Cybersécurité : le facteur humain, un véritable rôle clé

L’humain : les yeux et les oreilles de la cybersécurité

Se sensibiliser à la cybersécurité

Ce n’est pas une découverte : l’utilisateur joue un rôle crucial dans la cybersécurité. Donc que sa sensibilisation l’est aussi. C’est notamment pour cela que tous les ans, en octobre, se déroule le mois européen de la cybersécurité. De plus, le Royaume-Uni en 2013 lançait lui aussi une campagne de sensibilisation nationale.
D’autres institutions, comme l’ANSSI, se sont investi dans la sensibilisation à la cybersécurité. Notamment avec guides de bonnes pratiques, des MOOCs ou encore des plateformes dédiées.

Une sensibilisation insuffisante

Néanmoins, il reste du chemin. En effet, les moyens mis en oeuvre pour sensibiliser les utilisateurs sont plus qu’insuffisants. Pourtant, il est de notoriété publique que la sensibilisation à la cybersécurité permet de prendre des décisions plus réfléchies. Et, en général, d’avoir un comportement plus prudent.
Attention, tout n’est pas si terrible ! D’autant plus qu’aujourd’hui, la situation est bien meilleure qu’il y a cinq ans. Les utilisateurs sont beaucoup mieux sensibilisés et éduqués quant à leurs usages informatiques.
Ces efforts sont notamment le fruit des entreprises, qui prennent la sensibilisation de plus en plus au sérieux. D’ailleurs, des études comme celle de Ponemon pour IBM ou d’Osterman Research pour Malwarebytes le confirment.

Aller plus loin

Mais les hackers ne sont pas en reste. D’ailleurs, si le Phishing fonctionne encore autant, c’est bien qu’ils ont amélioré leurs techniques ! Donc aujourd’hui, il est grand temps de faire un pas de plus dans le lien cybersécurité de l’entreprise – utilisateurs.
Ainsi, les utilisateurs pourraient devenir les yeux et les oreilles de la cybersécurité de l’entreprise. Et de progresser de manière collaborative, plutôt que de « sensibiliser en masse ».
Même si la vigilance peut baisser, la sensibilisation continuelle peut quant à elle aider les utilisateurs. D’autant plus qu’au sein d’une entreprise, le rapport hiérarchique employeur – employé peut aider à maintenir cette vigilance.
Cybersécurité : le Facteur Humain

Industrialisation

D’ailleurs, certains se sont déjà lancés sur cette voie-là. En effet, Dropbox par exemple a mis en place un chatbot qui consulte ses utilisateurs lorsque ceux-ci génèrent des alertes.
Et c’est là le véritable enjeu : mettre en place des processus légaux pour en retirer des décisions / actions. De plus, il faut que ceux-ci soient applicables à une plus grande échelle. Déjà certaines communes en ont mis en place pour faire rapidement remonter des incidents, notamment sur la voirie. Donc on peut imaginer, pour ces utilisations, des outils d’ITSM et de service desk.
Dans une optique idéale, les utilisateurs devraient être complètement impliqués dans la cybersécurité, sans s’en rendre vraiment compte.

La formation cybersécurité contre les ransomwares

Cybersécurité et entreprises

Saviez-vous que près d’un quart des PME / TPE qui subissent l’attaque d’un ransomware stoppent immédiatement leur activité ? Et perdant ainsi environ 15% de leur chiffre d’affaires ? Ainsi, la menace est sérieuse, vraiment sérieuse.
D’ailleurs, Symantec le montre bien. Ainsi, en 2016, ils déclarent avoir bloqué plus de 470 000 infections de ransomware chez ses clients. Et en 2017, environ 350 000. Et ce ne sont qu’une petite partie des ransomware bloqués. En effet, la plupart se font prendre au niveau des IPS.
Ainsi, ces résultats et ceux plus récents de WannaCry et NotPetya montrent une progression évidente des ransomware.
C’est pourquoi les PME et ETI françaises mettent l’accent sur la formation de leurs collaborateurs. De plus, elles considèrent cette formation tout aussi importante que la technologie elle-même.

Prévention

Ainsi, les entreprises privilégient la formation en continu. Et niveau technologie, selon la suite de l’étude Ostermand pour Malwarebytes, elles privilégient la sauvegarde en local (93%), les solutions de sécurité de la messagerie électronique (89%). Puis la segmentation du réseau (54%) et la détection des ransomware en local pour 46% d’entre elles. Néanmoins, les solutions de cybersécurité hébergées en Cloud ne représentent que 11% des solutions utilisées.
De plus, les entreprises françaises semblent avoir compris le message important. Ainsi, 75% des interrogés déclarent qu’il ne faut pas payer la rançon demandées. Néanmoins, 25% de ceux-là ont quand même perdu des data.

