Club OSINT & Veille - Retour sur l'intervention d'Hugo Benoist concernant les liens entre OSINT et ingénierie sociale
Une des règles de la sécurité informatique veut que la plus grande faille ne soit pas technique mais humaine. Ainsi, le système le plus sophistiqué du monde peut être contourné par un simple email de phising. Mais pour qu’une personne accepte de cliquer sur un lien/pièce-jointe, encore faut-il arriver à cerner son comportement, tant professionnel que personnel, ses habitus…
Entre en jeu la sociologie et les ponts qui peuvent être fait avec l’OSINT, thème de la présentation d’Hugo Benoit, le 15 janvier, à l’invitation du Club OSINT & Veille. Consultant senior en sécurité de l’information chez Sogeti ESEC, également co-fondateur de la communauté OSINT-FR, il a mis en avant la théorie du déterminisme du sociologue Pierre Bourdieu. Selon ce dernier, il est possible d’identifier, dans la société, des groupes sociaux, composés de membres qui partagent des caractéristiques communes : normes, goûts, référence, histoire… Il est également possible de comparer ces groupes entre eux en fonction de quatre déterminants : le capital culturel, le capital économique, le capital social et le capital symbolique.
Pour les professionnels de l’OSINT il devient alors possible d’étudier l’appartenance sociale de la cible et d’adapter ses techniques d’approche en fonction. Ainsi un attaquant cherchant à piéger un directeur va privilégier des codes différents de ceux utilisés pour des salariés, aux rangs hiérarchiques inférieurs. Inversement, la sociologie appliquée à la sécurité informatique permet de cartographier plus précisément les risques en fonction des salariés et ainsi d'améliorer la protection des salariés et des infrastructures.
La vidéo de son intervention, lors du Hackfest 2019 à Québec (Canada), est disponible ici.
Les slides de son intervention sont téléchargeables ci-dessous.
Aucun commentaire
Vous devez être connecté pour laisser un commentaire. Connectez-vous.