Affichage des résultats du sondage: Cela justifie-t-il la nécessité de surveiller les employés ?

Votants
13. Vous ne pouvez pas participer à ce sondage.
  • Oui, mais une surveillance encadrée et sans violer la vie privée

    3 23,08%
  • Non, ça ne pourra pas résoudre le problème

    8 61,54%
  • Autre avis (à préciser)

    2 15,38%
  • Pas d'avis

    0 0%
+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités
    Avatar de Michael Guilloux
    Homme Profil pro
    Consultant
    Inscrit en
    juillet 2013
    Messages
    1 327
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 26
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2013
    Messages : 1 327
    Points : 36 220
    Points
    36 220
    Billets dans le blog
    2

    Par défaut Des hackers recrutent des employés d’entreprise sur le dark web pour faciliter leurs attaques et fraudes

    Des hackers recrutent des employés d’entreprise sur le dark web pour faciliter leurs attaques et fraudes
    Faut-il donc surveiller ses employés ?

    De nombreuses études ont montré que les employés sont le maillon faible dans le corridor de sécurité que les entreprises essaient de bâtir pour se prémunir des cyberattaques. Ils sont les premiers à mettre en péril la sécurité de l’entreprise par leurs actions maladroites ou malveillantes. La plupart du temps, ce sont des personnes qui par ignorance ou par négligence mordent à l’hameçon dans des campagnes de phishing, d’ingénierie sociale ou en cliquant sur les liens suspects susceptibles de télécharger des malwares sur leur machine et d'infecter le réseau de l’entreprise.

    Face à ce problème, on a des hackers qui sont en quête permanente de techniques pour rendre leurs campagnes malveillantes plus rentables. Plutôt qu’essayer de piéger un employé pour infiltrer le réseau de son entreprise, ils veulent donc maintenant une collaboration franche et explicite avec des individus dans l’entreprise ; de quoi rendre les services informatiques plus inquiets : la menace peut venir de l’intérieur et de n’importe qui.

    Les chercheurs des firmes de sécurité RedOwl et IntSights ont en effet remarqué une activité croissante des dealers du dark web qui tentent de recruter des employés d'entreprise pour les aider à mener leurs attaques, pour des opérations d'initiés et faire des achats avec des numéros de carte de crédit volés.

    Les chercheurs ont surveillé secrètement l'activité du dark web pour suivre la quantité d’annonces sur les forums de cybercriminalité qui visaient à recruter des employés d’entreprise dans l’un de ces buts. Au cours des deux dernières années, ils ont remarqué environ 1000 références, avec un pic survenu au cours des derniers mois de 2016.


    L’une des pratiques de ces recruteurs est de fournir aux employés d’entreprise intéressés les outils et connaissances nécessaires pour qu’ils puissent les aider à voler des données et à commettre la fraude, entre autres actes ; mais aussi pour couvrir toutes les pistes.

    Dans un cas, un pirate a sollicité des employés de banque pour installer des logiciels malveillants directement sur le réseau de leur entreprise. Comme l’expliquent les chercheurs, « cette approche réduit considérablement le coût de l'action, car le hacker ne doit pas effectuer d'exercices de phishing et peut augmenter les taux de réussite en contournant plusieurs des défenses techniques de l'organisation (par exemple, antivirus ou sandboxing). »

    Dans une annonce, le hacker indique clairement que la position de l'employé dans une banque n'a pas d'importance tant qu'il a accès à l'ordinateur de la banque. Sur le forum, l’attaquant explique l'approche à un individu qui semblait vouloir collaborer, en indiquant qu'il a juste besoin d'un accès direct aux ordinateurs qui accèdent aux comptes et gèrent les virements. En retour, il promet une commission à « 7 chiffres par semaine » pour continuer à avoir accès aux ordinateurs de la banque. Ci-dessous, la conversation entre le hacker (pseudo en rouge) et l’employé qui compte l’aider à voler son entreprise.


