L'individu reste, plus que jamais, le maillon faible

En 2008, la principale source d'infection des entreprises a été les salariés. Les explications avec Nicolas Woirhaye, Directeur du Cert-Lexsi.

Propos recueillis par Philippe Richard

01net.

le 30/12/08 à 11h20

1 réaction

Si l'année 2008 a été une année de rupture et de renouveau dans de nombreux secteurs de l'industrie high-tech, ça n'a pas été le cas dans la sécurité. Méthodes d'attaques éculées, failles et faiblesses connues, le secteur de la sécurité n'a été ébranlé que par des systèmes et des technologies déjà connus. Le facteur numéro un de contamination dans les entreprise est d'ailleurs l'être humain. Le point avec Nicolas Woirhaye, directeur du laboratoire d'expertise en sécurité informatique, Cert-Lexsi.

<i>01net. :</i> Comment expliquez-vous qu'en 2008, malgré tous les logiciels de sécurité existants, le maillon faible reste l'individu ?
Nicolas Woirhaye : C'est vrai et c'est faux. Les responsables informatiques et de la sécurité dans les entreprises ont fait beaucoup d'efforts pour protéger leurs messageries. Mais aujourd'hui, la majorité des infections passe par la navigation Internet sur des sites grand public et plus uniquement sur les sites pornos et les réseaux de P2P. Or, la sensibilisation de l'utilisateur n'a aucun impact si les attaques sont furtives et si l'exploitation des vulnérabilités techniques se fait sans interaction de l'individu. Prenez le cas du phishing : on a dit à l'internaute de ne pas aller sur des adresses non sécurisées (absence du protocole https et du cadenas). Mais c'était perdu d'avance car les sites de phishing imitent très bien ceux des banques, notamment. Avant, une nouvelle forme de menace mettait des mois à se développer. Aujourd'hui, les menaces majeures comme les infections de sites sont plus rapides et efficaces

Comment ont réagi les entreprises face à cette situation ?
De plus en plus de patrons commencent à avoir une approche différente de celle apportée par l'industrie de la sécurité informatique. Après avoir connu plusieurs incidents, des PME se demandent maintenant quelles sont les données à protéger. Certains de nos clients sont revenus 15 ans en arrière en déconnectant certains postes de l'accès à Internet !

Face à cette évolution, l'industrie de la sécurité a-t-elle apporté de nouvelles solutions cette année ?
Non. Nous avons l'impression qu'il y a rien de nouveau. De nombreuses études ont montré que les taux de détection des antivirus étaient mauvais. Ce secteur, dont nous faisons partie, a toujours un temps de retard, qui est structurel : les phases de conception, développement, fabrication et distribution des produits se comptent en années, face à des menaces qui peuvent avoir des évolutions radicales en quelques mois.

Les réseaux sociaux sont-ils apparus comme une menace ?
Oui. De nombreuses entreprises se servent de ces réseaux pour débaucher des commerciaux ou trouver des informations sur les concurrents. Les utilisateurs voient l'aspect ludique mais ils ne se rendent pas compte des fuites d'informations que cela représente pour leur entreprise. C'est un vrai risque, car dans certains secteurs, 40 % des employés sont sur ces plates-formes. Résultat, des sociétés bloquent l'accès à ces sites. Mais cela n'empêche pas le salarié de se connecter le soir depuis son ordinateur personnel !

Ce qui vous attends en 2009

Succès de l'iPhone, concurrence à foison, pour les experts en sécurité, la multiplication de ces appareils pourraient représenter l'un des risques les plus élevés en 2009.

' Ce téléphone peut être utilisé pour de l'espionnage industriel. Il y a un intense développement de chevaux de Troie pour cibler les smartphones, qui permettent d'accéder à toutes les données. D'ailleurs les officines d'espionnage ont changé leurs méthodes ; au lieu de faire les poubelles, elles visent les téléphones mobiles des patrons, où peuvent s'intercepter les conversations téléphoniques, les e-mails, les localisations GPS, voire l'activation à distance du microphone. C'est le Saint Graal de l'espionnage ', déclare Nicolas Woirhaye.

<i>Retour vers le sommaire du </i> dossier Bilan 2008