Lisa Forte est une experte en ingénierie sociale et en cyber sécurité qui a débuté sa carrière dans les renseignements de lutte contre le piratage au large des côtes somaliennes. Elle a ensuite été recrutée pour travailler pour les renseignements britanniques de lutte contre le terrorisme dans une agence gouvernementale britannique. Ce rôle concernait les petites organisations comme les multinationales, et gérait principalement des attaques d’ordre de l’ingénierie sociale. Lisa a ensuite rejoint l’unité de lutte contre la cybercriminalité de la police britannique, où elle a travaillé en étroite collaboration avec des agences luttant contre les crimes graves telles que le FBI.
En 2017, Lisa Forte a franchi un pas en fondant « Red Goat Cyber Security », destiné à aider les entreprises à se prémunir contre une éventuelle attaque menaçant leur sécurité mais, également, à gérer cette attaque. Cette société est la première et la seule formation d’ingénierie sociale certifiée GCHQ accessible pour des employés de tous niveaux.
Lisa a été reconnue en tant que femme remarquable suite à sa précieuse contribution apportée au secteur de la cyber sécurité. Les réalisations de WeAreTechWomen ont été saluées par le prix Top 100 Women in Tech 2018.
Comment êtes-vous entrée dans le monde de la cyber sécurité et qu’elle est votre ressenti après avoir remporté le prix Top 100 Women in Tech ?
J’ai été ravie de remporter ce prix. C’est un tel honneur. J’ai mené beaucoup de recherches et d’innovations dans ce domaine et j’espère pouvoir utiliser ce prix pour encourager davantage de femmes à faire partie de cette industrie incroyable.
J’ai eu un premier aperçu de la cyber sécurité lorsque je travaillais dans le renseignement pour une agence gouvernementale. J’ai commencé à me concentrer de plus en plus sur les outils et techniques cybernétiques utilisés pour collecter des informations. Ma fascination pour la cyber sécurité a grandi à partir de là. J’ai ensuite dirigé un projet majeur qui étudiait comment le groupe terroriste « État Islamique » employait ses forces pour radicaliser les citoyens britanniques et européens en ligne. J’ai découvert qu’ils utilisaient « l’ingénierie sociale », également appelée piratage humain. C’est une façon de pousser les gens à faire quelque chose qu’ils ne devraient pas faire pour compromettre la sécurité. Mon intérêt pour le cyber, et l’ingénierie sociale en particulier, a grandi à partir de là et j’ai finalement rejoint l’une des Unités de Cybercriminalité de la police britannique.
L’Unité travaillait en étroite collaboration avec d’autres agences telles que le FBI et j’ai remarqué que dans presque tous les cas que nous avons traités, était impliquée une forme d’ingénierie sociale. Matérialisé par un employé qui clique sur un lien dans un courrier électronique d’hameçonnage, communicant à son insu des informations confidentielles sur l’entreprise.
Quand j’ai finalement quitté l’Unité pour créer ma propre entreprise, j’ai alors décidé de me concentrer sur l’ingénierie sociale et sur les wargames pour aider les entreprises à se protéger elles-mêmes.
Selon vous, quelle est la plus grande faiblesse d’une entreprise en matière de cyber défense ?
Je dirais que c’est lié au personnel de l’entreprise, mais il est important de garder en tête que les employés peuvent représenter la plus grande faiblesse, mais aussi la plus grande force de défense de l’entreprise. Investir dans une excellente formation, idéalement en face à face, et engager des conférenciers motivants pour animer des séances de sensibilisation à l’heure du déjeuner peuvent être des excellents moyens de sensibiliser à la sécurité tout en développant l’enthousiasme pour le sujet. Lorsque l’entreprise aura réellement investi dans la sensibilisation et la formation de son personnel, vous constaterez qu’il n’existera pas de meilleure défense de première ligne !
Les entreprises devraient également tester leur personnel pour s’assurer que les mesures de sensibilisation qu’elles prennent sont vraiment utiles. Pour cela, elles ont la possibilité de recruter une société externe experte pour jouer le rôle d’un hacker. Ces faux pirates informatiques appellent, envoient des courriels d’hameçonnage et tentent même d’accéder physiquement à votre bureau… Cela vous aidera à identifier vos vulnérabilités informatiques avant que ce ne soient les vraies pirates qui trouvent vos failles !
Quelle est l’ampleur de la menace d’une cyber attaque ?