    Comme autres deals rentables sur le dark web, les chercheurs révèlent que certains employés sont recrutés pour commettre des délits d’initié. Pour information, un initié est une personne qui détient une information privilégiée du fait de sa profession ou de sa fonction. Classé comme étant une infraction pénale, le délit d'initié est constitué dès lors que sont réalisées, directement ou indirectement, des opérations boursières qui utilisent ces informations privilégiées. Les informations vendues par ces initiés ont permis aux acheteurs d’avoir un avantage sur les marchés boursiers. D’après un site du dark web qui a aidé ses membres à se livrer à cette activité illicite, certains d’entre eux se font plus de 5000 USD par mois en utilisant ces informations privilégiées.

    Le secteur de la vente au détail est également touché par cette menace. Des hackers y recrutent aussi des employés pour les aider à faire des achats avec des numéros de cartes de crédit volés.

    D’après les chercheurs et bien d’autres firmes de sécurité, les entreprises doivent donc prendre au sérieux la menace de l'initié, en utilisant les systèmes de sécurité informatique pour surveiller attentivement les employés pour les comportements indésirables sans toutefois violer leur vie privée. Il est également recommandé de limiter le plus possible les accès accordés aux employés.

    Source : Rapport de RedOwl et IntSights

    Et vous ?

    Qu’en pensez-vous ?
    Avez-vous déjà vécu des situations similaires dans votre entreprise ? Partagez votre expérience.
    Quelles solutions pour se protéger contre ce genre de menace venant de l’intérieur ?
    Les entreprises doivent-elles surveiller leurs employés ?

    Voir aussi :

    Ripper.cc, un service visant à réduire la fraude entre les cybercriminels, un phénomène qui limite la rentabilité de leurs campagnes malveillantes
    Cdlt!
    M.K

  2. #2
    Membre émérite
    Profil pro
    Inscrit en
    janvier 2010
    Messages
    759
    Détails du profil
    Informations personnelles :
    Localisation : Suisse

    Informations forums :
    Inscription : janvier 2010
    Messages : 759
    Points : 2 724
    Points
    2 724

    Par défaut

    Les entreprises doivent-elles surveiller leurs employés ???? Ben en voilà une bonne question, bien "politiquement incorrecte"!!!

    Parce que, disons le tout de suite, dans la majorité des pays occidentaux, la surveillance de ses employés est tout simplement interdite ou fortement limitée par la loi!!! Et le patron qui oserait le faire risque très gros!


    Passé ce problème juridique, la réponse au "surveille/surveille pas?" dépend bien évidemment du domaine d'activité: La nécessité d'une surveillance n'est pas la même si on a une entreprise qui vend des pots de peinture ou une société qui développe les logiciels de conduite des missiles de l'OTAN

  3. #3
    Membre averti
    Profil pro
    Inscrit en
    mai 2011
    Messages
    176
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mai 2011
    Messages : 176
    Points : 381
    Points
    381

    Par défaut

    T'es sure de ce que tu dis. Parce que en Angletterre (pays du camera dispose partout et me sureveiller par n'importe qui) c'est leur mentalite de surveiller tout le monde. Au Etats Unis c'est bientot la norme pour toutes les situations.
    En France, chaque entreprise pour lequel j'ai travaille suveillait ce que je faisais. Tous les patrons etaient paranaux.

    Quand tu dois demander a un sys-admin d'installer un pauvre logiciel. Je peux te de dire , tu te fais un ennemi. Mes mails et ma consomation de debit etaient suveiller. Dans les petite entreprises, ils ne peuvent pas suveiller tout mais des qu'ils pouvaient ils le faisaient. Dans les grandes entreprises, ils sont noyes dans les donnees et ne peuvent pas tous surveiller par contre ils ont des traces (je me rapelle encore du cas Societe General ou le gars avaient ete le bouc-emissaire). Quand PME, ils te detectent tout de suite.

