Le SANS Institute of Research a dévoilé les résultats d’une étude sponsorisée par RSA, la division sécurité de EMC, portant sur les menaces et la sécurité des centres d’assistance technique (Les help desks, ndlr datasecuritybreach.fr).
Les help desks sont le point d’entrée des employés pour la résolution des problèmes informatiques. Pourtant on constate que la sécurité informatique reste encore assez à améliorer ; les téléassistants étant mesurés à la rapidité de résolution des problèmes. Ainsi ces centres sont aujourd’hui une voie facile pour les hackers de mettre un pied dans l’entreprise. L’étude réalisée auprès de 900 professionnels de l’informatique dans le monde, tous secteurs confondus, souligne les menaces et le niveau de sécurité des centres d’assistance technique :
– Pour 69% des répondants, l’ingénierie sociale est le premier moyen pour les hackers d’entrer dans les entreprises via les help desks. L’ingénierie sociale étant une forme d’acquisition déloyale d’information : les informations basiques et accessibles à tous comme le nom, prénom et numéro d’employé sont souvent le seul moyen d’identifier les collaborateurs.
– Un tiers des professionnels interrogés atteste que la sécurité de leur help desk reste très faible.
– 43% ne prennent pas en compte le paramètre sécurité lorsqu’ils calculent le budget de leur help desk.
Data Security Breach rappelle qu’afin de prévenir les attaques, les entreprises doivent protéger leurs données tout en répondant aux attentes des employés et ainsi revoir la sécurité de leur help desk. Pour cela RSA recommande :
– L’automatisation et la mise en libre-service des options pour les questions courantes de l’utilisateur telles que la réinitialisation du mot de passe afin de réduire les erreurs et les vulnérabilités qui conduisent à des failles informatiques et le vol de données
– Des formations solides et continues du personnel pour apprendre à repérer et réagir à d’éventuelles attaques
– Des outils avancés qui permettent des méthodes d’authentification plus solides en utilisant des ressources de données dynamiques. (SANS Institut)