Lorsqu’ils préparent une attaque ciblée contre une entreprise, les cybercriminels se retrouvent parfois à fouiller dans les poubelles dans l’espoir de trouver des informations intéressantes. Il est vrai qu’ils ne tomberont pas sur 50 mots de passe comme dans le film Hackers, mais ils peuvent tout de même trouver un bon nombre d’informations utiles.
Ce que vous ne devriez pas jeter à la poubelle
Même les pilleurs de poubelles les plus optimistes ne s’attendent pas à trouver un portfolio rempli de documents classés TOP SECRET. Une fois encore, ils n’ont pas besoin d’obtenir des informations ultra secrètes pour décrédibiliser une entreprise ou pour mener une attaque ciblée. Une seule information compromettante peut les aider à tromper les employés grâce à l’ingénierie sociale.
Des preuves compromettantes à la poubelle
Si nous partons du principe que vous ne jetez pas les preuves d’une comptabilité douteuse ou les rapports sur votre impact néfaste sur l’environnement, le danger se trouve dans les données personnelles des clients ainsi que celles des employés. De nos jours, une telle trouvaille attire l’intérêt des organismes de réglementation et suppose de lourdes amendes.
Encore aujourd’hui, nous sommes témoins de ce genre de problèmes causés par l’élimination de données personnelles. Malgré les avertissements, de nombreux employés ne réalisent pas que l’adresse utilisée pour se faire livrer une pizza par exemple est une information confidentielle. Et ce qui est encore plus dangereux, c’est de jeter les dossiers médicaux qui contiennent le numéro de sécurité sociale, les paiements de factures avec une carte de crédit ainsi que les scans de documents d’identité.
Ce que les cybercriminels utilisent pour mener une attaque par ingénierie sociale
Les cybercriminels peuvent utiliser les informations qu’ils trouvent dans les documents de travail, les enveloppes et les supports de stockage numérique que les entreprises ont jeté pour leur nuire. Par exemple :
Les documents de travail, y compris ceux qui ne contiennent pas de données confidentielles peuvent divulguer ce que l’équipe fait, la terminologie qu’elle utilise, les opérations mises en place par l’entreprise, et bien plus. Avec toutes ces informations entre ses mains, un cybercriminel peut se faire passer pour un employé ou quelqu’un en lien avec l’entreprise en le contactant par e-mail ou par téléphone, ce qui lui permet d’obtenir encore plus d’informations ou bien de mener une attaque BEC (attaque de compromission de la messagerie d’entreprise) sans éveiller aucun soupçon.
Les enveloppes des lettres d’une entreprise contiennent toujours l’adresse et le nom de l’expéditeur. Si un cybercriminel sait qu’un tel employé de l’entreprise X reçoit des documents papier de la part de l’entreprise Y, il peut par exemple contacter le destinataire pour lui demander quelques précisions ou bien envoyer un lien malveillant pour confirmer la réception dudit document papier sans que ce dernier ne s’en rende compte.
Les supports numériques peuvent s’avérer être une vraie mine d’or d’informations. Un téléphone cassé peut contenir des listes de contacts et des messages qui permettent de se faire passer pour l’ancien propriétaire de l’appareil. Les clés USB et même les disques durs mis à la poubelle contiennent de nombreux documents de travail et d’informations personnelles.
Même un sac de livraison de nourriture avec le nom d’un employé peut représenter une opportunité pour mener des activités cybercriminelles, dont les e-mails d’hameçonnage avec un lien redirigeant vers des offres spéciales ou des programmes de fidélité. (Cette méthode n’est pas la plus utilisée mais elle existe).
Comment se débarrasser de ces documents correctement
Tout d’abord, nous vous recommandons de réduire l’utilisation des documents papiers comme moyen de stockage. En plus d’être une bonne action pour la planète, cela vous permet de régler le problème de la destruction de documents papier.
Premièrement, détruisez tous les documents papier qui ont un lien avec le travail de l’entreprise, oui tous, et pas seulement ceux qui contiennent des informations personnelles. Broyez-les et les enveloppes aussi.
Les supports numériques (disques durs, clés USB) ne vont pas à la poubelle. Vous devez les rendre inutilisables et les emmener dans un centre de recyclage électronique. Brisez les disques ainsi que les clés USB à l’aide d’une tenaille. Quant aux disques durs, utilisez une perceuse électrique ou un marteau. Souvenez-vous qu’il y a une carte mémoire à l’intérieur de chaque téléphone et un disque dur dans chaque ordinateur. Si vous voulez en jetez un, assurez-vous d’abord que personne ne puisse lire les données qu’il contient.
Avant de jeter les sacs de livraison de nourriture ou les emballages de colis, enlevez et déchirez toutes les parties qui contiennent le nom et l’adresse du destinataire.
Gardez à l’esprit que la sécurité de votre entreprise dépend directement de chacun de vos employés, de l’accueil jusqu’aux bureaux, et qu’ils doivent comprendre et obéir à ces règles. Chacun, sans exception, doit savoir comment manipuler les informations sensibles.