C'est pas mon idée !

vendredi 14 mars 2014

Symantec joue au braquage de banque

Symantec
En quelques mois, les hackathons sont devenus une véritable mode pour les organisations qui veulent stimuler l'innovation, détecter de nouveaux talents ou encore favoriser les échanges internes. Chez Symantec, spécialiste de la sécurité informatique, l'objectif est de développer une « culture » de la cybercriminalité.

Pour ce faire, les méthodes adoptées ne manquent pas d'originalité. Ainsi, dans la dernière édition de ses « Cyber War Games », consacrée au secteur bancaire, l'éditeur a conçu et déployé un établissement factice, que les participants à la compétition ont alors pour mission d'attaquer – par tous les moyens imaginables – afin d'y dérober un maximum d'argent (virtuel, heureusement !). Plus de 1 100 collaborateurs, issus de 33 pays différents, ont relevé le défi et 40 d'entre eux se sont affrontés au cours d'une finale qui se déroulait sur 3 jours au siège de l'entreprise.

Pour fictive qu'elle soit, la PVC Bank (pour « Public Vulneraville Charter Bank ») n'en est pas moins très complète, au point de laisser un peu rêveur sur les moyens engagés pour l'exercice. Un système d'information est donc mis en place – avec le concours de quelques éditeurs spécialisés – pour gérer les comptes courants, crédits immobiliers et produits d'investissement de ses clients (eux-mêmes fictifs, et néanmoins actifs). Afin de parfaire la simulation, un GAB et un coffre-fort sont installés dans les lieux de l'événement (en l'occurrence la cafétéria, redécorée pour l'occasion).

PVC Bank

Avec un tel équipement, les approches offensives des participants peuvent être aussi originales et variées que celles qu'exploitent les fraudeurs et autres pirates dans la vie réelle : recherche de failles et vulnérabilités logicielles, évidemment (pour détourner l'argent des comptes ou manipuler les taux d'intérêt, par exemple), mais également ingénierie sociale en vue d'obtenir des secrets de la part des employés ou bien tentatives de corruption auprès des gardiens des coffres.

De ce fait, entre autres, la compétition n'attire pas uniquement des ingénieurs et des développeurs. Même si ces derniers sont majoritaires parmi les finalistes, des personnels des départements comptables, juridiques, commerciaux… n'hésitent pas à prendre part au jeu, chacun apportant ses compétences, sa sensibilité et son imagination, sans nécessairement être un expert des opérations bancaires, des technologies implémentées ou de la sécurité informatique.

Pour Symantec, les « Cyber War Games » constituent un moyen extrêmement efficace de mieux faire appréhender (collectivement et individuellement) les méthodes des adversaires que l'entreprise et ses collaborateurs combattent chaque jour, en se mettant dans leur peau pour quelques heures. Pour les autres acteurs du secteur financier (éditeurs de solutions, banques…), la facilité avec laquelle certaines des attaques perpétrées ont pu aboutir – dans des scénarios réalistes – est aussi une opportunité d'apprendre à mieux se protéger.

A lire aussi à propos des « Cyber War Games », ce billet de blog Forrester.

Aucun commentaire:

Publier un commentaire

Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)