Un cadre d’évaluation de la sécurité en ligne aide les entreprises à faire face à l’utilisation accrue d’appareils personnels
Travailler de partout, à tout moment. Il pourrait facilement s’agir d’un slogan publicitaire pour promouvoir la culture du télétravail dans l’entreprise, de plus en plus répandue. Et qui s’y opposerait? Travailler à domicile réduit les dépenses de l’entreprise, améliore la productivité, rend les employés plus heureux et contribue même à résoudre des problèmes comme les embouteillages et les émissions de CO2. Mais cette nouvelle philosophie soulève également un certain nombre de questions, celle de la sécurité s’avérant particulièrement pertinente. Bien que les industries aient toujours été vulnérables aux cyberattaques, le risque s’est accru de manière considérable en raison de l’absence de limite clairement définie entre les appareils privés et professionnels et du succès sans précédent des réseaux sociaux. Comme l’explique Mme Francesca Giampaolo, coordinatrice du projet DOGANA, différents facteurs entrent en jeu. «Non seulement les gens utilisent de plus en plus leurs appareils personnels à des fins professionnelles, mais ils ont souvent tendance à combiner cet usage à celui des réseaux sociaux, dont le modèle d’affaires consiste à les encourager à révéler et à partager des informations personnelles. Ces plateformes ne fournissent pas de mécanismes d’authentification fortement sécurisés. Pour aggraver les choses, la plupart des gens semblent dans l’incapacité d’éviter de s’exposer à des risques inutiles et n’ont pas les connaissances nécessaires pour assurer la sécurité de leurs appareils.» DOGANA répond à ce problème avec une infrastructure offrant «une ingénierie sociale et une évaluation de la vulnérabilité avancées» pour mesurer et atténuer les risques liés aux vulnérabilités liées aux réseaux sociaux. Bien que toutes les industries soient vulnérables, le système permet de quantifier les risques réels en fonction de la dépendance des entreprises vis-à-vis des TIC, du niveau des conséquences des attaques, du degré de risque associé, ainsi que d’autres paramètres. Cette infrastructure est constituée d’une chaîne de compilation de type logiciel libre pour évaluer les vulnérabilités (collecte d’informations, préparation aux attaques et aux tentatives d’hameçonnage, exécution des attaques et rapports), d’un programme de formation comprenant des méthodes de sensibilisation et un ensemble d’outils permettant une réduction automatique des risques, et d’une composante relative à l’application des lois. Selon Mme Giampaolo, une des principales innovations de DOGANA concerne la «structure de collecte d’informations» qui évite aux testeurs d’avoir à collecter eux-mêmes les informations, ce qui permet de diminuer les taux d’erreur et d’améliorer l’efficacité. Citons également le «cadre de sensibilisation» qui propose un éventail de méthodes de sensibilisation pouvant être adaptées aux besoins d’une entreprise donnée, ainsi que le «cadre politique organisationnel» qui fournira un ensemble de directives et d’exigences aux entreprises européennes. De plus, DOGANA est entièrement compatible avec le RGPD. «L’infrastructure est conçue pour offrir des services généraux d’évaluation de la vulnérabilité liée aux réseaux sociaux (SDVA) mais, parallèlement, des éléments spécifiques sont adaptés aux quatre domaines d’application des situations testées au cours de la phase d’essai (défense, gouvernement, transport et urgences)», explique Mme Giampaolo. «De plus, DOGANA a été conçu pour deux catégories d’utilisateurs finaux, comportant chacune ses propres limites et responsabilités: le testeur SDVA, responsable des tâches liées à la préparation et à l’exécution des évaluations SDVA; et le représentant de la société, qui peut accéder aux statistiques et aux rapports sur les résultats de l’exécution de l’évaluation SDVA.» DOGANA cible les entreprises dont les employés utilisent quotidiennement un ordinateur, en leur fournissant une solution qui les aide à surveiller le pourcentage d’employés qui se font piéger par les tentatives d’hameçonnage et, plus généralement, les attaques dites d’ingénierie sociale. «Nous allons aider ces sociétés à mettre en place des programmes de formation pour faire en sorte que leurs employés comprennent parfaitement comment éviter de se laisser tromper par des courriels qui peuvent sembler vraiment crédibles à un utilisateur inexpérimenté», déclare Mme Giampaolo. Les offres de marché axées autour de DOGANA incluront des services de conseil et de formation, et chaque membre du consortium fera la promotion de l’infrastructure auprès des réseaux et des partenaires pertinents.
Mots‑clés
DOGANA, réseaux sociaux, sécurité, dispositif personnel, données d’entreprise, évaluation de la vulnérabilité, infrastructure
