Afin de tester et d’éduquer les employés d’une entreprise à la sécurité informatique, la société Jetmetric propose un outil d’évaluation appelé Social Pet. Ce système envoie régulièrement aux utilisateurs des mails piégés. User de cette technique a deux avantages. Cela renseigne sur la manière dont les employés assimilent les directives en matière de sécurité interne. En second lieu, cela les renseigne sur les manipulations existantes en termes d’escroquerie informatique. "La sensibilisation et la formation du personnel sont primordiales", affirme à L’Atelier Laurent Dupuy, consultant en sécurité informatique chez Free Security."Beaucoup d’entreprises les sous-estiment encore aujourd’hui".

Des employés piégés

Le programme invite dans un courriel à cliquer sur un lien. Cet URL mène à une page web extérieure qui requiert des informations d’identification confidentielles. Ce sont en général des offres alléchantes censées interpeller l’utilisateur. Un rapport concernant le résultat du test est ensuite envoyé aux gestionnaires réseaux. Hervé Schauer, créateur de la société de conseil HSC, tente de nuancer : "Il convient d'être très prudent en France, ce type de contrôle demande l'accord préalable des représentants du personnel, les résultats ne doivent être exploités qu'anonymement". Pour les employés, le programme de Jetmetric prévoit un accès à un registre de leurs erreurs.

Un taux d’échec élevé

Les recherches de Jetmetric ont montré que 95 % des entreprises, évaluées de cette manière par la société d’audit Redspin, ont échoué aux tests. Avec au moins un quart des employés mis en cause. Pas par malice. En plus d’être peu aguerris aux procédures de sécurité, ils sont en général très serviables et veulent se rendre utiles. C’est pourquoi ils font des cibles idéales pour les attaques d’ingénierie sociale. Hervé Schauer ajoute : "Nous voyons tous les jours la crédulité des utilisateurs. Les statistiques démontrent bien une propension effrayante de ceux-ci à cliquer à tort et à travers".

Source :
www.atelier.fr