Le phishing n’est pas mort, loin de là

Vous savez déjà ce qu’est le phishing (sinon, cliquez ici). Et cette technique n’est pas prête de s’arrêter. En effet, les hackers se perfectionnent de mieux en mieux.
Tant et si bien que, même si la majorité des internautes sont sûrs d’eux, beaucoup se laissent encore avoir. Ainsi, on peut se demander si la sensibilisation à ce niveau là est vraiment efficace…
Néanmoins, à leur décharge, il est aujourd’hui virtuellement impossible de faire la différence entre un mail piégé d’un vrai. Et c’est le cas pour tout le monde, aussi bien experts que novices en cybersécurité. En effet, il est compliqué de prendre le temps nécessaire à l’analyse du mail entrant, avec rigueur et scepticisme. Cela prendrait trop de temps dans une journée.
Ainsi, le phishing reste en tête des cybermenaces, devant les spyware et autres ransomwares. De plus, c’est le phishing qui cause le plus de dégâts.
Cybersécurité et Humain

Le facteur humain

L’erreur est humaine

On remarque aussi qu’aujourd’hui, la majorité des hacks se concentrent sur l’humain, contrairement à des exploits automatisés. Par exemple, des mails frauduleux qui nécessitent un clic.
On peut expliquer cette évolution par le manque de vulnérabilités facilement exploitables. De plus, avec la multiplication des applications en Cloud, le vol d’identifiants à plus de valeur que le simple piratage d’un appareil. D’autant plus que les ordinateurs sont aujourd’hui bien plus sûrs que ceux d’avant.
Ainsi, pour piéger leur victime, les hackers misent sur des comptes populaires comme Apple, Microsoft ou encore Google Drive. Sans compter les services postaux, mobiles etc.
Et le phishing est d’autant plus efficace que nous utilisons énormément nos smartphones pour la navigation web.

De nouveaux besoins

Ces nouvelles attaques engendrent donc de nouveaux challenges. Sur mobile, il n’existe pas d’élément pour filtrer les messages entrants, de même pour les messages sortant. De plus, on ne peut pas sécuriser un accès web depuis un terminal mobile, à moins d’un réglage poussé. Ici, la solution est l’intégration aux plateformes existantes avec une API native. Et de mettre l’accent sur la protection de certains comptes importants.
La solution est-elle de remplacer la confiance par la culture de la suspicion ? La sensibilisation à la cybersécurité porte-elle vraiment ses fruits ? Surtout que tout est conçu pour imprégner l’utilisateur à la « culture du clic ».

La sensibilisation : vouée à l’échec ?

Nous l’avons vu, le facteur humain est l’élément clé dans une cyber attaque. Et c’est d’ailleurs pour ça que la sensibilisation reste inefficace, de par notre humanité.
En effet, notre cerveau est conçu pour répondre rapidement, avec notre instinct, et plutôt naïvement. Plutôt que de prendre le temps d’analyser avec scepticisme. Donc tout le monde est vulnérable aux cyberattaques.
De plus, comme nous l’avons vu, nous ne possédons pas assez de temps dans notre journée de travail pour ce travail. Nous n’avons tout simplement passez de temps de cerveau disponible !
En outre, les efforts déployés pour la sensibilisation à la cybersécurité ne sont pas assez poussés. Par exemple, la formation phishing aujourd’hui c’est regarder des personnes survoler URL ou regarder des liens. Et cela n’a rien à voir avec notre propension à répondre instinctivement vite. D’autant plus que l’entrainement au phishing n’est vraiment efficace que lorsqu’on est déjà méfiant.
Une solution pour assurer sa cybersécurité serait de combiner plusieurs technologies. Ainsi par exemple mélanger SSO, certificats SSL clients, clés U2F…

Les menaces internes

Environ la moitié des entreprises ayant été victimes d’une brèche de sécurité l’ont été à cause d’un de ses collaborateurs. Et oui : le plus gros risque d’une entreprises, ce sont les personnes qui la composent ! Plusieurs facteurs l’expliquent : les salariés ont le temps, les connaissances, l’accès pour eux. Néanmoins, la principale raison et risque reste … la négligence !
Et ça, c’est impossible à admettre pour une structure. Ainsi, l’entreprise doit mettre en place des processus de sensibilisation à la cybersécurité. Mais aussi à l’éthique et avoir des outils adéquats à mettre à disposition. De plus, on peut imaginer les contrôles d’accès personnalisés. Mais malgré toutes ces précautions, il existerait toujours le risque d’une menace interne. Donc il faut mettre en place une combinaison de méthode, avec précaution :

  • Séparer les tâches
  • Supervision
  • Certificats d’accès
  • Sensibilisation
  • Assurance
  • Restauration
  • Culture d’entreprise
  • Indicateurs

 

Partagez l'article

Partager sur facebook
Partager sur twitter
Partager sur linkedin
Partager sur email