Cybercriminalité : développer ses propres réflexes de cybersécurité

À l’occasion de la 4^e édition des Rencontres de Génie, Bertrand Milot demandait à la salle : « Qui ici a déjà été confronté à de la cybercriminalité? » La réponse était stupéfiante : 78% de l’ensemble des participants répondait positivement. Devant ce constat, quels sont les principaux enjeux dont le monde professionnel du génie doit se préoccuper? Cet article en fera le tour, divisé sous 4 branches : l’ingénierie sociale, l’internet des objets, le fonctionnement de la cybercriminalité et les solutions que vous pouvez entreprendre.

L’ingénierie sociale (de l’anglais « social engineering ») consiste en une série de manipulations psychologique qu’une personne entreprend afin de vous extirper une information personnelle ou confidentielle. Un cas typique est l’hameçonnage, c’est-à-dire un courriel envoyé par une personne frauduleuse voulant se faire passer un organisme de confiance, comme par exemple votre banque. C’est d’ailleurs le type d’attaque le plus courant expérimenté par les personnes présentes dans la salle : 1 sur 2 en a été victime au cours de sa vie.

L’internet des objets (de l’anglais « Internet-of-Things - IoT ») est un concept créé suite à l’arrivée massive dans nos vies d’appareils connectés, que le présentateur appelle le : « Tout-partout-tout-le-temps-connecté ».

En effet, d’ici 2050, il est attendu que chaque être humain possède en moyenne 6 appareils connectés. La réalité est tout aussi problématique en entreprise où une caméra, une machine à café, un cellulaire ou tout autre type d’appareil connecté au réseau devient un point potentiel d’entrée. M. Milot le souligne brutalement : « Tout le monde veut une augmentation des IoT mais 90 % des experts s’entendent pour dire que cela engendrera des problèmes ».

Bertrand Milot lors de la 5^e édtion des Rencontres de génie - Photo Frédérique Ménard-Aubin 

Alors que dans les années 2000 les hackeurs étaient des personnes marginales, aujourd’hui la cybercriminalité est un réseau bien développé et mature, souligne M. Milot. À l’image des entreprises, les réseaux cybercriminels ont une hiérarchie bien définie, des indicateurs clés de performance et même un service similaire aux entreprises traditionnelles, le CAAS « Cyber crime-as-a-service ». Ceux-ci peuvent compter sur la démocratisation des petits appareils électroniques permettant d’intercepter des communications numériques et de les retransmettre grâce à un signal. Un exemple classique de cela est un petit dispositif Wi-Fi qui communique toutes les informations saisies via un clavier, le « key grabber ».

La première solution présentée durant la conférence est la réallocation des budgets. Alors qu’avant, les entreprises dépensaient 90 % de leurs budgets en sécurité dite « traditionnelle », il faut aujourd’hui plutôt ramener cette dépense à 50 %. L’autre 50 % sert à la « cybersécurité avancée » : détection de mouvements latéraux, cyber-intelligence et piégeage.

« Plutôt que de dépenser des milliers de dollars dans des antivirus, mieux vaut investir afin de former ses employés à devenir des agents fureteurs », mentionne-t-il. Une seconde avenue est la vérification de l’identité digitale, grâce au Hasso-Plattner-Institute.

Enfin, M. Milot conclut en suggérant d’utiliser une technologie de gestionnaire de mots de passe, comme KeePassX ou bien encore de chiffrer vos investissements dans l’infonuagique grâce à des compagnies comme BoxCryptor.