On me pose souvent cette question. Ma réponse, qui repose sur de nombreuses attaques étudiées, est la suivante : si vous êtes une entreprise dotée de personnel, connectée à Internet et disposant d’argent, vous êtes alors une cible. Cela inclut à peu près tout le monde et cela peut conduire les gens à se sentir un peu dépassés et même impuissants. Ce que vous devez comprendre, c’est que, pour la majorité des hackers, ils cherchent simplement de l’argent. Ils dirigent leur entreprise et ont donc besoin d’un retour sur investissement après chaque attaque qu’ils tentent. Pour cette raison, si vous rendez votre entreprise moins attrayante ou plus difficile à attaquer, un grand nombre de ces groupes criminels abandonneront pour une cible plus facile.
Vous êtes également une experte en « wargaming » appliqué aux cyberattaques. Qu’est-ce que cela implique et pourquoi est-ce si important pour les entreprises ?
Le « wargaming » appliqué aux cyberattaques est un moyen de préparer votre entreprise à une éventuelle attaque. Dans les cas sur lesquels j’ai travaillé, j’ai souvent constaté que les entreprises qui n’avaient pas de plans testés et approuvés finissaient par aggraver les dégâts causés par l’attaque. J’aide les entreprises à élaborer des plans, puis les teste un peu comme vous le feriez avec un exercice d’incendie. Le « wargaming » implique la création de simulations d’attaque immersives qui obligeront les employés des services Informatique, Communication, RH et autres postes clés à prendre des décisions rapides et à sauver la société.
Ainsi, si vous êtes attaqué et au moment de l’attaque, vous serez en mesure de réagir rapidement, de reprendre le contrôle de la situation et, espérons-le, de maintenir votre entreprise à flot. Trop d’entreprises ferment après une attaque lourde et près de 60% d’entre-elles ne survivent pas plus de 2 ans. Nous devons changer cela, à la fois pour les entreprises pour lesquelles nous travaillons, mais aussi pour l’économie britannique.
Comment sensibilisez-vous le public à la cyber-menace ?
Je pense que je suis dans une position assez unique en raison de mon parcours. Mes conférences, par exemple, sont toutes illustrées avec des cas réels sur lesquels j’ai travaillé, sur ce qui s’est passé et sur les leçons que l’on peut en tirer. La plupart des cas dont je parle sont tellement choquants que des gens ont même dit qu’ils pourraient être adaptés à Hollywood !
Je pense qu’en utilisant des cas réels, je peux plus facilement aider le public à comprendre quel est l’impact d’une attaque, plutôt qu’en citant des statistiques. Par exemple, dans un cas où je travaillais pour le PDG d’une société, il a fallu le placer dans un hôpital psychiatrique car l’entreprise avait tout perdu après l’attaque. Dans une autre affaire impliquant un cabinet d’avocats, les assaillants ont volé 1,7 million de livres sterling. La banque a refusé de rembourser et son assurance ne couvrait pas la perte. Les partenaires ont donc dû hypothéquer de nouveau leurs maisons pour rembourser l’argent à leurs clients.
Une chose importante à garder à l’esprit est que, si l’entreprise est la victime directe de l’attaque, il y a toujours plusieurs victimes collatérales. C’est quelque chose que tout le monde peut comprendre, je pense.
J’aime ce que je fais et si le public ou les lecteurs peuvent en retirer un conseil pour l’appliquer par la suite, je considère cela comme une victoire.
En 2018, les cyberattaques ont augmenté à un rythme effarant. Sommes-nous prêts à voir cette augmentation encore progresser en 2019 ?
Je le crains, oui. Prenez des emails d’hameçonnage par exemple. Certains de mes clients FTSE 100 ont déclaré en recevoir environ 10 000 par mois en 2017. En 2018, ce nombre est passé à près de 40 000 courriels malveillants par mois ! Ce qui est encore plus inquiétant, c’est que le pourcentage des courriels d’hameçonnage personnalisé a augmenté. Les courriels d’hameçonnage personnalisé sont beaucoup plus dangereux. Ce sont des courriels malveillants qui ciblent un membre spécifique du personnel. Les attaquants recherchent cet individu et écrivent un email très convaincant pour l’inciter à cliquer sur le lien.
Les attaques ne sont pas seulement de plus en plus nombreuses, mais elles sont de plus en plus sophistiquées et difficiles à arrêter. Les hackers sont innovants et bien financés, ce qui en fait des adversaires de haut niveau.
Enfin, l’augmentation du nombre d’appareils connectés a fortement contribué à l’augmentation du nombre d’attaques. Qu’il s’agisse d’assistants connectés, de bouilloires, de réfrigérateurs, de tapis de course, de thermostats ou de caméras, il existe davantage de dispositifs permettant aux pirates informatiques d’attaquer. Ce que l’on appelle maintenant un « réfrigérateur à l’ancienne », par exemple, était un réfrigérateur qui n’avait jamais été connecté à quoi que ce soit, de sorte que les pirates informatiques ne pouvaient pas s’y connecter. C’était, en ce sens, sécurisé. Maintenant, cela a changé, offrant davantage de possibilités aux pirates.
