07 Déc. 22 Cybersécurité
Faille de sécurité, reconnaître le facteur humain.
Aujourd’hui, les données informatiques sont considérées comme l’or brut des entreprises. Pour protéger tout cet or, les sociétés mettent en place un bon nombre d’outils de sécurité (pare-feu, VPN, …). Mais en matière de sécurité, le maillon humain est quasiment impossible à maîtriser. En effet, les collaborateurs (selon leurs postes et niveaux de responsabilité) ont accès à différentes données, ils sont donc en première ligne face aux hackers et pirates informatiques.
Commençons par quelques chiffres:
- 82% des violations de données résultent d’une erreur humaine (en 2021 d’après le rapport de Verizon.
- 94% des cyber-attaques se déclenchent à travers un e-mail (en 2021 d’après Teiss).
- Seulement 38% des entreprises ont formé leurs collaborateurs (en France sur l’année 2021 d’après Proofpoint).
- …
Afin d’agir correctement face à tout cela, la première des choses est de comprendre pourquoi les humains sont le maillon faible en matière de sécurité. On constate plusieurs raisons à cela:
- La sécurité des logiciels utilisés. L’Humain en général, a tendance à être négligeant lorsqu’il effectue régulièrement la même tâche. L’exemple le plus commun est le fait de tarder à faire des mises à jour (recommandées par les logiciels eux-mêmes), par manque de temps, d’intérêt, … . Ce qui rend les logiciels vulnérables face aux cyber-attaques. Une autre situation rencontrée régulièrement, les collaborateurs qui utilisent des logiciels obsolètes (avec des vulnérabilités connues). Les raisons de cette pratique: les habitudes de travail, un manque de formation à un logiciel alternatif, … Ce type d’actions compromet de façon importante la sécurité des SI.
- Le manque d’information. La cybersécurité est un des enjeux majeurs dans les organisations aujourd’hui. Cependant, dans la majorité des sociétés, mis à part le service informatique et les membres de la direction, les autres collaborateurs ne sont pas au courant de tout ce qui se passe au niveau cyber sans leur entreprise. Le but des hackers/pirates est de s’introduire le plus rapidement dans le système. Pour cela, il est dans leurs intérêts de s’attaquer en premier aux employés les plus vulnérables et donc les moins formés.
- Une mauvaise gestion des données. Les collaborateurs traitent des centaines de données chaque jour, d’autant plus en cette période avec la démocratisation du télétravail. Les données gérées par ces employés transitent par mail, sont stockées sur des clouds, des dossiers sur PC, … En quelques clics, des données hypersensibles peuvent être partagées au mauvais destinataire (erreur dans le mail), être supprimées, mal enregistrées, …
- …
Après ce constant, la question est de savoir quelles sont les manières les plus efficaces/pertinentes pour réduire ce risque humain:
- Optimiser la gestion des données. Faire en sorte que les collaborateurs aient accès aux données qui les concernent et uniquement à celles-ci. En mettant cela en place, les employés géreront un nombre minime de connées, le risque d’attaque sera donc réduit.
- Une politique de gestion de mots de passe. Mettre un mot de passe faible c’est comme laisser sa porte de maison ouverte… Il est aussi facile pour un hacker d’entrer dans le système qu’un cambrioleur dans votre maison. Une fois cela compris, encouragez vos collaborateurs à mettre en place des mots de passe robustes.
- S’assurer que les collaborateurs utilisent des logiciels recommandés (VPN, …). Pour cela, le plus efficace reste la formation.
Il existe pléthore d’actions que l’on pourrait mettre en place pour faire face à ces risques. Mis à part réduire les opportunités qui posent les employés à commettre des erreurs. Il faut mettre en place des actions de formation et de sensibilisation.
Pour que ces actions soient efficaces, il faut prendre un compte 100% des collaborateurs quels que soient leurs postes. L’idéal est d’adapter le plan de sensibilisation/formation pour chaque personne (en fonction de son poste, niveau de responsabilité, l’accès aux données, …).
f
Afin de construire le plan de formation le plus complet et efficace possible, voici ce que nous préconisions:
- Avant toute chose, l’idéal est de réaliser un audit interne et externe afin de détecter les failles et réfléchir sur quelles solutions sont les plus adaptées.
- Réaliser une campagne de phishing, de sensibilisation clé USB, … sur vos collaborateurs afin de voir quel plan d’action mettre en place par la suite.
- En fonction des résultats obtenus à la suite des deux précédentes étapes, prévoir un plan de formation pour tous les employés.
- A l’issue de ces différentes actions, création d’indicateurs pour suivre l’évolution des actions menées.
En plaçant l’humain au centre de la stratégie de cybersécurité en entreprise, l’on en tire deux avantages non-négligeable: réduire de manière importante les risques liés au facteur humain et impliquer les salariés dans la cybersécurité (ce n’est plus uniquement le DSI responsable de ce sujet là). Cela créé une véritable dynamique collective qui sera, de toute façon profitable à la société.