    En plus, tu regarderas, le marche du software mais la France est champion dans la Software Tracking. On est espcialiste dans tous ce qui est tracking d'employe, de donnees, d'utilisateur. Au lieu de creer le camion volant de demain (on se fait chier a faire du tracking). Tu regarderas les articles ou la France est pointe du doigt pour vendre ces solutions a des regime totalitaire. Quand tu regarde la carte du monde, les pays avec une forte tolerance de liberte diminuent dans le temps et represente pas grand chose.

    Mais je tiens aussi a preceiser que c'est a juste titre. Tous les employes que j'ai croise dans ma vie ne faisaient pas la difference entre le bien et le mal, entre le copyright, copyleft, MIT licence, ... On oublie aussi qu'on est dans le pays ou le Telechargement est banal et dans les moeurs. Je vois toujours des gens faire des copient de ce qu'ils devraient pas.

    Et un truc simple, personne ne respect la loi en France.

  4. #4
    Membre émérite
    Profil pro
    Inscrit en
    janvier 2010
    Messages
    759
    Détails du profil
    Informations personnelles :
    Localisation : Suisse

    Informations forums :
    Inscription : janvier 2010
    Messages : 759
    Points : 2 724
    Points
    2 724

    Par défaut

    Citation Envoyé par koyosama Voir le message
    T'es sure de ce que tu dis. Parce que en Angletterre (pays du camera dispose partout et me sureveiller par n'importe qui) c'est leur mentalite de surveiller tout le monde. Au Etats Unis c'est bientot la norme pour toutes les situations.
    En France, chaque entreprise pour lequel j'ai travaille suveillait ce que je faisais. Tous les patrons etaient paranaux.
    Oui Monsieur, je suis sûr de ce que j'avance!!! Un patron ne peut pas mettre sous surveillance ses employés sans répondre à toute une série de réglementations dont en autre "avertir son personnel qu'il est surveillé".

    Mais effectivement, bons nombres de patrons se "foutent royalement" de la loi sur le travail. Tant qu'il n'y a pas un salarié pour se plaindre officiellement de la situation, il n'y a aucune raison que le "patron voyou" se gène...

  5. #5
    Membre averti
    Profil pro
    Inscrit en
    mai 2011
    Messages
    176
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mai 2011
    Messages : 176
    Points : 381
    Points
    381

    Par défaut

    Avertir le salarie. Partout ou je vais, je lis mon contrat. C'est marque en gros ,en gras, dans toutes les langues locales : Tu es surveiller, tu ne peux pas installer tel ou tel software. Devine quoi, ils ont un trou de memoire, ils ont jamais lu ce qu'ils ont signe.

    Le probleme de vivre en societe, c'est qu'on a un systeme de partage de blacklist. Donc aucune personne ne va au tribunal car c'est long, complique et peu de chance de retrouver un boulot apres ou pendant. En plus, la CNIL sert a rien. On est quand meme un pays ferme dans les moeurs (en general, pas que l'IT), donc surveiller la masse est devenu normal dans les entreprises. Juste le fait qu'on est jamais developer le travail distance est un fait. Juste le fait qu'on est le seul pays d'Europe sans la fibre dans tous les papelins est un fait. On est encore a l'image ou il faut du presenteisme pour faire bonne figure. On est encore a cette image du taylorisme. Et tout cela parce que tout le monde triche.

