Expérience – Pourquoi il aurait mieux valu ne pas insérer cette clé USB
À l’heure des ransomwares et des ATP, qualifieriez-vous votre entreprise de sûre et inattaquable ?
Comme la plupart des lecteurs réguliers de ce blog le savent, notre activité quotidienne est axée à 80% sur la sécurité. Avec Avanet, nous avons misé dès le départ sur les solutions de sécurité de Sophos et nous n’avons jamais regretté ce choix jusqu’à présent. Nous aimons aider les clients qui s’intéressent à la sécurité de leur entreprise et qui sont également convaincus par les produits Sophos.
Pour une campagne de marketing en novembre 2016, nous avons choisi pour une fois l’inverse complet de nos clients comme cible. Nous avons essayé de convaincre des CEO de la sécurité qui n’y avaient jamais pensé ou qui étaient convaincus que la solution existante offrait une sécurité suffisante. Nous avons également renoncé pour une fois à notre méthode de marketing utilisée jusqu’à présent, le marketing en ligne. Ce qui en est ressorti ? Malheureusement, rien de réjouissant, c’est pourquoi nous avons décidé de partager notre expérience avec vous. Notre action marketing nous a montré de manière inquiétante qu’il faut tout simplement beaucoup plus d’informations dans le domaine de la « sécurité dans l’entreprise » et que même avec les moyens les plus simples, on pourrait s’introduire sans problème dans le réseau d’une entreprise. L’histoire complète est à lire ici.
Antécédents
Lorsque nous discutons avec des clients potentiels et que nous leur demandons discrètement ce qu’il en est de la sécurité informatique, nous entendons toujours la même réponse :
« Nous sommes suffisamment protégés et cela ne peut pas nous arriver de toute façon. Notre entreprise est bien trop petite et bien trop insignifiante pour un hacker ».
Le fait est qu’il ne s’agit plus depuis longtemps du petit hacker dans sa cave qui ne choisit comme cible que de grandes entreprises. L’histoire des chevaux de Troie de cryptage montre justement clairement que toute personne disposant d’un ordinateur, d’Internet et d’une messagerie électronique est une cible. Lorsque nous soulignons ensuite les dangers des pièces jointes aux e-mails, les PDG sont tout à fait sûrs que leurs collaborateurs sont prudents et ne feraient certainement rien d’inconsidéré. Que dire de plus, si ce n’est : « Pouvons-nous tester cela une fois ? Il est évident que personne ne veut donner son accord à cela et nous nous sommes donc posé la question suivante en vue de notre nouvelle campagne de marketing :
« Comment convaincre un client potentiel de la sécurité informatique s’il n’y a jamais pensé ou s’il pense qu’il est suffisamment protégé ? »
Notre idée marketing et comment nous l’avons mise en œuvre
Lors de la planification de notre campagne, une chose était très importante pour nous. Nous voulions être « les gentils » et notre action devait contribuer à attirer davantage l’attention sur les dangers actuels. Pour être le plus efficace possible, il fallait aussi une dose de sueur d’angoisse pour exorciser l’idée que « je suis en sécurité et qu’il ne peut rien m’arriver ».
Nous nous sommes donc fait livrer 100 clés USB sur chacune desquelles nous avons copié un fichier HTML avec le contenu suivant.
Je tiens à souligner une fois de plus que la clé ne contenait qu’un fichier HTML inoffensif. Comme je l’ai dit, nous n’avons jamais eu l’intention de nuire à une entreprise. Nous avons ensuite placé la clé USB dans une enveloppe, avec seulement un post-it portant l’inscription : « Je ne veux pas que les gens se sentent mal à l’aise :
« Comme convenu, les données du projet. Salutations + Merci »
La lettre portait uniquement l’adresse du destinataire. Nous avons délibérément renoncé à l’expéditeur afin d’accroître la curiosité chez les gens et d’augmenter la probabilité que la clé USB soit insérée.
Maintenant, j’ai trois questions à vous poser:
- Qu’auriez-vous fait si une telle lettre avait atterri dans votre boîte aux lettres ?
- Comment vos collaborateurs auraient-ils réagi ?
- Combien de fois pensez-vous que la clé USB a été insérée ?
Personnes en colère, menaces et police
Nous étions tout à fait conscients que cette action était assez audacieuse. Les gens comprendraient-ils nos « bonnes intentions » et seraient-ils reconnaissants de s’en être tirés à bon compte cette fois-ci ?
La réponse a été clairement « NON ». Cela s’est avéré trois jours plus tard, lorsque nous avons appelé les gens pour leur demander s’ils avaient une clé USB. Je dirais que sur 80 personnes atteintes, environ 5 avaient compris l’action et ont même fait l’éloge d’une action marketing originale.
Le reste de la population était en colère, nous considérait comme l’ennemi et nous menaçait de poursuites judiciaires. Deux de nos clés USB ont même fini à la police.
65% de taux d’insertion
Laissons de côté les émotions et concentrons-nous sur l’impact de notre campagne. Ce qui était effrayant, c’est que 65% des personnes qui ont pu être contactées par téléphone avaient branché la clé USB dans l’entreprise ! En supposant que tout le monde n’a pas avoué avoir inséré la clé, la moyenne serait encore plus élevée.
Cela signifie donc qu’au moins 52 personnes ont mis en danger la sécurité de leur entreprise en insérant une clé sans savoir de qui elle provenait et quels fichiers elle contenait.
Conclusion
Bien que nous comprenions bien sûr les réactions de colère de ces personnes, nous pensons que l’ego n’a pas sa place à cet endroit. Il faut reconnaître que dans cette situation, on est devenu vulnérable via une stupide et simple clé USB et qu’on s’est fait prendre avec une méthode de 1990. Face à une telle attaque, même le meilleur pare-feu du monde n’aurait rien pu faire, car la clé a quasiment passé le contrôle de sécurité en contrebande. En fin de compte, c’est l’homme qui représentait le plus grand danger, car sans lui, la clé USB n’aurait jamais pu accéder au réseau. Former suffisamment le personnel et attirer son attention sur de tels dangers est donc un élément important de votre sécurité informatique.
Notre action marketing a montré que dans une entreprise, une protection des terminaux doit être installée sur chaque client. Seule une bonne protection des systèmes d’extrémité, qui agit en fonction du comportement et ne mise pas sur les signatures, est la mesure de toute chose à l’heure actuelle. Celui qui cherche un tel produit chez Sophos atterrit tôt ou tard chez Sophos Central . Nous recommandons toujours le trio Sophos Central Endpoint + Intercept X comme équipement de base. Si vous souhaitez suivre notre recommandation, vous pouvez tout de suite Sophos Central Intercept X Advanced où les deux produits sont inclus.
Même si cette campagne ne nous a pas permis de gagner de nouveaux contrats, elle n’a pas été totalement inutile de notre point de vue. Nous sommes convaincus que grâce à cette action, quelques personnes agiront plus prudemment la prochaine fois et hésiteront avant d’insérer une clé USB dans leur ordinateur.