La réponse de Parad’IE aux vulnérabilités

23 avril 2009

Après avoir réalisé un bref panorama des vulnérabilités de l’entreprise, Parad’IE souhaite évoquer les solutions que les sociétés sont à même de mettre en œuvre.

Alors que l’économie française est pleinement entrée dans la crise, chaque entreprise peut être victime d’une erreur humaine, de malveillance informatique ou d’atteinte à son patrimoine physique et éthique.

Parad’IE n’a pas la prétention d’apporter toutes les solutions à ces problématiques mais voici les bons réflexes à mettre en œuvre et surtout à ne pas oublier.

L’audit :

Déterminer la valeur du patrimoine de l’entreprise et localiser les points stratégiques.

o Quels sont les bâtiments et matériels importants pour l’activité économique ?

o Accède-t-on facilement à ces bâtiments, qui sont les visiteurs et connaissez-vous-les raisons qui les ont attirés chez vous ?

o Qui détient de l’information clé (comptabilité, clientèle, relations avec les fournisseurs) ?

o Comment est formalisée la protection physique de ces données (coffre forts, armoires verrouillées, mots de passe, cryptage, externalisation des serveurs,…)

Réaliser régulièrement des tests d’intrusion à la fois sur le site et sur le réseau informatique.

Anticiper les conséquences :

o Etablir une cartographie des risques et les indicateurs permettant d’en évaluer l’exposition.

o Etablir un plan de prévention des risques : prévoir les moyens et les scénarii pour parer aux attaques les plus pertinentes.

o Sensibilisation des effectifs :

–  Sécurité informatique, sécurité de l’information, sécurité des outils mobiles, sécurité lors des déplacements, sécurité dans les lieux publics.

Accompagner l’entreprise et ses salariés

o Définir dans les contrats des clauses de non concurrence, de confidentialité.

o Elaborer des chartes :

– informatique : reprenant les modalités d’utilisation du réseau

éthique (reprenant les valeurs internes à l’entreprise auxquelles doivent adhérer chacun des employés)

o Dialoguer avec les salariés : Impliquer les effectifs dans les choix de l’entreprise

o Encadrer les salariés lors de leurs départs et participer du mieux possible à leur reclassement.

o Accompagner les effectifs en déplacement et expatriés :

– Analyser la situation géopolitique et économique du pays dans lequel le salarié doit se déplacer afin d’évaluer le degré de la menace, veiller au respect des procédures et formalités des pays d’accueil

Mettre en place un système de veille :

o Veille sociétale : tendances de la crise. Créer des niveaux d’alerte indiquant qu’il faut augmenter le niveau de protection

o Veille concurrentielle

o Veille géopolitique : Assurer un suivi sur la situation du pays dans lequel se trouvent les expatriés, en cas de rapatriement inopiné.

o Veille image : Connaitre l’opinion sur son entreprise permet d’anticiper une réponse proportionnée en cas de rumeur, et d’atteinte à son image. Mieux vaut éviter de donner une raison à de fausses rumeurs car il n’y a pas de fumée sans feu !

En conclusion, la sécurité de l’entreprise, notamment en période de crise, est un moment décisif de la vie d’un acteur économique. C’est pourquoi le recours à un soutien extérieur peut s’avérer nécessaire qu’il s’agisse :

– Des services étatiques (Gendarmerie, Police, DGCCRF, douanes, DCRI, DCSSI…)

– Des cabinets spécialisés (en sécurité, risque pays et voyage, SSII, et/ou en intelligence économique)

L’intelligence économique considère souvent qu’il ne faut être ni naïf, ni parano, Parad’IE vous conseille juste d’être attentif à votre environnement et à ce qui se passe autour de vous

Publicités

Vulnérabilités éthiques

16 avril 2009

Les opérations mafieuses, de malversations financières, corruption, trafic d’influence, sont de plus en plus à découvert. Si le contexte de crise est un milieu favorable aux failles informatiques et humaines, il est également la plus grande porte ouverte aux malversations éthiques. Toutes les entreprises sont concernées, même si la plupart du temps il n’est fait état que des plus grandes firmes spécialisées dans la banque finance notamment ; comme en témoigne le rappel à l’ordre de la Société Générale par la Fed concernant ses « déficiences en matière de blanchiment ».