  6. #6
    Membre chevronné
    Avatar de SurferIX
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    mars 2008
    Messages
    792
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : mars 2008
    Messages : 792
    Points : 1 827
    Points
    1 827

    Par défaut

    Citation Envoyé par Michael Guilloux Voir le message
    Des hackers recrutent des employés d’entreprise sur le dark web pour faciliter leurs attaques et fraudes
    Faut-il donc surveiller ses employés ?
    Faut juste que les entreprises paient plus leurs employés pour qu'ils n'aient pas envie de gagner de l'argent d'une autre manière.
    "Ceci dit" n'est pas correct. Cf Wikipedia. Cela dit est du français correct.
    Je suis parfois... ⇛ ☆★ En direct ★☆

  7. #7
    Rédacteur/Modérateur
    Avatar de loufab
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    avril 2005
    Messages
    10 528
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2005
    Messages : 10 528
    Points : 21 383
    Points
    21 383

    Par défaut

    Citation Envoyé par SurferIX Voir le message
    Faut juste que les entreprises paient plus leurs employés pour qu'ils n'aient pas envie de gagner de l'argent d'une autre manière.
    Exactement ce que je voulais écrire en voyant ce sondage. Tu m'ôtes les mots du clavier !
    Détecter les modifications formulaire Cloud storage et ACCESS
    Classe MELA(CRUD) Opérateur IN et zone de liste Opérateur LIKE
    Visitez mon Blog
    Les questions techniques par MP ne sont pas lues et je ne pratique pas la bactériomancie

  8. #8
    Expert éminent
    Avatar de Michel Rotta
    Homme Profil pro
    Responsable d'exploitation informatique
    Inscrit en
    septembre 2005
    Messages
    4 927
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 54
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Responsable d'exploitation informatique
    Secteur : Distribution

    Informations forums :
    Inscription : septembre 2005
    Messages : 4 927
    Points : 8 303
    Points
    8 303

    Par défaut

    Il est évident qu'il faut surveiller les employés d'une société pour les questions de sécurité informatique. Il y a des limites légales à respecter mais cela n’empêche pas la surveillance. Les accès correctement géré sont un outils de surveillance, le fait de ne pas donner à un user les droits d'administration sur son poste en est un autre, le fait de surveiller les nœuds qui se connectent sur le réseau physique, sur le réseau wifi, augmenter les vlan pour séparer les réseaux, passer par des firewall en interne pour ne pas permettre à n'importe qui de ce connecter n'importe où, surveiller la survenance de point d'accès wifi "sauvage", surveiller tous les flux entre tous les vlan, ....

    On peut aussi rajouter une surveillance des logs et augmenter le nombre de log, cela permet de trouver de nouvelles activité sur le système informatique. Augmentation d'usage d'un protocol, un poste qui se met à utiliser le réseau d'une manière nouvelle,....

    Une bonne gestion des droits dans les applications, un système de mot de passe centratlisé (X500 ou AD) qui permet de limiter les mots de passes et donc d'en renforcer la solidité.

    Oui, on peut surveiller et cela ne demande pas pour autant de mettre une caméra au dessus de chaque clavier.

    Dans les études on sait que le risque majeur de vol de données passe ou est à l'origine d'une personne qui travail dans l'entreprise. Il est donc indispensable de surveiller ce vecteur important de vol ou de fraude.
    Si tu donnes un poisson à un homme, il mangera un jour. Si tu lui apprends à pêcher, il mangera toujours (Lao Tseu).

    • Pensez à valoriser les réponses pertinantes, cliquez sur le bouton vert +1 pour indiquer votre accord avec la solution proposée.
    • Pensez à utiliser la balise [code] pour afficher du code, elle est cachée sous le bouton [#] dans l'éditeur.
    • Une discussion est terminée ? Alors le bouton est votre ami !

Discussions similaires

  1. publication des enregistrements d'une table 4D sur une page web
    Par fzh2014 dans le forum Balisage (X)HTML et validation W3C
    Réponses: 0
    Dernier message: 09/08/2013, 14h22
  2. Réponses: 7
    Dernier message: 27/08/2012, 11h27
  3. Réponses: 0
    Dernier message: 18/11/2011, 15h15
  4. Réponses: 3
    Dernier message: 13/09/2007, 18h11
  5. Réponses: 3
    Dernier message: 23/01/2007, 08h14

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo