Étude de cas
Le téléphone mobile du dirigeant représente un angle mort critique en matière de protection organisationnelle. Plus qu'un simple appareil, c'est un dossier de renseignement vivant sur l'entreprise qui peut devenir une arme redoutable pour les auteurs de menace.
Le Centre canadien pour la cybersécurité rappelle que les appareils mobiles sont devenus des composantes clés des organisations et qu'ils peuvent accroître le risque de compromission de l'information sensible. Mais le problème ne se limite pas à la cybersécurité. Dans une perspective d'espionnage corporatif, un téléphone mobile corporatif révèle comment l'entreprise fonctionne.
Pour un auteur de menace, le téléphone mobile n'est pas seulement un appareil. C'est un dossier de renseignement vivant sur l'entreprise. À ce titre, il peut devenir une véritable carte d'approche pour préparer les meilleures attaques d'ingénierie sociale.
Un poste d'observation miniature
Contrairement aux appareils de bureaux traditionnels, les téléphones portables sont très dynamiques. Des mises à jour non appliquées, des données préservées sur des applications supprimées, ou des applications non autorisées peuvent faire partie de l'écosystème que renferme l'appareil portable, compliquant leur protection.
Pour un auteur de menace, le téléphone mobile est un poste d'observation miniature. Il peut révéler :
- les déplacements ;
- les horaires ;
- les contacts ;
- les habitudes de communication ;
- les réunions ;
- la structure informelle de l'entreprise.
Pris isolément, chacun de ces éléments peut sembler banal. Mais le recoupement de ces informations permet de comprendre l'organisation dans son ensemble. C'est d'ailleurs la méthode utilisée par les analystes de renseignement des forces policières.
C'est particulièrement important lorsque des applications personnelles ou sociales sont installées sur des appareils utilisés dans un contexte professionnel, ou lorsqu'un appareil personnel sert aussi à accéder à des informations corporatives.
Voler un fichier, ou comprendre l'organisation ?
Dans une logique d'espionnage corporatif, l'objectif n'est pas toujours de voler un fichier ou de saisir les systèmes contre rançon. L'objectif peut être de comprendre une organisation, pour mieux en tirer profit plus tard.
Comprendre qui sont les personnes influentes. Comprendre quelles relations comptent. Comprendre quelles sont les parties prenantes d'un projet. Comprendre quels comportements peuvent servir à tendre un piège.
Un organigramme officiel indique les postes. Un téléphone mobile peut révéler l'organigramme social. Pour un adversaire, cette information peut être plus utile qu'un bon de commande ou une facture d'un client. Parce qu'une attaque efficace ne repose pas toujours sur la force technique. Elle vise très souvent les faiblesses humaines et les processus déficients.
L'humain demeure la meilleure porte d'entrée
L'être humain est souvent la meilleure porte d'entrée vers l'entreprise. Le téléphone mobile permet de comprendre ses habitudes, ses vulnérabilités, ses routines, ses contacts, ses déplacements et parfois ses tensions personnelles ou professionnelles.
L'objectif est d'approcher la bonne personne avec la bonne information au bon moment. C'est précisément ce qui rend les appareils mobiles si sensibles. Ils rapprochent l'adversaire de l'humain.
Ces informations peuvent ensuite être utilisées dans une attaque d'ingénierie sociale, une fraude au président, une usurpation d'identité, une approche ciblée ou une tentative d'influence.
Les menaces persistantes : rester dans l'ombre pour mieux exploiter
Les attaques les plus préoccupantes peuvent demeurer invisibles pendant de longues périodes. Dans plusieurs contextes, les auteurs de menace ne cherchent pas à causer un dommage immédiat. Ils cherchent plutôt à demeurer présents, discrets et difficiles à détecter le plus longtemps possible. C'est la logique des menaces persistantes avancées, souvent désignées par l'expression anglaise Advanced Persistent Threats ou APT.
L'objectif n'est pas seulement d'entrer. L'objectif est de rester. Et d'exploiter au bon moment.
Dans un contexte d'espionnage industriel, cette logique est particulièrement préoccupante. Un adversaire qui demeure tapi dans l'ombre peut recueillir une grande masse de données, pour attaquer un plus grand nombre de cibles : les clients de l'entreprise, les fournisseurs et même les employés.
Les outils existent, mais la décision appartient à la direction
Les outils de gestion existent. Mais l'enjeu principal pour la direction n'est pas de connaître tous les acronymes ni de maîtriser le vocabulaire technique des solutions de mobilité.
L'enjeu est de décider ce que l'entreprise accepte de laisser circuler, se synchroniser, se stocker, se partager et se collecter sur des appareils mobiles. C'est la gestion du risque à sa plus basse expression. Il s'agit donc de questions de gouvernance et de tolérance au risque.
BYOD : la zone grise exploitable
Une entreprise qui permet l'accès aux données corporatives à partir d'appareils personnels doit savoir, avant l'incident, ce qu'elle peut faire, ce qu'elle ne peut pas faire, ce qu'elle peut vérifier et comment elle peut intervenir.
Sous l'angle de l'espionnage corporatif, le BYOD crée une zone grise entre la protection de l'entreprise et la vie privée. Cette zone grise peut ralentir l'intervention, compliquer l'analyse et offrir à un auteur de menace une fenêtre d'exploitation.
Si l'entreprise ne sait pas ce qu'elle peut faire avec un appareil personnel compromis ou suspect, l'adversaire bénéficie déjà d'un avantage.
Les questions que la direction devrait poser
Les organisations n'ont pas besoin de transformer chaque téléphone en dossier de sécurité complexe. Mais elles doivent savoir quels appareils, quels employés et quels accès représentent une valeur informationnelle élevée.
Avant l'incident, la direction devrait se poser certaines questions simples :
- Quels employés détiennent une valeur informationnelle élevée ?
- Quels appareils donnent accès à des renseignements stratégiques ?
Ces questions ne sont pas théoriques. Elles déterminent la capacité réelle de l'entreprise à réduire ce qu'un adversaire peut apprendre, exploiter ou manipuler.