La direction - un risque pour la sécurité informatique ?
L'utilisation de techniques spéciales d'ingénierie sociale permet de vérifier dans quelle mesure les cadres représentent un risque pour la sécurité.
Les systèmes techniques de sécurité informatique ne sont jamais aussi forts que leur maillon le plus faible - il ne s'agit pas seulement de nouvelles technologies et de solutions logicielles, mais aussi du "facteur de risque humain". La minimisation de ce point faible potentiel par la formation à la sensibilisation à la sécurité et la mise en place de solutions techniques de soutien doit toujours être un élément important d'une stratégie de sécurité préventive.
Vérifier l'ensemble du C-Level
NTT Security détermine dans son nouveau rapport " Le point faible humain " ce qu'il en est concrètement pour la sécurité informatique d'une entreprise.Hack de gestion". Les dirigeants d'une entreprise, c'est-à-dire l'ensemble du niveau C comme le CEO, le CFO ou le CIO, sont au centre de l'attention. Le niveau de la direction est une cible attrayante pour tout pirate informatique, car ce groupe de personnes bénéficie généralement d'un accès illimité aux données confidentielles de l'entreprise, écrit le fournisseur de sécurité. Il n'est pas rare non plus que les managers bénéficient de privilèges particuliers : les politiques et normes de sécurité sont ainsi suspendues ou assouplies afin de simplifier par exemple la connexion - avec des conséquences fatales.
Après une concertation appropriée avec le client, des attaques d'ingénierie sociale simulées et personnalisées sont menées, dont les personnes visées ne sont idéalement pas au courant. Selon NTT, le niveau de responsabilité du management en matière de sensibilisation à la sécurité et de sécurité informatique est analysé. Les points faibles concrets sont ensuite mis en évidence et des mesures sont recommandées.
Premières expériences avec "Management Hack
L'entreprise spécialisée dans la sécurité informatique a mené plusieurs projets de "management hack" en Scandinavie. "Les résultats nous ont même surpris. Dans de nombreux cas, nous avons pu accéder en dix minutes seulement à des données critiques pour l'entreprise, comme des plans d'affaires, des plans de fusion et d'acquisition, des systèmes de gestion des marchandises, des contrôleurs de domaine, des noms d'utilisateur ou des mots de passe. Les données d'accès administratives ont également souvent été trouvées", explique Kai Grunwitz de NTT Security. "Les dangers qui en découlent pour une entreprise sont évidents. Ainsi, un attaquant disposant de droits d'administrateur peut se déplacer librement dans le réseau et souvent accéder à des informations critiques pendant une longue période sans être remarqué".
Le nouveau service a pour objectif d'accroître la sensibilisation à la sécurité au niveau du conseil d'administration et de la direction, mais aussi d'établir une nouvelle stratégie et une nouvelle culture de la sécurité dans toute l'entreprise. "Nos premiers projets ont montré qu'il est tout à fait nécessaire d'agir du côté de l'entreprise", explique Grunwitz. "Le degré de maturité en matière de cybersécurité est, pour le dire prudemment, encore plutôt faible au niveau de la direction".