Cette tendance s’accroit principalement en période de crise à cause de la recrudescence de l’activité maffieuse, et tout particulièrement des organisations criminelles transnationales (OCT).

D’ailleurs le 2 avril a eu lieu le G20 de Londres, durant lequel les États, ont apporté une réponse globale à la crise économique et se sont aussi mis d’’accord sur un des pendants de l’éthique dans les affaires : les paradis fiscaux ce qui a suscité de vives réactions.

Le terme « éthique » littéralement science de la morale, appliqué au monde de l’entreprise, peut sembler être un terme « fourre-tout » comprenant toutes les escroqueries ou actes volontaires de l’entourage direct de l’entreprise. Certains d’entre eux portent tout particulièrement atteinte au patrimoine et à l’intégrité de l’entreprise, engendrant des pertes financières considérables.

  • la corruption : se définit par l’abus de pouvoir à des fins privées ou au profit de l’enrichissement personnel selon l’ONG Transparency international. Elle résulte en général d’une mauvaise gouvernance de l’entreprise, d’une trop grande confiance accordée à certains personnels de la société et/ou d’un manque d’encadrement du dispositif financier de la firme. La corruption au sein de l’entreprise peut prendre plusieurs formes : fraude (fraude fiscale et détournement de fonds comme en témoigne notamment l’affaire Madoff, la fraude sur les produits ou services, la fraude aux marchés publics concernant les grands groupes), extorsions.
  • le blanchiment consiste à dissimuler l’origine d’argent acquis de manière illégale (spéculation, activités maffieuses, trafic transnationaux). Ce sont souvent de petites entreprises qui sont en cause, tels que les petits commerces, restaurants, bijouteries, sociétés d’import/export… Les méthodes de blanchiments (un petit guide pour les novices !) sont diverses et varient d’une société à l’autre (le schtroumpfage, la complicité bancaire, l’utilisation de transfert de fond et bureaux de change, l’achat de biens au comptant, casinos, transfert électronique de fond, …)
  • les manœuvres d’influence comprennent la désinformation et l’atteinte à la réputation de l’entreprise. La désinformation est une déformation de l’information initiale entrainant des conséquences négatives sur l’entreprise concernée. Elle se traduit par des sondages, canulars informatiques ou rumeurs (exemple avec l’affaire du secret bancaire et d’UBS). Les auteurs sont en général extérieurs à l’entreprise (concurrents, fournisseurs, partenaires, clients) et agissent par malveillance.

Toutes ces manœuvres ont des conséquences importantes sur la société, sachant que certains secteurs sont particulièrement vulnérables (automobile, défense, pharmaceutique, grande distribution, agroalimentaire). La principale est la perte financière. En France le coût moyen d’une fraude s’élève à 4,7 M € en 2005 selon une étude PricewaterhouseCoopers.

Mais de nombreuses conséquences indirectes en découlent également : la dégradation des relations commerciales, la perte de la motivation du personnel, l’atteinte à l’image de marque ou à la réputation, et la contrefaçon de marque ou de produit.

D’une part, la crise financière a renforcé le besoin de certains États vis-à-vis des devises fortes et a accru, par exemple, l’intérêt de la Chine pour la contrefaçon de produits européens.

D’autre part, la baisse du pouvoir d’achat incite le consommateur à être moins vigilant sur la qualité des produits, et conduit certaines entreprises « contrefactrices » à profiter des opportunités et à se recentrer sur une activité plus prolifique en temps de crise.

En outre, la contrefaçon, longtemps considérée comme une cause de chômage, en est aujourd’hui avec la crise l’une des conséquences. En effet, les nombreux licenciements ouvrent de nouveaux marchés dans l’économie parallèle.


Vulnérabilités informatiques

15 avril 2009

Si la perte d’informations est liée à un acte de négligence, il ne faut pas considérer que les personnels de l’entreprise sont les seuls responsables. En effet, les attaques extérieures visant les réseaux informatiques sont en pleine croissance. Le secteur de la sécurité informatique est d’ailleurs un des seuls à ne pas être touché par la crise.

