" Le comportement humain est la principale faille des systèmes de sécurité. Il est beaucoup plus facile de tromper quelqu'un et de l'amener à donner son mot de passe et ses codes d'accès à un système que de consacrer son énergie à pirater le système lui-même. "
Kevin Mitnick, célèbre hacker américain, est bien placé pour le savoir. À plusieurs reprises à la fin des années 1990, il a accédé illégalement aux bases de données des clients de Pacific Bell. Il a aussi pénétré dans les systèmes de Fujitsu, de Motorola, de Nokia et de Sun Microsystems, et tenu en haleine le FBI et plusieurs spécialistes de la sécurité en exploitant la naïveté, la gentillesse, l'indifférence ou l'imprudence des gens.
Les pirates informatiques, fraudeurs, espions et autres criminels comme M. Mitnick ne cherchent plus seulement des failles, des vulnérabilités dans les protocoles informatiques, les systèmes d'exploitation ou les équipements et applications des entreprises et organismes publics. Ils cherchent les failles du côté de leur personnel...
Peu coûteux et efficace
L'art d'exploiter les comportements humains afin d'obtenir des informations et des données confidentielles ou des codes d'accès, qu'on appelle fraude psychologique (social engineering, en anglais), est en très forte progression.
" Ce sont des techniques simples, peu coûteuses à mettre en place et très efficaces ", remarque Gabriel Hébert, conseiller en sécurité de l'information à l'Institut de sécurité de l'information du Québec. Bien qu'il n'existe aucune statistique précise en la matière, la plupart des experts en sécurité informatique estiment qu'une bonne partie des bris en matière de sécurité ont pour origine des personnes au sein de l'organisation.
Malgré cela, peu d'entreprises sont conscientes du danger. " Je ne cesser de dire à mes clients qu'il ne sert à rien de se protéger d'un côté en investissant des millions de dollars en logiciels et en équipements de sécurité si, de l'autre, tout est ouvert ", remarque Lise Lapointe, présidente de Terra Nova, entreprise montréalaise de formation et de sensibilisation en matière de sécurité de l'information.
Comme rien ne vaut des cas concrets pour marquer les esprits et accroître la sensibilisation des personnes, voici donc trois cas, qui exploitent la psychologie des travailleurs, susceptibles de se produire dans votre entreprise...
