La sécurité informatique dans une entreprise n’est pas seulement une affaire de pare-feu et d’équipes de sécurité. Tout collaborateur a un rôle important à jouer pour éviter des fuites de données et d’informations sensibles.

A travers notre métier d’auditeurs en cybersécurité, nous avons pu constater que dans la plupart des entreprises, de nombreuses informations se retrouvent librement accessibles sur internet, en raison d’une négligence involontaire et souvent inconsciente de la part des collaborateurs. Ceci concerne autant la direction que les salariés sur tous les types de fonctions.

Les informations accessibles peuvent être de plusieurs types : des coordonnées, des identifiants de connexion, des informations techniques ou des informations liées aux projets d’une société. Ces informations ne sont pas répertoriées, elles sont laissées de manière involontaire et sans aucun suivi. Malheureusement, les pirates sont friands de ces informations, car ils peuvent les utiliser pour mener des cyberattaques combinant des compétences techniques et de la manipulation via l’ingénierie sociale.

Comment éviter la fuite d’informations utilisables par des pirates ? Voici plusieurs exemples de mauvaises habitudes dont vous pouvez vous débarrasser.

illustration information secrete

1. Utiliser vos coordonnées professionnelles pour des activités personnelles

Le scandale résultant du piratage d’Ashley Madison a confirmé ce que nous savions déjà : de nombreuses personnes utilisent leur adresse email professionnelle afin de s’enregistrer sur des sites web sans aucun lien avec leur métier. Dans le cas des sites de rencontre, il peut notamment s’agir d’une stratégie pour rester discret vis à vis de son conjoint en n’exposant pas sa boite email personnelle…

Hélas, il arrive fréquemment que des sites web se fassent pirater, et que les attaquants récupèrent puis divulguent la liste complète des identifiants et mots de passe des utilisateurs. Certaines personnes utilisent toujours le même mot de passe pour se connecter à différents services, que ce soit sur des sites personnels ou professionnels, afin de ne pas avoir à retenir des mots de passe différents. Si vous utilisez votre adresse email professionnelle ainsi que le même mot de passe pour vous connecter à différents sites, alors vous exposez l’entreprise à des risques d’attaques.

Mais même si vous utilisez des mots de passe différents, utiliser votre adresse professionnelle sur un site potentiellement vulnérable est dangereux. Lorsque la plateforme Ashley Madison a été piratée, les attaquants ont obtenu la liste complète des adresses email. Ils ont alors utilisé ces adresses email afin d’envoyer des emails de phishing proposant des services de sociétés d’avocats. Ce prétexte, pertinent dans le contexte de l’affaire, a poussé de nombreuses personnes à cliquer sur des liens ou à ouvrir des pièces jointes contenant des malwares. L’objectif des pirates était d’aboutir à la compromission de l’ensemble du système d’information de plusieurs entreprises.

2. Utiliser vos appareils professionnels pour visiter des sites douteux

Utiliser votre ordinateur portable ou votre smartphone professionnel pour des activités personnelles peut également s’avérer dangereux.

Par exemple, si vous utilisez un site illégal de streaming pour regarder des films, vous n’avez aucune idée de ce qui se passe en arrière-plan dans votre navigateur web pendant votre séance cinéma …
Des outils très puissants et faciles d’accès permettent à des pirates d’exploiter votre navigateur web pendant que vous consultez leur site web. Avez ces outils, une partie de votre historique de navigation est potentiellement exposée, ainsi que vos identifiants et mots de passe enregistrés, particulièrement si votre navigateur n’est pas à jour.

Si vous surfez sur des sites douteux depuis votre bureau, c’est encore pire car cela expose le réseau interne de votre entreprise (comme l’intranet et les serveurs internes notamment).

3. Fournir des informations détaillées dans les réponses automatiques lors de vos absences

Les réponses automatiques sont utiles pour notifier vos interlocuteurs de votre absence lorsque vous partez en congés et que vous n’avez pas accès à vos emails.
Cependant, il faut faire attention à ne pas communiquer à n’importe qui des informations concernant les projets sur lesquels vous travaillez, ainsi que les adresses emails et numéros de téléphone de vos collègues.

Par exemple :
« Bonjour, Je suis actuellement absent du bureau et serai de retour le 15 Juillet.

Si vous me contactez au sujet du Projet A, vous pouvez joindre Julien Millar au +33 (0) 1 23 45 67 89 ou par email à julien.millar@vaadata.eu.
… »

Ce genre d’information est utile pour vos collègues, mais aussi pour des pirates utilisant des techniques d’ingénierie sociale : ils peuvent utiliser ces données pour contacter vos collègues, ou afin de se faire passer pour quelqu’un d’autre.

Si vous avez besoin de donner des informations détaillées à certains de vos collègues ou partenaires, il vaut mieux anticiper en leur envoyant un email avant de quitter votre bureau pour vos vacances. Vous pouvez également restreindre les réponses automatiques à vos contacts ou à des adresses email internes uniquement.

4. Divulguer des informations techniques sur des forums ou sur d’autres sites

Si vous travaillez dans l’informatique, il y a des chances pour que vous ayez déjà fait appel à la communauté IT afin de résoudre des problèmes liés à des configurations ou à des développements.

Une façon dangereuse de le faire est de copier/coller des informations techniques détaillées sur des sites comme Stackoverflow ou Pastebin, d’autant plus que vous êtes identifiable via votre adresse email.

Lors de nos audits de sécurité en boite noire, nous découvrons régulièrement des informations relatives à des fichiers, architectures, technologies, logs d’erreurs ou encore emails… accessibles librement sur ces sites.

Des attaquants peuvent également lire ces informations et les exploiter, donc réfléchissez à deux fois avant de poster !

Alors, quelles habitudes devez-vous changer ? Svp partagez avec ce post avec vos collègues, afin de prendre conscience de certains risques et d’augmenter le niveau global de sécurité sur le web.