En 2008, 162 millions de données nominatives auraient été volées ou perdues rien qu’aux USA (Global Security Mag). Et il faut savoir qu’il s’agit là uniquement des résultats communiqués par les entreprises. Or, bien souvent les entreprises ne déclarent pas ce type de perte ou pire n’en sont pas informées.

En matière de sécurité des systèmes d’information, l’élément faillible est encore le facteur humain.

Pour la grande majorité des DSI interrogés, les causes les plus vraisemblables des problèmes de sécurité informatique proviennent de leurs propres employés. Hormis le cas presque incroyable de la perte volontaire de support de sauvegarde, les journalistes, bloggeurs rapportent quotidiennement une nouvelle perte informatique. Les entreprises sont les premières touchées mais les administrations deviennent également une cible récurrente.

Les termes se multiplient et cachent des réalités auxquelles l’entreprise quelle qu’elle soit ne semble plus pouvoir échapper : Spam, virus, rootkit, cookies, spyware, phishing, clickjaking, cybersquatting. Ces attaques se diversifient d’autant plus qu’elles ne s’en prennent plus uniquement aux postes internes à l’entreprise, mais profitent également des nouveaux moyens de mobilité mis à la disposition des employés (PDA, Blackberry, Tablet PC). La démocratisation de tous ces systèmes apparait comme un atout indéniable dans le développement d’une entreprise. Mais la crise favorise les attaques contre ce type de dispositif. Les appétits criminels sont attirés par la possibilité de revendre des informations stratégiques, de les utiliser à des fins criminelles, ou juste de récupérer du matériel informatique dernier cri.

Les attaques contre les réseaux sociaux et du Web 2.0 sont également très répandues. Facebook, Twitter, mySpace, font régulièrement la une de l’actualité, notamment ces dernières semaines pour différentes affaires de perte de données. Les criminels vont désormais jusqu’à créer des réseaux sociaux pour récupérer les informations personnelles des inscrits (nom, prénom, adresse email, parfois le numéro de téléphone et la date de naissance, et surtout le login et le mot de passe)

Or chacun d’entre nous étant confronté à une multitude de code à retenir, utilise le même pour les différents accès qu’il doit effectuer sur le web. Autrement dit, les réseaux sociaux sont du « pain béni ».

L’ingénierie sociale est également en pleine explosion. Elle consiste à développer et exploiter la confiance d’une personne, sa crédulité ou son ignorance pour obtenir une information. Si cette manœuvre peut se faire physiquement, elle passe de plus en plus régulièrement par l’intermédiaire d’un poste informatique. Ce système met en avant l’absence de sensibilisation des utilisateurs à la sécurité des données, et aux conséquences de la perte d’informations.


Vulnérabilités humaines

8 avril 2009

Il faut savoir que, le danger pour la sécurité d’une entreprise vient le plus souvent de l’intérieur. Les vols et fuites de données sont le plus souvent la source d’employés de l’entreprise

Malgré la dématérialisation grandissante de notre société, le capital humain tient une place clé dans l’entreprise. Il est par conséquent une source de vulnérabilités très importante.

La diminution de l’activité et les choix stratégiques des gouvernants d’entreprises peuvent avoir des conséquences réelles et immédiates sur la sécurité de ces dernières.

En effet, une baisse brutale de la production provoque immédiatement une diminution des besoins en ressources humaines. L’arrêt de projets innovants sur lesquels des ingénieurs se sont investis, le renvoi de cadres commerciaux au carnet clients important, la démission de personnels démotivés par une entreprise « ralentissante » sont autant de facteurs de risques.

Les auteurs de malveillances (concurrents, cabinets peu scrupuleux, …) savent pertinemment que l’une des plus grandes faiblesses de l’entreprise réside dans son capital humain. En période de difficultés économiques, les salariés de l’entreprise, peu importe leur niveau de responsabilités, sont mis en situation de stress, de compétitivité vis-à-vis de l’extérieur. Cette situation modifie consciemment ou inconsciemment le comportement de chacun, rendant l’individu plus sensible aux sollicitations extérieures, plus naïfs vis-à-vis d’acteurs externes qui chercheraient à collecter de l’information.

L’actualité récente a montré à de nombreuses reprises l’impact humain de la crise sur la sécurité des entreprises. Chaque acteur de la société est une source de danger, un maillon faible, qu’il soit acteur provisoire :

  • Les travailleurs temporaires (intérimaires, CDD) sont les premiers touchés par la crise. Leurs départs, parfois précipités, peuvent ne pas avoir été suffisamment préparés. Bien souvent, ils quittent l’entreprise en conservant leur code d’accès aux systèmes d’information, des documents de travail, et des données non formalisées, exploitables à l’extérieur de l’entreprise.
  • Le stagiaire, grand mythe de l’espionnage économique, entraine un risque accru pendant cette période de difficultés économiques. La mission, qui lui a été confiée à son arrivée n’a plus lieu d’être du fait de la crise. L’entreprise, contrainte de le garder dans ses locaux, lui confiera de nouvelles responsabilités sans pour autant, modifier les clauses de confidentialité qui le liaient à l’entreprise.
  • Les fournisseurs sont eux aussi soumis à la pression économique. La disparition de certaines entreprises sous traitantes peut également provoquer une perte de données substantielles. Certains sous traitants sont d’ailleurs plus sensibles : liés aux DSI, sécurité, fournisseurs d’une technologie clé.

Ou permanent :

  • La crise ne s’apparentant plus seulement à un faible ralentissement d’activités, les licenciements apparaissent désormais comme un passage obligé pour favoriser la survie de l’entreprise. La concurrence peut profiter de cette arrivée providentielle de personnel qualifié sur le marché, disposant de connaissances sur le savoir-faire interne pour récupérer diverses informations à son profit.
  • Les dirigeants ne sont pas exclus de cette liste. Qu’ils soient remerciés par les comités de direction, ou démissionnaires, ils quittent une entreprise dont ils connaissent les moindres rouages.
  • Pour terminer il faut noter une radicalisation des revendications sociales qui augmente les risques pesant sur l’entreprise. De plus en plus régulièrement, des salariés s’en prennent directement à l’intégrité physique de la société, et/ou à la personne des dirigeants.

La vulnérabilité de l’entreprise face aux risques d’erreur humaine est très importante. Plusieurs SSII ont révélé récemment que des salariés souhaitant acquérir une nouvelle technologie n’hésitent pas à oublier leur PC, leur PDA, leur Blackberry dans les aéroports. On peut dès lors imaginer un responsable, qui ne leur tiendrait pas ses objectifs, se protéger en expliquant qu’une partie de ses données a été volées ou égarées.


Vulnérabilités physiques

8 avril 2009

L’entreprise, quelle qu’elle soit (TPE, PME-PMI, CAC), présente plusieurs vulnérabilités physiques, techniques et matérielles :

  • sa situation physique (siège, sites de production, sites de distribution),
  • son matériel (bien de production, machine, produits),
  • l’intégrité physique de ses salariés et dirigeants (expatriés, voyages d’affaire, débauchage).

Autant de failles accrues en temps de crise.

En effet, un des pendants de la crise mondiale actuelle est la répercussion sociale (licenciements, dégradation des conditions sociales, baisse du pouvoir d’achat…) provocant des mécontentements de la part de salariés, et de tiers directement concernés par l’entreprise (clients, concurrents, autres salariés de la même branche par solidarité…). L’environnement ainsi créé est favorable aux actes malveillants envers l’intégrité physique des entreprises : sabotage, atteinte aux biens matériels, aux outils, pillage et vol de machines, acte terroriste et demande de rançon.

La dernière crise a renforcé les fragilités de l’entreprise et les expose plus fortement aux pratiques hyperconcurrentielles :

  • Vol sur chantier,
  • Un dirigeant d’une société de maçonnerie, victime d’un vol de bétonneuse par son concurrent,
  • Un hébergeur d’infrastructure informatique victime de vols de serveurs.

L’insécurité de l’entreprise semble atteindre son paroxysme avec la vague de menace dont est victime le groupe Carrefour depuis janvier 2009, ou plus directement ses produits et ses magasins. Des lettres de menaces portant l’inscription « la mort sera bientôt dans les rayons », puis une demande de rançon. Ce qui a été analysé comme un acte terroriste.

