/medias/image/13596903275d1f1a62ce717.jpg
Retour aux actualités
Article suivant Article précédent

Flash DCRI : Ingénierie Sociale

Information

-

29/03/2013

Flash de la DCRI (Direction Centrale du Renseignement Intérieur)

Ce « flash » de l’ingérence économique relate un fait dont une entreprise française a récemment été victime.

Par mesure de discrétion, le récit ne comporte aucune mention permettant d’identifier l’entreprise visée.

Démarches d'ingénierie sociale : une vigilance permanente

Fin 2012 et début 2013, la DCRI a eu connaissance de plusieurs tentatives de recueil de renseignement économique par des moyens détournés (« ingénierie sociale ») au préjudice d’entreprises françaises. Ces faits rendent nécessaire une communication aux fins de sensibilisation.
A cette fin, vous trouverez ci-dessous trois cas récents commentés : un cas de manoeuvre d’ingénierie sociale réussie, un cas réussi où la société a procédé tardivement aux vérifications, enfin un cas mis en échec.

Cas n° 1 : un libre accès aux locaux sous couvert de maintenance informatique…
Fin 2012, un individu s’est présenté au siège d’une société d’équipement de télécommunication. Prétextant appartenir à un des sites de province de cette société et disant intervenir pour des opérations de maintenance informatique, il s’est fait ouvrir l’accès aux locaux par le personnel de ménage dont il a gagné la confiance en évoquant le nom d’employés.
L’intéressé a subtilisé cinq ordinateurs portables appartenant à la direction Marketing, au service Grands comptes, et au Contrôle de gestion.
Ces faits inquiètent la société, d’autant que le directeur de l’une des entités s’est fait dérober son PC un mois plus tôt pendant une pause déjeuner et que le responsable d’une autre entité s’est fait dérober le sien un mois plus tard à son domicile.
L’absence de fonction de « directeur Sûreté » dans cette société n’a pas facilité le rapprochement immédiat de ces affaires.

Cas n° 2 : un audit imprévu par un personnage convaincant…
Une société française commercialisant ses produits à l’étranger a reçu début 2013 la visite impromptue d'un auditeur disant appartenir à une administration de ce pays.
Cet audit faisant parti des formalités nécessaires pour accéder à ce marché, la société s’est toutefois émue de ne pas avoir été prévenue de la concrétisation de la démarche. Mais l’assurance de l’auditeur, sa fermeté et son charisme ont convaincu l’entreprise de lui ouvrir ses portes. Il a pu travailler librement une journée entière sur le système informatique de la société et accéder à toutes ses informations.
Par la suite, l’entreprise s’est renseignée : un audit est bien programmé… mais fin 2013.

Cas n° 3 : contrôle inopiné des extincteurs dans une société de service …
Récemment, un individu s'est présenté à la grille de l'établissement prétendant intervenir pour vérifier les extincteurs du site. Passé ce premier filtrage, l'inconnu a fait l'objet d'un second contrôle à l’accueil. Il a alors déclaré être l’employé d'une société spécialisée dans la protection incendie, sans pour autant pouvoir présenter de carte professionnelle.
Alerté, le responsable sûreté est intervenu et lui a demandé des explications sur le motif exact de sa mission, en précisant que son établissement n'avait pas de contrat avec sa société.
Avec un certain aplomb, l'individu a expliqué que sa société agissait comme sous-traitant et que ses dirigeants avaient dû oublier de l'informer. Le responsable Sûreté a néanmoins refusé l'accès à l'intrus en prétextant l'heure tardive et la grande quantité d'extincteurs à vérifier.
Se rendant compte qu'il ne pourrait rentrer dans les locaux, l'individu a fourni, avant de quitter les lieux, les coordonnées téléphoniques de son responsable qui, après vérifications, se sont révélées fausses.

Commentaires
Ces techniques nous montrent que la sécurité d’une société repose sur l’implication de tous. Une bonne sensibilisation du personnel permettra d’augmenter le degré de vigilance et d’empêcher bon nombres de faits, qui ne réussissent que grâce à l’assurance de son auteur.
Classiques, ces techniques relèvent de manoeuvres d’ingénierie sociale : persuader quelqu’un de faire quelque chose, le faire parler, en usant de naïveté, d’assurance, de mensonge, de cupidité, de crédulité, de flatterie, etc., verbalement ou via des emails, fax et autres sondages, questionnaires, concours, etc.

Dans le premier cas, le « bagou » du visiteur lui a permis d’obtenir la confiance du personnel (exploitation de la naïveté, absence de consignes). L’absence de remise de badge et de fonction de « responsable sûreté » ne peuvent que plaider pour la répétition de ces faits.
Dans le deuxième cas, la société a eu le bon réflexe, mais un peu tardivement. Il ne sert à rien d’avoir une politique stricte de sécurité (portes blindées, prise en charge des visiteurs à l’accueil, clause de confidentialité pour employés et stagiaires…) si l’entreprise fait entrer elle-même « le loup dans la bergerie ». L’absence d’annonce de sa venue, auraient dû dissuader l’entreprise de lui ouvrir ses portes.
Dans le troisième cas, la politique sécuritaire de l’entreprise a permis de contrarier le scénario mis en place par le faux prestataire de service. Il faut saluer le fait qu’un personnel a eu le réflexe de référer de cette visite impromptue au directeur Sûreté.
Cet événement met en relief le rôle de ce responsable et rappelle que la sécurité de l’entreprise ne peut reposer sur ses seules épaules, mais bien sur la vigilance de l’ensemble des salariés, et de leurs remontées d’informations vers ce dernier.

Pour rappel, la fonction de « responsable sûreté » n’est pas réservée aux seuls grands groupes. Toutes les PME françaises sont vivement invitées à se doter d’un « référent » sûreté, afin que soient définies les procédures relatives à la sécurité et convergent vers lui les indices de manoeuvres de concurrence déloyale (dont l’ingénierie sociale) : vols de PC portables, curiosité déplacée de visiteurs, tentatives
de vols d’échantillon, stagiaire surpris seul un soir dans un service qui n’est pas le sien, etc.


Pour plus d'informations, vous pouvez contacter la DCRI sur securite-economique@interieur.gouv.fr

Découvrez les autres flash DGSI en cliquant ici
 

1433 vues Visites

J'aime

Commentaires0

Veuillez vous connecter pour lire ou ajouter un commentaire

Articles suggérés

Information

Grâce à votre cotisation, aidez les étudiants à financer leurs études

User profile picture

Chan-Thaï LAM

29 août

Information

Liste de soutien : magazine 50 ans de Polytech Lille

User profile picture

Chan-Thaï LAM

01 juillet

Information

Venez tester la navette autonome sur le campus Cité scientifique

User profile picture

Chan-Thaï LAM

06 mars