Outre les attaques envers les entreprises, les attaques contre les individus sont tout aussi courantes. Vous êtes une experte de l’ingénierie sociale, y a-t-il des choses que nous pouvons faire en tant qu’individus pour nous protéger contre les attaques personnelles ?
Les attaques contre les individus augmentent. À certains égards, elles peuvent être encore plus dommageables qu’une attaque contre une entreprise. Une chose que j’ai souvent observée, c’est que les gens reçoivent des courriels d’hameçonnage très ciblés et convaincants, généralement incluant un lien malveillant ou une pièce jointe.
Afin de rédiger ces courriels, les pirates ont besoin d’informations sur vous. Ils iront probablement sur les médias sociaux pour savoir qui vous êtes. Supposons que vous ayez assisté à la journée sportive de votre enfant la semaine dernière et que, comme la plupart des parents, vous avez écrit sur les médias sociaux à quel point vous étiez fier du petit Daniel qui a remporté la course en sac. Si j’étais un pirate informatique, je pourrais découvrir l’école dans laquelle Daniel se rend et vous écrire un courrier électronique ressemblant à ceci :
« Salut Suzanne,
Je m’appelle Robert. J’étais photographe à la journée sportive de la Bristol Boys School la semaine dernière. Je contacte tous les parents pour savoir s’ils souhaitent acheter les photos de cette journée extraordinaire. J’ai plusieurs clichés de Daniel remportant la course en sac ! Vous pouvez les pré-visualiser sur mon site, en cliquant sur le lien ci-dessous :
www.robphotos.com/BristolSportsDay
Merci !
Robert »
Souhaitez-vous cliquer sur ce lien ? Cette petite quantité d’informations personnelles doit vous convaincre que cela est réel. Si vous avez fait une pause et y avez repensé, vous vous souviendrez peut-être que le photographe était une femme ou vous vous demanderez pourquoi l’école a communiqué votre adresse électronique sans autorisation. Le problème est que les gens ne font pas de pause et ne réfléchissent pas.
Donc, pour mes conseils :
- Soyez prudent avec ce que vous publiez en ligne. Il peut être utilisé contre vous plus tard.
- Ne cliquez jamais sur un lien ou n’ouvrez une pièce jointe que si vous êtes sûr à 100% qu’elle est sûre.
- Assurez-vous que tous vos appareils domestiques disposent d’un anti-virus et d’un pare-feu mis à jour.
- Utilisez des mots de passe différents pour chaque compte. Idéalement, utilisez un gestionnaire de mots de passe pour vous assurer que vos mots de passe sont longs et complexes
Nous avons beaucoup lu sur les cyberattaques lancées par des pays, perturbant ainsi les élections. En quoi ce nouveau style de cyberguerre est-il préoccupant ?
La première chose à savoir est que pour 99.9% des entreprises, une sanction de l’État envers les cyber-attaques est peu probable. Vos adversaires les plus probables sont des groupes criminels. Cela étant dit, les cyber-attaques d’États menacent notre infrastructure nationale essentielle et une attaque envers cette dernière causerait un chaos à l’échelle du pays.
Je pense que les cyber-armes sont difficiles à gérer au niveau international. Si vous songez à la manière dont les armes nucléaires sont contrôlées, vous verrez que certains inspecteurs d’armes se rendent dans des pays et peuvent détecter si ces pays développent des armes nucléaires. Ils peuvent en vérifier l’état et utiliser des images satellite pour voir si un pays bouge, se cache, ou développe des armes nucléaires. Cela ne fonctionnerait jamais avec les cyber-armes. Un pays pourrait les développer n’importe où, les cacher sur des clés USB et les utiliser n’importe où dans le monde. L’attribution de ces attaques est difficile. Je ne suis pas sûre que nous soyons capables de déterminer à 100% qui a lancé une cyberattaque. C’est pour cette seule et unique raison qu’il s’agit d’une nouvelle dimension plus anonyme de la guerre.
Les « fake news », les perturbations dans les élections et les comptes rendus sur les médias sociaux menacent également la société libre et démocratique dans laquelle nous vivons. Les individus devront commencer à réfléchir de manière plus critique à ce qu’ils lisent en ligne et à vérifier plus attentivement les sources d’informations.
Vous êtes intéressé par Lisa Forte pour votre prochain évènement?