Ce sont d’ailleurs ces actes terroristes qui touchent principalement les salariés expatriés : la vague de pirateries qui a sévi fin 2008 au large du Golfe d’Aden, en Somalie est un exemple flagrant tout comme les enlèvements de salariés expatriés de compagnies pétrolières, au Nigeria notamment. Il s’agit ici de l’une des conséquences de la crise du pétrole. La délocalisation et l’activité offshore semblent une bonne solution pour des PME, néanmoins certains pays présentent continuellement des dangers en raison de leur situation géopolitique.

En outre la crise sociale favorise le recrutement et le grossissement des cellules terroristes, et l’atteinte aux symboles du capitalisme.

Cependant, sans aller jusqu’à adhérer à une cause terroriste, le contexte économique actuel favorise les revendications et les mouvements de grève dans lesquels n’importe quel délinquant se met à casser des vitrines, piller des petits commerçants, ou encore les tabacs, pour les cigarettes et les jeux d’argents, ou encore le vol de carburant à la pompe pendant l’inflation des prix du pétrole.

Des salariés licenciés, et déçus se disant qu’ils n’ont plus rien à perdre peuvent s’adonner à de tels actes en attentant directement aux entreprises et à leurs dirigeants comme en témoigne la séquestration de la PDG de Sony France


Crise et vulnérabilités de l’entreprise

8 avril 2009

Ces derniers mois les spécialistes économiques, les hommes politiques, et les journalistes ont parlé tour à tour de crise de confiance, crise de système, crise de dogme, crise financière, crise économique et sociale, allant jusqu’à parler de paradigme économique volant en éclats.

Loin de toutes ces théories et réflexions politico-économique, les entreprises vivent la crise au quotidien. Si les responsables sécurité s’accordent à dire que les entreprises sont actuellement plus vulnérables, ce n’est pas seulement le cas sur le plan économique. En effet, la crise constitue un terrain propice aux risques. L’instabilité économique des États favorise les guerres commerciales, les pratiques « hyperconcurrentielles » et, le recours à des méthodes parfois extrêmes pour que certains, (notamment les concurrents), puissent parvenir à leurs fins. La crise multiplie les facteurs d’insatisfaction, les sollicitations délictueuses et les appétits voisins.

Aujourd’hui, les budgets sont diminués, réajustés. Pour autant, en matière de sécurité peut-être plus qu’ailleurs, l’entreprise doit avoir conscience des risques qui l’entourent et conserver les moyens de traverser la tempête sans trop de fracas.

Mac Affee constatait récemment que la réduction des budgets et les licenciements massifs auraient deux conséquences sur la sécurité de l’entreprise :

  • La multiplication des failles et des risques de pénétration due à l’affaiblissement des dispositifs de sécurité et la baisse des employés dédiés à cette activité.
  • L’accroissement des mécontentements en interne, et de l’augmentation des intéressés extérieurs (concurrents, fonds d’investissements notamment…)

Si la société éditrice de logiciel de protection applique ce constat aux risques informatiques, il se vérifie également dans le cadre des vulnérabilités physiques, humaines, éthiques, juridiques…

Aucune entité ne doit se sentir épargnée. Même si les grands groupes sont souvent mieux armés pour résister, ils sont également les plus exposés médiatiquement et les plus convoités capitalistiquement. Les PME ont souvent peu conscience des risques. A l’abri des regards médiatiques, elles oublient, souvent qu’elles développent un savoir-faire qui peut intéresser la concurrence.

Les professionnels de l’intelligence économique ont révélé que 50 à 70% de l’information utile à une entreprise se trouve dans la société. Les fuites, erreurs ou dysfonctionnement du système d’information peuvent avoir rapidement des conséquences dramatiques sur la vie de l’entreprise.

Les vulnérabilités de l’entreprise ont souvent plusieurs causes et sont souvent indissociables. Parad’IE s’attachera ces prochaines semaines à les présenter et à mettre en avant quelques solutions.

  1. Les vulnérabilités physiques de l’entreprise
  2. Les vulnérabilités humaines
  3. Les vulnérabilités informatiques
  4. Les vulnérabilités éthiques
  5. Les solutions de Parad’IE