Les 5 principaux obstacles sur la route du DPO

C’est acté ! Après avoir déterminé que votre entreprise se trouve dans un des cas où la désignation d’un DPO / DPD – Data Protection Officer / Délégué à la Protection des Données – est obligatoire le Comex ou le Codir a décidé d’ouvrir le poste au recrutement. La phase de sélection est terminée et vous êtes en passe d’être désigné auprès de la CNIL comme étant le DPO de votre structure.
Félicitations ! Vous vous êtes préparé, formé, mais être DPO peut vous mener sur un chemin semé d’embûches. Soutien, indépendance, moyen, communication, image du DPO : nous allons identifier les 5 principaux obstacles qui peuvent se dresser sur la route d’un futur DPO.

Continuer la lecture

Comment lutter contre les techniques d’ingénierie sociale ?

Comme nous venons de le voir, l’ingénierie sociale ne présente pas de caractère délictuel en soi. Elle prendra place le plus souvent en tant qu’élément matériel de l’infraction d’escroquerie. La recherche des auteurs d’infractions employant des techniques d’ingénierie sociale est rendue ardue par l’utilisation d’outils d’anonymisation de leurs traces. L’utilisation massive de ces techniques et leur répression difficile nous amène à explorer les contre mesures qui peuvent être mises en place et les solutions préventives.

L’information, la prévention ou encore la formation, qu’elles soient à l’initiative du secteur public ou privé, sont les meilleurs investissements possibles ne matière de lutte contre l’ingénierie sociale.

Comment lutter contre les techniques d'ingénierie sociale ?
Continuer la lecture

Quelles qualifications pénales pour l’ingénierie sociale ?

Nous avons pu voir que la mise en place de techniques d’ingénierie sociale dans la cadre d’une escroquerie nécessite l’adoption d’une identité inspirant la confiance et le recueil d’informations sur la ou les cibles choisies avant de commencer l’exécution du scénario. Nous commencerons par étudier la répression de l’usurpation d’identité puis nous aborderons le vol d’informations pour finir sur l’infraction d’escroquerie à proprement parlé.

Il ne s’agit pas ici de faire un état exhaustif des qualifications possibles mais plutôt de montrer que les outils juridiques existent pour lutter contre ces pratiques.

Quelles qualifications pénales pour l'ingénierie sociale ?
Continuer la lecture

Comment se déroule une attaque d’ingénierie sociale ?

Nous allons voir à travers deux exemples concrets le déroulement d’un scénario d’attaque par ingénierie sociale. Le premier avec pour cible un particulier détenteur d’un compte auprès de la Caisse d’Epargne à base de phishing bancaire classique et le second plus élaboré, visant des sociétés françaises, où l’auteur se fera passer pour une entreprise à renommé nationale.

Comment se déroule une attaque d'ingénierie sociale ?
Continuer la lecture

Quels sont les outils nécessaires à la mise en place d’un scénario d’ingénierie sociale ?

Nous avons pu voir dans notre précédent article que la préparation d’un scénario d’ingénierie sociale passe par une recherche minutieuse d’informations sur sa cible. Cette recherche peut être complétée par la dissémination de fausses informations afin de renforcer la crédibilité de la démarche.

Pour mettre à profit la préparation effectuée tout en gardant à distance la cible il est nécessaire d’utiliser des outils numériques. Il s’agit des outils de communication que vous utilisez au quotidien. Ces outils sont simplement paramétrés et détournés pour tromper l’interlocuteur.

Quels sont les outils nécessaires à la mise en place d'un scénario d'ingénierie sociale ?
Continuer la lecture

Comment préparer un scénario d’ingénierie sociale ?

La recherche d’informations sur la cible est l’étape préliminaire indispensable à tout scénario d’ingénierie sociale. Pour le cas des particuliers où les actions d’ingénierie sociale se résument souvent à des campagnes d’envoi massif de courriers électroniques il ne sera pas nécessaire d’avoir une connaissance précise et détaillée de la vie personnelle de la cible. Pour une entreprise les recherches pourront porter sur ses employés ou encore ses partenaires commerciaux.

« J’adore qu’un plan se déroule sans accroc ! »

Dans un second temps l’assaillant mettra en place des éléments de décor adaptés à la cible. Il pourra s’agir de sites internet imitant celui d’un grand groupe ou de façades d’honorabilité lui donnant une apparence légitime.

Comment préparer un scénario d'ingénierie sociale ?
Continuer la lecture

Cybersécurité : l’ingénierie sociale dans le top 10 des menaces

L’ingénierie sociale vient de faire son entrée au top 10 du cabinet d’analyse Gartner qui analyse les tendances en matière de risques liés à la cybersécurité.  Ce rapport « Top 10 Emerging Risks of Q2 2018 » est construit en interrogeant des RSSI de grandes entreprises. Gartner définit ainsi l’ingénierie sociale comme étant le fait de « criminels chevronnés utilisant la tromperie pour manipuler les individus afin d’obtenir des renseignements confidentiels ou personnels qui pourront ensuite être utilisés à des fins frauduleuses ».

Cybersécurité : pirater le cerveau

Je vous propose de nous plonger dans les arcanes de l’ingénierie sociale au cours d’une série d’articles. L’objectif est de démystifier quelques unes de ces techniques afin de mieux s’en protéger. Pour cette entrée en matière nous allons cerner notre sujet et le définir.

Continuer la lecture

Retour sur le WISG 2017, rencontre de la recherche et de la sécurité

La semaine dernière s’est tenu le WISG 2017 (Workshop Interdisciplinaire sur la Sécurité Globale) à Paris. Le WISG est le rendez-vous annuel des acteurs de la recherche et de la sécurité. C’est la première fois que cet évènement, organisé par l’Agence nationale de la recherche (ANR), a lieu dans la capitale. Auparavant, il était accueilli par l’Université de technologie de Troyes (UTT) dans l’Aube. C’est donc au sein des murs de l’Université Pierre et Marie Curie que je me suis rendu pour y assister.

Workshop Interdisciplinaire sur la Sécurité Globale 2017 Continuer la lecture

KryptKey : la clef USB qui simplifie le chiffrement ?

La recherche de solutions simples et sécurisées pour protéger ses données en mobilités n’est pas une sinécure. S’il est relativement aisé de chiffrer le contenu de son ordinateur, de son téléphone ou de son NAS, j’ai toujours eu du mal à trouver des solutions qui me convenaient pour les supports externes. Du côté des disques durs on trouve de belles propositions de boîtiers disposant d’un chiffrement matériel comme chez StarTech ou Zalman mais côté clef USB comment dire… l’offre n’est pas pléthorique. La KryptKey de MDK Solutions comblera-t-elle ce manque ?

Je vais tenter de vous présenter les avantages et les limites du produit.

KryptKey chiffrement

Continuer la lecture