Archives du mot-clé information

Journée Francophone de la sécurité


Le 3 Avril 2012, c’est tenu aux salons de la Rose-croix, le GS Day « Journée Francophone de la sécurité » qui avait pour thème convaincre sans contraindre » organisé par Marc Jacob de GS Day.

La journée a commencé par une pièce de théâtre de 45 mn basée sur un cas réel, illustrant ainsi les différents faits, enjeux, comportements, rencontrés par les protagonistes, qu’ils soient victimes ou agresseur.

Une bonne préparation :

L’apparence de la vérité est l’élément clé d’un détournement de fonds réussi. Pour qu’une opération de détournement soit réussie, les agresseurs doivent acquérir une connaissance très fines des procédures et des intervenants dans les procédures comptables, financières et informatiques de leurs victimes.

Cela suppose avoir identifié le maillon faible, acquis une bonne connaissance des procédures, du top management de l’entreprise, de points d’entrées informatiques, téléphoniques afin que le mensonge ait l’apparence de la vérité.

Identifier le maillon faible de la structure

Première étape de l’opération, le maillon faible est avant tout la victime principale. Isolée physiquement, géographiquement ou hiérarchiquement, les trois cas pouvant se cumuler, l’individu pris pour cible détient un pouvoir que les agresseurs veulent, en général un pouvoir de signature auprès d’instances financières. L’entreprise quand à elle se sent protégée par ses procédures, ses contrôles et les contrôles réalisés par ses partenaires.

Les agresseurs vont donc soumettre leur victime a un stress important, voire à du harcèlement psychologique afin d’obtenir de celle-ci son adhésion. Elle  finira par céder, pour ne plus être soumise à cette pression, elle endormira son sens critique et réalisera alors  les opérations demandées.

Compter sur l’inertie de la structure

Toute les structures présentent des forces de résistances et d’inertie. L’une des forces les plus importantes est la forte tendance des entreprises à être dans la non prise de décision qui se manifeste par l’ouverture des parapluies à la moindre difficulté. Pour reprendre un des propos tenus par l’un des acteurs« On ne vas pas faire sauter le conseil d’administration pour la perte dans la nature d’un ou deux millions d’euro»…

Une fois le lièvre soulevé et passée la « mauvaise » surprise, le principe de réalité reprend le dessus. Une fois la volonté de mettre en place des « enquêtes et audits » afin d’établir les points faibles de la structure et de l’organisation, éventuellement pointer les responsabilités. Bien vite cependant l’entreprise souhaite opérer un calcul coûts / bénéfices entre les risques qu’une nouvelle opération utilisant les mêmes modes opératoires et les investissements et réformes à mettre en œuvre pour sécuriser l’entreprise.

Conclusion de la présentation :

Avant de fantasmer sur l’ingénierie sociale, des opérations simples comme l’identification des points faibles matériels, comme la faiblesse des mots de passes et des procédures peuvent être menées. Ne plus voir la sécurité comme un centre de coûts mais un levier potentiel de bénéfices. De même avoir un œil sur ses sites internet, notamment les plus anciens qui offrent souvent de failles techniques criante notamment quand ils sont confiés à des opérateurs extérieurs. Et bien plus encore quand ils stockent des données sensibles.