Aller au contenu
Avanet
Expérience - Pourquoi vous auriez mieux fait de ne pas brancher cette clé USB

Expérience - Pourquoi vous auriez mieux fait de ne pas brancher cette clé USB

31. MARS 2017

Qualifieriez-vous aujourd’hui votre entreprise de sûre et inattaquable face aux ransomwares et aux APT ?

Comme la plupart des lecteurs réguliers de ce blog le savent, 80 % de notre activité quotidienne tourne autour de la sécurité. Avec Avanet, nous misons depuis le départ sur les solutions de sécurité de Sophos et nous n’avons jamais regretté ce choix. Nous avons plaisir à accompagner des clients qui se préoccupent réellement de la sécurité de leur entreprise et qui, eux aussi, sont convaincus par les produits de Sophos.

Pour une campagne marketing en novembre 2016, nous avons délibérément choisi comme cible l’exact opposé de notre clientèle habituelle. Nous avons tenté de convaincre des dirigeants de l’importance de la sécurité, alors qu’ils ne s’étaient jamais vraiment posé la question ou qu’ils étaient persuadés que leur solution actuelle offrait une protection suffisante. Pour l’occasion, nous avons également abandonné, pour une fois, notre méthode habituelle de prospection : le marketing en ligne. Quel a été le résultat ? Rien de très réjouissant, ce qui nous a poussés à partager notre expérience avec vous. Notre opération marketing nous a montré, de manière assez inquiétante, qu’il faut beaucoup plus de sensibilisation autour du thème de la « sécurité en entreprise » et qu’il est aujourd’hui possible de pénétrer sans difficulté dans le réseau d’une société avec des moyens extrêmement simples. Voici donc toute l’histoire.

Contexte

Lorsque nous discutons, par curiosité, avec des clients potentiels et que nous nous informons, de manière très discrète, sur la façon dont ils abordent la sécurité IT, nous entendons pratiquement toujours la même réponse :

« Nous sommes suffisamment protégés et un tel incident ne risque de toute façon pas de nous arriver. Notre société est beaucoup trop petite et bien trop insignifiante pour un hacker. »

La réalité, c’est qu’on n’en est plus au petit hacker dans sa cave qui ne cible que les grandes entreprises. L’exemple des ransomwares montre clairement que toute personne disposant d’un ordinateur, d’Internet et d’une messagerie électronique est une cible potentielle. Lorsque nous attirons ensuite l’attention sur les dangers des pièces jointes aux e-mails, les dirigeants se disent absolument certains que leurs collaborateurs sont prudents et qu’ils ne feraient rien d’irréfléchi. Que répondre, à part : « Pourrions-nous le tester une fois ? » Il est évidemment très rare que quelqu’un donne son accord pour ce genre de test, et nous nous sommes donc posé, en préparant notre nouvelle campagne marketing, la question suivante :

« Comment convaincre de l’importance de la sécurité IT un client potentiel qui ne s’est jamais penché sur la question ou qui est persuadé d’être déjà suffisamment protégé ? »

Notre idée marketing et sa mise en œuvre

Lors de la planification de notre campagne, un point était essentiel pour nous : nous voulions rester « les gentils » et notre opération devait contribuer à une meilleure prise de conscience des menaces actuelles. Pour être vraiment efficace, il fallait aussi provoquer un peu de sueurs froides, afin de chasser l’idée « je suis en sécurité, il ne peut rien m’arriver ».

Nous avons donc fait livrer 100 clés USB, sur lesquelles nous avons copié à chaque fois un fichier HTML contenant le texte suivant.

Page d’atterrissage clé USB

Je tiens à souligner à ce stade que la clé ne contenait réellement qu’un fichier HTML inoffensif. Comme déjà mentionné, notre intention n’a jamais été de nuire à une entreprise. Nous avons ensuite placé la clé USB dans une enveloppe, avec pour seul contenu un post-it portant l’inscription :

« Comme convenu, les données du projet. Salutations + merci »

L’enveloppe n’indiquait que l’adresse du destinataire. Nous avons délibérément renoncé à toute mention d’expéditeur pour attiser la curiosité et augmenter la probabilité que la clé USB soit branchée.

J’ai maintenant trois questions pour vous :

  1. Qu’auriez-vous fait si un tel courrier avait atterri dans votre boîte aux lettres ?
  2. Comment vos collaborateurs se seraient-ils comportés ?
  3. Selon vous, combien de fois la clé USB a-t-elle été branchée ?

Gens en colère, menaces et police

Nous étions parfaitement conscients que cette opération était plutôt culottée. Les gens comprendraient-ils nos « bonnes intentions » et seraient-ils reconnaissants d’avoir été avertis à moindre frais, cette fois-ci ?

La réponse a été un « NON » catégorique. Cela s’est confirmé trois jours plus tard, lorsque nous avons appelé les destinataires pour nous renseigner au sujet de la clé USB. Sur environ 80 personnes joignables, je dirais qu’une petite poignée - environ 5 - a compris la démarche et nous a même félicités pour cette action marketing originale.

Le reste des personnes était furieux, nous considérait comme l’ennemi et menaçait d’engager des poursuites. Deux de nos clés USB ont même fini entre les mains de la police.

65 % de taux de branchement

Laissons de côté les émotions et concentrons-nous sur l’impact de notre campagne. Ce qui est frappant, c’est que 65 % de toutes les personnes que nous avons pu joindre par téléphone ont branché la clé USB dans leur entreprise ! Si l’on part du principe que tout le monde n’a pas forcément admis l’avoir fait, le taux réel est probablement encore plus élevé.

Cela signifie qu’au minimum 52 personnes ont mis en danger la sécurité de leur entreprise en branchant une clé USB sans savoir d’où elle provenait ni quels fichiers elle contenait.

Conclusion

Même si nous pouvons évidemment comprendre les réactions colériques de ces personnes, nous estimons qu’il n’y a pas de place ici pour l’ego. Il faut accepter qu’on s’est retrouvé vulnérable face à une bête clé USB tout à fait banale, avec une méthode digne des années 1990. Lors d’une telle attaque, même le meilleur pare-feu du monde n’aurait rien pu faire, puisque la clé a été, en quelque sorte, introduite en contournant les dispositifs de sécurité. L’être humain a été, au final, le plus grand facteur de risque, car sans lui, la clé USB n’aurait jamais atteint le réseau. Former correctement le personnel et le sensibiliser à ce type de menace est donc une composante essentielle de votre sécurité IT.

Notre campagne marketing a montré que chaque poste de travail d’une entreprise doit être équipé d’une protection endpoint. Aujourd’hui, seule une bonne protection endpoint reposant sur l’analyse comportementale, et non sur des signatures, fait réellement référence. Quiconque recherche un tel produit chez Sophos finit tôt ou tard par arriver à Sophos Central. En termes de socle de base, nous recommandons toujours le duo de choc Sophos Central Endpoint + Intercept X. Si vous souhaitez suivre notre recommandation, vous pouvez directement acheter Sophos Central Intercept X Advanced, qui contient les deux produits.

Même si nous n’avons pas remporté de nouveaux contrats grâce à cette campagne, elle n’a pas été totalement vaine à nos yeux. Nous sommes convaincus que, grâce à cette opération, certaines personnes agiront avec plus de prudence la prochaine fois et hésiteront avant de brancher une clé USB sur leur ordinateur.

David

David

David est responsable des contenus, de la structure et de la mise en oeuvre numerique chez Avanet. Il veille a rendre les sujets techniques complexes clairs, precis et optimises pour la recherche.