PC & Mobile

Le rôle du «facteur humain» dans la protection de l'information

Le rôle du «facteur humain» dans la protection de l'information

introduction

Tous les avocats ont diverses obligations éthiques (compétence, confidentialité et protection de la propriété du client) et légales (une multitude de lois fédérales et nationales) de protection des informations. (Chaque organisation a également l'obligation de protéger les informations, mais cet article a été rédigé à l'origine pour South Carolina Lawyers Weekly, j'ai donc adopté cette approche).

Nous sommes à une époque de grands potentiels technologiques "upside" (blockchains, intelligence artificielle, apprentissage automatique, big data, cloud computing, etc.) et "downside" (violations de données à grande échelle, espionnage national et attaques de ransomware ).

Étant donné que les technologies informatiques offrent apparemment beaucoup de promesses et de problèmes, il n’est pas surprenant que les avocats s’appuient sur ces technologies pour «résoudre» leurs problèmes de sécurité des informations.

Cependant, aucun produit ou service informatique ne protégera à lui seul les informations. En d’autres termes, des outils appropriés tels que pare-feu, chiffrement, logiciels anti-malware, etc. peuvent être utilisés. nécessaire, mais non suffisant. Personnes, processus, et La technologie est également un élément crucial d’un programme de sécurité efficace.

Et les incidents de sécurité sont le plus souvent le résultat de Humain Les échecs, et non pas les «échecs technologiques». Souvent, ces échecs résultent du «facteur humain» - «les instincts de curiosité et de confiance qui poussent des personnes bien intentionnées à cliquer, télécharger, installer, transférer des fonds, etc., tous les jours».[1] Apprendre à reconnaître où le «facteur humain» peut être exploité est un élément important de la création et de l’efficacité d’un programme de sécurité pour les cabinets d’avocats.

Le défi: la nécessité de s’attaquer aux défauts d’ordinateur et aux défauts humains

Ordinateurs et réseaux: (sécurité non incluse par défaut).

Commencez avec trois points fondamentaux nécessaires:

  • Les internets et les ordinateurs n’ont pas été conçus dans un souci de sécurité. Les réseaux et les périphériques ne sont pas sécurisés par défaut lorsque vous les sortez de la boîte, que vous les connectez ou les activez.
  • La plupart, sinon la totalité, des affaires se font maintenant par le biais de la technologie numérique et des communications électroniques;
  • Toutes les transactions commerciales sont vulnérables à de nombreuses menaces. [2]

En clair, nous travaillons exclusivement dans nos boîtes de réception et en ligne, c’est donc là que nous pouvons nous attendre aux menaces. Et nos technologies ne pourront pas répondre aux menaces sans que des personnes sécurisent nos ordinateurs et nos réseaux et les utilisent en toute sécurité.

L'Humain par défaut: sujet à la distraction

Nous nous considérons tous comme des décideurs «rationnels», ce qui signifie que nous suivons un processus objectif lorsque nous faisons des choix. Un modèle pour ce processus, utilisé par les pilotes de chasse et autres, est le «OODA», ou Observe → Orient → Décider → Act.[3]

De Wikipedia

Pour ce court article, mettez l’accent sur l’importance de «décider» comme étape rationnelle du processus («Je sais que c’est la bonne chose à faire».). L'ingénierie sociale (généralement l'utilisation de la tromperie pour convaincre les gens de divulguer des informations confidentielles) utilise plusieurs tactiques pour supprimer l'étape de «décision» et nous empêcher d'agir intentionnellement.

Prenons un exemple familier pour les avocats: le programme BEC (Business Email Compromise), destiné aux entreprises qui effectuent régulièrement des paiements par virement électronique. Les virements électroniques font partie intégrante des fermetures de biens immobiliers effectuées par des avocats. Comme décrit ci-dessus, les communications électroniques sont le mode de fonctionnement des affaires. L'escroquerie BEC est juste un autre jeu de confiance, où les mauvais acteurs convainquent les humains soit 1) de cliqueter sur des liens ou des pièces jointes défectueux (permettant à l'acteur mauvais d'installer des logiciels malveillants sur le système informatique de l'entreprise, ou 2) de croire à tort que l'expéditeur d'un e-mail joindre des instructions de câblage ou rechercher des informations constitue une demande légitime et autorisée.

La technologie fait partie du stratagème, mais l’escroquerie ne peut réussir sans l’aide humaine.

Et l'arnaque BEC fonctionne. En 2018, le Centre de traitement des plaintes relatives à la criminalité sur Internet (IC3) du FBI a reçu 20 373 plaintes BEC / EAC avec des pertes ajustées de plus de 1,2 milliard de dollars.[4] Ces chiffres, mis en contexte, représentent une augmentation de 29% du nombre de plaintes et une augmentation de 77% des pertes ajustées, par rapport aux chiffres de 2017 de la IC3.

Examinez comment les tactiques d'ingénierie sociale s'appliquent aux systèmes BEC:

• Transmettre l’urgence (“J'ai besoin de ce virement exécuté maintenant.”)

• faire appel à l’autorité (“Cela signifierait beaucoup pour l'entreprise si vous pouviez nous aider ici.”)

• Imiter des marques de confiance (“Cela ressemble à un message du cabinet d’avocats traitant de cette fermeture.”)

• Veiller sur notre curiosité naturelle (“Ce pourrait être un paiement à l'entreprise.”)

• Tirer parti des réponses conditionnées aux événements fréquents (“Je clique consciencieusement sur la mise à jour du logiciel, je vais donc simplement le faire ici.”)

L'ingénierie sociale réussit parce que les gens peuvent être distraits de suivre des processus importants. Et même lorsque l'ingénierie sociale n'est pas impliquée, les erreurs humaines de configuration et de maintenance des technologies informatiques (par exemple, être distrait de l'exécution des mises à jour) créent des vulnérabilités.

Nous avons donc besoin d'outils supplémentaires (formation à la sensibilisation, politiques à suivre) pour nous orienter de manière à toujours exécuter la partie «décider» du processus.

Exploiter les valeurs par défaut

Considérez les effets d'une erreur humaine sur les incidents d'atteinte à la sécurité:

  • Anthem, Inc. (données personnelles de plus de 78 millions d'individus): “
Show More

SupportIvy

SupportIvy.com : Un lieu pour partager le savoir et mieux comprendre le monde. Meilleure plate-forme de support gratuit pour vous, Documentation &Tutoriels par les experts.

Related Articles

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Close
Close