Si vous aimez faire le plein d’adrénaline au cinéma, vous n’avez pas pu passer à côté de l’un des blockbusters de l’été : Skyscraper de Rawson Marshall Thurber.  L’idée ici n’est pas de se livrer à une critique détaillée du film mais nul doute que les fans de films d’action y trouveront leur compte, alors qu’un Dwayne Johnson en grande forme enchaine les cascades pendant près de 2h, escaladant un gratte-ciel en flammes et mettant hors d’état de nuire un groupe de terroristes surentrainés afin de sauver sa famille, le tout sans ôter sa chemise.

Quel rapport avec la cyber sécurité, me direz-vous ? Et bien Dwayne Johnson aurait pu s’éviter tous ces exercices inutiles s’il avait maîtrisé les bases de la sécurité informatique.

Je m’explique. Dans le film, il incarne Will Sawyer, un ancien agent du FBI devenu expert en sécurité (mais pas en cyber sécurité, comme vous allez vite le comprendre…). Il est envoyé à Hong-Kong pour réaliser un audit de sécurité du tout nouveau plus haut gratte-ciel du monde, le Pearl, qui s’apprête à ouvrir les portes de ses 240 étages. Comme tout gratte-ciel moderne qui se respecte, il s’agit essentiellement d’un ordinateur géant dont la sécurité se gère à distance, et donc le système est entièrement accessible à notre héros depuis une tablette.

Erreur n°1 – Confondre identification biométrique et identification complexe

Dans le film, la tablette est présentée comme un outil hyper sécurisé, accessible uniquement par Will Sawyer grâce à un système de reconnaissance faciale. Avec ce choix, les scénaristes tapent dans le mille. Les technologies de reconnaissance faciale ont l’avantage cinématographique d’être suffisamment innovantes et assez peu répandues pour être impressionnantes. C’est également une technologie très fiable, qui peut analyser plusieurs dizaines de milliers de marqueurs sur un visage en quelques secondes afin de confirmer une identité.

Malheureusement, dans Skyscraper, la reconnaissance faciale n’est guère plus qu’un mot de passe amélioré. Et surtout, elle est la seule barrière de protection entre des données de sécurité ultra sensibles et les individus mal intentionnés qui veulent s’en emparer. Pas de double ou de triple authentification. Sans surprise, la tablette dérobée et les voleurs arrivent à immobiliser le héros suffisamment longtemps pour la déverrouiller, accédant ainsi à l’ensemble du système.

Erreur n°2 – Ne pas informer l’équipe informatique d’une possible faille de sécurité

Questionnées sur leurs principaux risques de sécurité, 52% [1] des entreprises pointent du doigt leurs employés qui, par inattention, manque de connaissance ou volonté de nuire, peuvent être à l’origine de fuites de données. Et Skyscraper semble leur donner raison. Car notre héros n’informe personne de la disparition de la tablette, ni d’ailleurs qu’elle a été déverrouillée, préférant partir seul à la poursuite des criminels. Sans surprise, ces derniers n’hésitent pas à exploiter cette erreur pour accéder au système et saboter l’édifice. Aujourd’hui, la plupart des entreprises déploient sur leurs flottes d’appareils mobiles des solutions de gestion à distance. En cas de perte ou de vol, l’utilisateur n’a plus qu’à appeler l’équipe informatique pour qu’elle bloque l’accès à la machine, voire même qu’elle efface toutes les données qui pourraient y être stockées. Elle peut également révoquer les droits utilisateurs. Autant d’options qui auraient permis au héros du film de repartir l’esprit libre, et accessoirement auraient empêché les terroristes de mettre le feu au gratte-ciel, faisant partir en fumée un investissement de plusieurs milliards de dollars.

Vous l’aurez compris, quelques bonnes habitudes en matière de cyber sécurité peuvent vous éviter bien des ennuis. Si vous n’avez pas la chance de compter Dwayne Johnson parmi vos effectifs, n’hésitez pas à découvrir comment Citrix peut vous aider à sécuriser tous vos terminaux grâce à une solution complète de gestion de la mobilité d’entreprise : https://www.citrix.fr/products/citrix-endpoint-management/

[1] Etude Kaspersky Lab. Source : https://www.kaspersky.com/blog/the-human-factor-in-it-security/