Si la plupart des entreprises technologiques testent et évaluent les faiblesses techniques de leurs systèmes pour en repérer les failles informatiques éventuelles, « elles devraient également prendre plus sérieusement en compte l'hypothèse d'une attaque physique. » C'est ce que pensent en effet Rafal Los, évangéliste sécurité de Hewlett-Packard, et Shane MacDougall, associé principal du cabinet de conseil en sécurité Tactical Intelligence, lesquels ont donné une conférence commune pendant la Black Hat Europe d'Amsterdam.

Plutôt que de se mettre dans le rôle du gentil pirate qui traque les méchants, les « white hat hackers », c'est-à-dire ceux qui prône la divulgation des failles plutôt que leur exploitation, les testeurs en intrusion feraient bien d'enfiler les vrais habits de l'attaquant afin de considérer d'autres menaces, peut-être un peu négligées, en mettant à profit un outil de modélisation des menaces conventionnelles. « Les individus peuvent être assez imprévisibles, sauf si l'on essaye de les comprendre», a expliqué Rafal Los, pour qui « les salariés sont souvent le maillon faible, quand il s'agit de sécurisation des réseaux et des applications.

Attention aux épanchements dans les bars

Pour Shane MacDougall, il y a plusieurs façons de mettre en défaut la sécurité. « Si le personnel du département informatique se retrouve dans un bar, rien ne dit qu'un attaquant potentiel ne va pas se joindre à eux, » a-t-il fait valoir. Selon lui, « ils peuvent par exemple utiliser les médias sociaux pour surveiller les déplacements de leurs « amis» en temps réel. » L'attaquant potentiel peut payer à l'équipe quelques coups à boire, jusqu'à la mettre dans un état d'ébriété suffisant, et attendre le bon moment pour mettre son projet à exécution. « Par exemple, dans la nuit suivante, il peut planifier une attaque sur le réseau de l'entreprise visée, et profiter du défaut de vigilance de l'équipe, estimant qu'elle mettra plus de temps à contrer son action, » a-t-il expliqué.

Selon les chercheurs, d'autres méthodes peuvent être utilisées pour compromettre la sécurité d'une entreprise, comme le chantage, la corruption, le guet-apens sexuel ou encore l'addiction au jeu. Par ailleurs, les attaquants pourraient cibler les espaces privés de certains dirigeants ou procéder à ce qu'on appelle des attaques d'ingénierie sociale pour cibler les employés. « Les salariés mécontents sont vraiment faciles à trouver, » a affirmé l'évangéliste de HP. Mais, toujours selon lui, des salariés dévoués pourraient également être utilisés pour recueillir des informations sur l'entreprise, l'attaquant se faisant passer pour un client ou un fournisseur.

Hiérarchiser les menaces et les cibles potentielles

Pour tester ces faiblesses, Rafal Los et Shane MacDougall conseillent de dresser, sur un tableau blanc, la liste de toutes ces failles possibles, aussi bien physiques que techniques. Puis, selon eux, des testeurs en sécurité devraient hiérarchiser les cibles selon leur importance, par exemple les employés qui touchent des salaires élevés, ou des biens qui ont une valeur importante, sans oublier les plus hauts cadres dirigeants et le personnel de sécurité, mais aussi les personnels de vente, les vendeurs et le personnel affecté au support technique. Selon eux, « tous représentent un accès potentiel à l'entreprise ou sont susceptibles de livrer des informations sur les accès possibles. »