé avec des personnes qui ont vécu cela.

L’une des causes de ce problème de santé générale, serait apparemment le problème de ressources. Car interrogés, 82 % des professionnels ont déclaré que les budgets qui étaient affectés à leur service n’était pas en mesure de répondre aux besoins réels. De la sorte le rythme auquel les menaces informatiques augmentent devient alors difficile à gérer. Réduisant alors, pour ces professionnels, leur période de vacances et de repos, qu’ils doivent utiliser pour continuer à travailler. Et cela est très courant dans les équipes de sécurité ou le personnel est assez limité. Toutes ces situations ont été de nature à augmenter le stress, et par ricochet, les failles de sécurité. 64 % des professionnels interrogés explique ce problème par le fait que leurs entreprises espèrent toujours résoudre les problèmes de sécurité en utilisant le minimum de ressources possible. 51 % ont reconnu qu’ils ont tendance à négliger certaines tâches jugée non critiques ou même routinières.

« Malheureusement, les équipes de sécurité ne subiront probablement plus de pression qu’en 2020, car l’épidémie de COVID-19 et ses conséquences ont des effets profonds sur les budgets des entreprises et leur capacité à fonctionner », a signifié Amanda Finch, la PDG de CIISec. « À moins que l’industrie puisse apprendre à faire plus avec moins tout en s’attaquant aux problèmes de diversité et d’épuisement professionnel, les risques augmenteront et les organisations en souffriront. Pour éviter cela, nous avons besoin des bonnes personnes avec les bonnes compétences, en leur donnant l’aide dont elles ont besoin pour atteindre leur plein potentiel. Cela ne s’applique pas seulement aux compétences techniques, mais aux compétences humaines qui seront essentielles pour donner aux organisations une culture axée sur la sécurité qui peut faire face à la pression croissante à venir. », ajoute-elle.

En dehors de cela, les raisons principales évoquées comme étant les causes du départ des professionnels de cybersécurité des entreprises sont notamment le manque de progression ou même d’opportunité, la mauvaise gestion salariale et même des ressources humaines.

L’Institut Britannique de Recherche ne s’est pas simplement limité à cela. En effet, il a aussi examiné la différence qu’il y a entre les hommes et les femmes dans le secteur de la sécurité informatique.

Les principales raisons invoquées pour le départ des agents de sécurité sont le manque d’opportunités ou de progression, une gestion désagréable ou mauvaise et une mauvaise rémunération. Au sortir de cette étude il a été observé que si les deux sexes sont bel et bien représentés en tenant compte de l’âge et de la formation reçue, les femmes restent néanmoins sous payées dans la moyenne, par rapport aux hommes, ils sont moins bien positionnés que ceci. « La correction d’un manque de diversité dans l’industrie n’est pas seulement une question d’équité », ajoute la PDG. « Cela ouvre également les compétences et les talents de toute une gamme de personnes qui pourraient rajeunir collectivement l’industrie et aider à réduire l’énorme pression que subissent de nombreuses équipes de sécurité. Nous devons faire tout ce que nous pouvons pour attirer du sang neuf vers une carrière dans la sécurité, et de s’assurer que ceux qui sont déjà en place veulent y rester. Comprendre pourquoi les gens se joignent – et pourquoi ils partent – est le début de la construction d’une main-d’œuvre résiliente qui peut relever les défis à venir. ».

Notons, par ailleurs que le rapport complet de l’étude dominé par la Chartered Institute of Information Security (CIISec) est disponible sur son site officiel.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage