Balises
Sécurité

Le risque lié à la cybersécurité que vous négligez : votre bureau.

Entrée d'un immeuble de bureaux avec de nombreuses personnes franchissant les portes

Auteurs

Stephanie Carruthers

Chief People Hacker for IBM X-Force Red

Vous disposez des filtres anti-spam les plus récents sur les comptes e-mail de chacun. Outils de détection et de réponse des terminaux sur tous les appareils fournis par l'entreprise. Un système de détection et de prévention des intrusions protège les portes de votre réseau en criant « Halte ! » àà chaque paquet qui le regarde même d'un air amusé.

Vos systèmes sont totalement verrouillés. Aucun pirate ne s’introduise ici.

La porte d’entrée de votre immeuble de bureaux, c’est une autre histoire. Un attaquant peut probablement s’y introduire.

Faites-moi confiance. Je le sais par expérience. Je fais du waltzing.

L'un des aspects les plus amusants du poste de Responsable du piratage chez IBM, c'est que j'ai l'occasion de procéder à des évaluations de la sécurité physique. En gros, je m'introduis par effraction dans les bâtiments des clients, avec leur autorisation ! pour les aider à identifier les failles de leurs défenses physiques.  

Et quand je suis là, je peux faire beaucoup de dégâts. Cet ordinateur portable sans surveillance dans la salle de pause ? Yoink. Il est à moi maintenant, avec l’accès à tous les documents auxquels son propriétaire peut accéder. Ces dossiers confidentiels posés sur un bureau vide et déverrouillé ? Le mien aussi.

La plupart d’entre nous considèrent la cybersécurité comme une affaire purement numérique. L’expression « cyber » porte bien son nom. Mais les cyberattaques peuvent en réalité commencer ici, dans le monde physique, et je ne parle pas de robots sensibles qui ont un compte à régler (du moins, pas encore).

Je parle d’entreprises extérieures malveillantes, et même d’initiés malveillants, qui peuvent compromettre vos systèmes informatiques directement depuis votre immeuble. L'appel provient de l'intérieur de la maison !

Comme de plus en plus d'organisations ramènent leurs employés au bureau, ces attaques physiques pourraient devenir plus fréquentes et plus réussies. Après des années de travail à distance, beaucoup d'entre nous sont devenus rouillés lorsqu'il s'agit d'assurer la sécurité de leur bureau.

Examinons certains risques liés à la cybersécurité et voyons ce que les entreprises peuvent faire pour riposter. 

Homme regardant un ordinateur

Renforcez vos renseignements de sécurité 


Gardez une longueur d’avance sur les menaces grâce à l’actualité et aux réflexions sur la sécurité, l’IA et bien plus encore, dans la newsletter hebdomadaire Think. 


Anatomie d’une intrusion physique

Les intrusions physiques peuvent se manifester de plusieurs façons, mais d’après mon expérience, elles ont tendance à se produire en trois étapes :

  • Étape 1 : collecte de renseignements
  • Étape 2 : obtenir un accès
  • Étape 3 : exécuter l'attaque

Sécurisons ces étapes.

Étape 1 : collecte de renseignements

La première phase d’une évaluation physique IBM X-Force consiste à recueillir des renseignements sur nos objectifs. Bien sûr, nous ne demandons pas ces informations au client. Parce que nous n’en avons pas besoin. C'est incroyable ce que l'on peut découvrir sur une entreprise en observant ses employés vaquer à leurs activités.

Par exemple, je peux consulter le compte Instagram de l’entreprise pour rechercher des photos des employés. Portent-ils des uniformes ? Ont-ils un code vestimentaire ? Voilà des informations que je peux utiliser pour les intégrer. (Et vous pensiez, ou plutôt, espériez que personne ne regardait les photos des fêtes de fin d'année dans les bureaux.)

Si j'ai beaucoup de chance, je peux apercevoir le badge d'un employé, ce qui m'aidera à fabriquer un faux convaincant. Cela ne me permettra pas d'entrer dans l'établissement, mais cela me rassurera lorsque je me promènerai sur le campus.

Je trouve peut-être une liste de fournisseurs sur votre site Web. Je peux maintenant me faire passer pour le livreur de fournitures de bureau.

Peut-être que je vais me rendre dans votre immeuble et faire une petite surveillance. Quelles sont les portes utilisées par les employés ? Y a-t-il des entrées distinctes pour le public ? Avez-vous des agents de sécurité et où sont-ils postés ?

Même les détails les plus insignifiants peuvent être utilisés contre vous. Par exemple, je peux me renseigner sur votre calendrier de ramassage des ordures. C'est bizarre, je sais, mais suivez-moi : Si le jour de la poubelle est le mercredi, je passe le mardi soir parce que je sais que la poubelle est pleine. Il y a donc de fortes chances que je trouve un mot de passe réseau griffonné sur un post-it, ou un mémo confidentiel que quelqu'un n'a pas pris la peine de déchiqueter.

(Je sais comment vous me regardez en ce moment. Je le sens à travers l’écran. Ce n’est pas comme si j’appréciais cette partie du travail ! Donc, si vous pouviez simplement déchiqueter vos documents sensibles, ce serait génial pour moi. Vraiment.)

Étape 2 : obtenir un accès

J'aimerais pouvoir dire que j'effectue de sérieuses manœuvres à la James Bond pour pénétrer dans les bâtiments de mes clients, mais la vérité est que je passe généralement par la porte d'entrée avec tout le monde. Il s'agit d'une méthode d'attaque appelée « tailgating » ou talonnage.

Le talonnage, c'est lorsqu'un malfaiteur suit une personne autorisée dans une zone sécurisée. Pensez à un immeuble de bureaux : les employés ont souvent besoin d’une sorte de badge ou d’un porte-clés pour ouvrir la porte. En tant qu’attaquant, vous n’en avez évidemment pas. Il s'agit donc de suivre de près un employé afin que, lorsqu'il entre, il tienne la porte ouverte ou que vous puissiez l'attraper avant qu'elle ne se referme.

En fin de compte, le tailgating (ou « talonnage ») est extrêmement efficace. Tout le monde est poli ! Même lorsqu’ils savent que vous n’êtes pas là, la plupart d’entre eux ne veulent rien dire. Trop étrange. Et l’ingénierie sociale compte exactement sur ce type de réaction trop humaine.

Cela ne veut pas dire que les criminels ne s'introduisent jamais dans les bâtiments à l'ancienne. Mais qu'ils n'en ont pas vraiment besoin.

Étape 3 : exécuter l’attaque

Quand je m’introduis, je vais probablement voler quelque chose. (Eh bien, faites semblant de voler quelque chose.) Les documents et appareils sensibles laissés à l'air libre sont des cibles de choix, mais ce n'est pas tout. Je peux passer un badge d'employé ou un jeu de clés de bâtiment pour élargir mon accès et revenir si je dois partir.

Si je peux mettre la main sur un appareil de l'entreprise, je peux accéder au réseau de l'entreprise. Je peux me faire passer pour le propriétaire de l'appareil et envoyer des e-mails d'hameçonnage à partir de son compte. Je peux installer des fichiers malveillants dans les annuaires de l’entreprise.

Une autre chose amusante que je peux faire est d'appâter et de déposer des clés USB chargées de logiciels malveillants (enfin, de faux logiciels malveillants) dans le bâtiment.

Les gens sont drôles : lorsqu'ils voient une clé USB au hasard, ils ont envie de la brancher et de voir ce qu'elle contient. Il s'agit peut-être d'un bon samaritain qui cherche à connaître l'identité du propriétaire. Peut-être qu'ils sont juste curieux. Quoi qu'il en soit, ils vont avoir des ennuis. Cette clé USB les infectera secrètement avec un logiciel malveillant, tel qu'un enregistreur de frappe ou ransomware

Mixture of Experts | 12 décembre, épisode 85

Décryptage de l’IA : Tour d’horizon hebdomadaire

Rejoignez notre panel d’ingénieurs, de chercheurs, de chefs de produits et autres spécialistes de premier plan pour connaître l’essentiel de l’actualité et des dernières tendances dans le domaine de l’IA.
Regardez tous les épisodes de Mixture of Experts

Trois étapes pour empêcher les pirates d’accéder à votre immeuble

Lors d’une évaluation physique donnée, je cherche généralement à voir combien de temps il faut à quelqu’un pour m’arrêter. 

Je me souviens d'une évaluation au cours de laquelle il a fallu quatre heures pour que la sécurité commence à me rechercher, alors qu'un employé avait remarqué que je le suivais dans le bâtiment. (Et je me suis quand même faufilée avant qu'ils ne me trouvent pas !)

Ce que je veux dire, c'est que nos pratiques en matière de sécurité physique sont souvent assez médiocres. Voici ce qu'il faut faire à la place :

Revoyez vos hypothèses

On sait tous ce qui se passe quand on suppose, n’est-ce pas ?

Vous facilitez grandement le travail des mauvais acteurs.

L’une des plus grandes erreurs que les gens commettent en matière de sécurité physique est de supposer que toutes les protections adéquates sont en place. Et je parle de choses simples, comme supposer que la « porte à verrouillage automatique » se verrouille automatiquement. Ou que les gens utilisent des brouillons. Ou bien que les employés arrêtent les inconnus dans le couloir pour demander ce qu'ils font.

Ensuite, j’arrive et voici ce que je trouve : Cette serrure a mal fonctionné depuis longtemps. Les gens jettent les documents confidentiels à la poubelle. Ils voient un inconnu dans le couloir et pensent : « Ce ne sont pas mes affaires ! »

Tous ces petits échecs s'additionnent et permettent aux attaquants de mener des attaques sophistiquées à la vue de tous. (Voir mon billet précédent sur la fois où j'ai incité une réceptionniste à brancher une clé USB non vérifiée sur son ordinateur alors que la sécurité me cherchait.)

J'encourage les entreprises à ne rien supposer. Vérifiez que la porte se verrouille. Ne vous fiez pas uniquement au petit voyant rouge sur le lecteur de badge. Tirez dessus. Indiquez aux gens ce qu'ils doivent déchiqueter. Si vous voyez un inconnu, n'hésitez pas à lui demander ce qu'il fait. (Vous pouvez même le faire poliment : « Je vois que vous n'avez pas de badge de visiteur. Laissez-moi vous emmener à la sécurité, sinon vous continuerez à vous faire arrêter ! ») 

Proposez une meilleure formation à la physical security

La formation en cybersécurité devrait consacrer plus de temps aux pratiques de physical security. Ce n'est peut-être pas la voie d'attaque la plus courante, mais c'est une faille béante dans les défenses de nombreuses organisations.

Pensez à la formation moyenne en cybersécurité. S'il y est question de physical security, ce qui est rare, ce n'est généralement rien de plus que « Ne laissez pas votre ordinateur portable d'entreprise se faire voler ».

La physical security doit être traitée avec la même profondeur que les autres sujets. Par exemple, les formations abordent souvent les signaux d'alarme contenus dans les messages de phishing, tels que les fautes de grammaire et les demandes urgentes. Pourquoi ne pas apprendre aux gens à repérer les signaux d'alarme chez les visiteurs, comme le fait de se promener sans badge et sans être accompagné ?

Plus l’instruction est explicite, mieux c’est. Prenez le talonnage, par exemple. Le simple fait de dire aux gens de ne pas laisser entrer des étrangers dans le bâtiment ne les prépare pas exactement à réagir à un talonneur du monde réel.

Au lieu de cela, les gens doivent savoir exactement quel est le processus lorsqu’ils repèrent un inconnu. En général, la réponse est simple : « Qui êtes-vous venu voir ? Laissez-moi vous guider vers la sécurité et vous pourrez vous enregistrer. » Si vous faites affaire à un véritable prospect, il vous appréciera votre aide. Si vous faites affaire à un pirate, il abandonnera probablement la mission maintenant qu’il aura été repéré.

Et vous souvenez-vous de la partie concernant le réexamen des hypothèses ? Aucun détail n'est trop mineur pour être inclus dans la formation à la physical security. Dites aux gens de verrouiller les données et les appareils sensibles. Assurez-vous qu'ils sont au courant de l'existence des bacs de déchiquetage. Insistez bien sur les dangers des clés USB non identifiées.

Configurez votre espace pour encourager la physical security

Facilitez autant que possible le respect par les employés des politiques, des processus et des bonnes pratiques en matière de physical security en veillant à ce qu'ils aient les ressources nécessaires à portée de main.

Par exemple, je recommande d'avoir le numéro de téléphone et l'adresse e-mail de tous les contacts de sécurité à chaque bureau et sur chaque appareil. Ainsi, si quelque chose arrive, les employés savent immédiatement à qui il doit être signalé. Il doit également être facile d'amener physiquement les visiteurs jusqu'au poste de sécurité, et vous devez donc envisager l'installation d'un bureau de sécurité physique.

Veillez également à ce que les employés disposent de moyens de sécuriser leurs appareils et leurs documents, tels que des casiers personnels, des armoires à dossiers fermant à clé et des serrures d'ordinateur à chaque bureau.

La cybersécurité commence par la physical security

Les cyberattaques ne se produisent pas uniquement en ligne, vous ne pouvez donc pas vous appuyer sur des défenses entièrement numériques.

S'il y a une leçon majeure à retenir, c'est peut-être celle-ci : en matière de sécurité physique, les petits détails comptent autant, voire plus, que la vue d'ensemble.

Bien entendu, vous avez besoin d'une stratégie globale de physical security, qui est à son tour liée à une Stratégie globale de cybersécurité. Mais ce n’est pas nécessairement un manque de réflexion stratégique qui expose les organisations aux attaques physiques. C’est souvent une question de pragmatisme : les gens savent-ils exactement quoi faire face aux menaces physiques et ont-ils les moyens de le faire ?

En revoyant vos hypothèses, en investissant dans une meilleure formation et en dotant vos collaborateurs des ressources adéquates, vous pouvez déjouer un grand nombre d'attaques potentielles. Et si vous me rendez la tâche plus difficile, vous rendez le monde beaucoup plus sûr.

Le compromis en vaut donc la peine. 

Ressources

IBM® X-Force Threat Intelligence Index 2025

Obtenez des informations précieuses pour vous préparer et réagir plus rapidement et plus efficacement aux cyberattaques avec IBM X-Force Threat Intelligence Index.
IDC MarketScape : Évaluation des fournisseurs de services de conseil en cybersécurité 2025

Découvrez pourquoi IBM a été désigné comme acteur majeur et obtenez des informations qui vous permettront de sélectionner le fournisseur de services de conseil en cybersécurité le mieux adapté aux besoins de votre organisation.
La cybersécurité à l’ère de l’IA générative

Découvrez comment l’environnement de la sécurité actuel évolue, comment faire face aux défis de l’IA générative et comment tirer pleinement parti de sa résilience.
Rapport IBM X-Force 2024 sur l'environnement des menaces dans le cloud

Comprenez les dernières menaces et renforcez vos défenses cloud avec le rapport IBM X-Force sur le paysage des menaces dans le cloud.
Qu’est-ce que la sécurité des données ?

Découvrez comment la sécurité des données permet de protéger les informations numériques contre l’accès non autorisé, la corruption et le vol tout au long de leur cycle de vie.
Qu’est-ce qu’une cyberattaque ?

Une cyberattaque est un effort intentionnel visant à voler, exposer, modifier, désactiver ou détruire des données, des applications ou d’autres actifs par le biais d’un accès non autorisé.
Solutions connexes
Solutions de sécurité d’entreprise

Transformez votre programme de sécurité avec le portefeuille de solutions le plus complet.

 Découvrir les solutions de cybersécurité
Services de cybersécurité

Transformez votre entreprise et gérez les risques avec des services de conseil en cybersécurité, de cloud et de sécurité gérée.

         Découvrir les services de cybersécurité
    Cybersécurité et intelligence artificielle (IA)

    Accélérez et précisez le travail des équipes de sécurité, et rendez-les plus productives grâce à des solutions de cybersécurité cyberalimentées par l’IA.

         Découvrir AI cybersecurity
    Passez à l’étape suivante

    Que vous ayez besoin de solutions de sécurité des données, de gestion des points de terminaison ou de gestion des identités et des accès (IAM), nos experts sont prêts à travailler avec vous pour atteindre une excellente posture de sécurité. Transformez votre entreprise et maîtrisez vos risques avec un leader mondial de la cybersécurité, du cloud et des services de sécurité gérés.

         Découvrir les solutions de cybersécurité Découvrir les services de cybersécurité