Steven Meyer Associé ZENData Sàrl www.zendata.ch
L’utilisateur : le maillon fort de votre cybersécurité
« Même avec une bonne sécurité dans votre entreprise, un utilisateur inattentif peut tout compromettre.»
Il est habituel d’entendre que l’erreur humaine est responsable des piratages et qu’il suffirait de supprimer le facteur humain pour sécuriser un environnement : « Même avec une bonne sécurité dans votre entreprise, un utilisateur inattentif peut tout compromettre.» Je souhaite argumenter le contraire, car, lorsque la cybersécurité dans son ensemble est bien conçue, les utilisateurs peuvent devenir le maillon fort de l’entreprise. Les statistiques sont pourtant claires : plus de 90 % des cyberattaques sont imputées à un email ; plus de 95 % des attaques sont attribuées à l’ingénierie sociale en général ou à des erreurs humaines.
Toutefois, l’utilisateur n’est pas le seul fautif, car c’est bien pour le servir que les systèmes informatiques existent ; ainsi, un système digital efficace doit prendre en compte l’élément humain, avec ses forces et ses faiblesses. Je vous propose donc de répondre à deux questions : pourquoi dit-on que l’humain est le maillon faible et que pouvons-nous faire pour renforcer l’humain dans cette chaîne ?
Les systèmes sont de mieux en mieux protégés
Ces innovations technologiques ont contraint les hackeurs à viser l’utilisateur final pour pirater les ordinateurs.
L’humain n’est un maillon faible qu’en comparaison aux maillons forts de la chaîne. Depuis le début du siècle, de grands progrès et investissements ont été réalisés dans la cybersécurité, rendant les systèmes plus difficiles à hacker. Ces progrès n’ont par contre pas été répliqués au niveau de l’utilisateur.
Il y a 7 ans, pas un seul antivirus n’utilisait de l’intelligence artificielle ; il y a 17 ans, Windows ne possédait pas de Firewall ; il y a 20 ans, Windows ne se mettait pas à jour par lui-même. Ces innovations technologiques ont contraint les hackeurs à viser l’utilisateur final pour pirater les ordinateurs, car les usagers n’ont pas bénéficié des mêmes progrès que les systèmes informatiques. Un bon exemple est l’utilisation d’un standard de mots de passe encore basé, pour la majorité des entreprises, sur des théories (fausses) créées il y a 40 ans.
L’humain restera donc un vecteur privilégié des hackeurs jusqu’à qu’il jouisse du progrès nécessaire à sa protection. Toutefois, les pires attaques de ces dernières années, telles que NotPetya, WannaCry, Equifax hack, Target hack, étaient toutes des attaques qui n’exploitaient pas des vulnérabilités de l’utilisateur, mais du système lui-même. Chaque humain étant un utilisateur unique, un criminel ne peut qu’effectuer des hacks individuels lorsqu’il le cible.
En revanche, la majorité des systèmes informatiques sont semblables et une vulnérabilité peut s’exploiter et causer des dégâts très rapidement et à grande échelle. Il en résulte qu’un hackeur référera s’attaquer au système informatique lorsque possible et se rabattra sur le facteur humain lorsque celui-ci s’avère le vecteur le plus efficace.
L’échappatoire facile
Le responsable IT ou cyber-sécurité sera ainsi tenté d’incriminer l’erreur humaine lors d’une attaque plutôt que d’en assumer la faute.
Il est aisé de pouvoir imputer la culpabilité d’une faute à des tiers. Le responsable IT ou cybersécurité sera ainsi tenté d’incriminer l’erreur humaine lors d’une attaque plutôt que d’en assumer la faute. Les responsables de la cybersécurité (RSSI), trop souvent, ne bénéficient pas d’un budget suffisant ni du soutien de la direction pour effectuer correctement leur travail ; toutefois, leurs tâches incluent la gestion du facteur humain, vecteur d’attaque devant être pris en compte et géré de façon appropriée lors de l’exécution de leur travail.
Tous les processus au sein des entreprises impliquent des êtres humains, que ce soit dans la comptabilité, la vente, la production, etc. ; c’est la responsabilité du directeur de chaque département de s’assurer que ces processus soient exécutés correctement. Le CFO, par exemple, met en place un système de contrôle des transactions avant qu’elles ne soient validées, justement afin d’éviter la malveillance et les erreurs humaines.
Tout comme les autres directeurs (CIO et les COO par exemple) ne peuvent pas simplement déclarer que l’utilisateur est le maillon faible pour justifier les défaillances des processus qu’ils supervisent, le RSSI ne peut pas rendre les utilisateurs responsables des échecs dans les processus de sécurité. L’utilisateur est un composant intégré des systèmes informatiques de l’entreprise et il est négligeant de ne pas mettre en place un ensemble de mesures et contre-mesures complètes pour prévenir, détecter et atténuer les défaillances prévues de ce composant.
Les outils ne sont pas si bons que ça…
L’humain est le dernier rempart de la cybersécurité et peut bloquer une attaque lorsque tous les autres systèmes ont failli à leur mission.
Nous entendons souvent dire : « il n’aurait pas dû ouvrir cet email, c’était évidemment du phishing ». Mais si l’email était si évidemment malveillant, pourquoi les outils de protection électroniques ne l’ont-ils pas détecté ? L’humain est le dernier rempart de la cybersécurité et peut bloquer une attaque lorsque tous les autres systèmes ont failli à leur mission ; il est un élément important de la sécurité informatique et peut réellement arrêter une attaque. Toutefois, lorsque la chaîne complète de sécurité n’a pas réussi à bloquer un incident, ce n’est pas la responsabilité de l’utilisateur, et encore moins de sa faute.
Les professionnels de la sécurité doivent réaliser que, même si la sensibilisation de l’utilisateur réduit les risques, leur travail englobe la prévention au niveau du système ; de même, certaines entreprises pensent que les nouvelles technologies dernier cri qu’elles ont acquises les protégeront de tout, et n’engagent pas de formations pour leurs collaborateurs.
C’est pourtant bien une combinaison d’efforts humains et d’outils techniques qui mène à une cybersécurité efficace. Aussi, les outils que nous utilisons au quotidien n’aident pas l’utilisateur à prendre de bonnes décisions d’un point de vue de cybersé-curité. Reprenons le cas de l’email malencontreusement ouvert : sachant que le nom de l’expéditeur peut être arbitrairement choisi et apparaîtra en grand dans l’application email, une personne malveillante peut très facilement envoyer un email prétendant être quelqu’un d’autre (comme dans les fraudes au président).
Pareillement, lorsque vous trouvez un email dans votre boite spam venant de votre directeur, vous penserez naturellement à une erreur du système, car votre directeur n’envoie pas de spam. Ceci est effectivement bien le cas ; l’email en question n’est pas du spam (publicité non désirable), mais du phishing (email qui prétend venir d’une personne de confiance).
Toutefois, le système ne distinguant pas correctement entre les deux, il causera de la confusion pour l’utilisateur, qui risquera ensuite de compromettre la sécurité. Les outils techniques de protection ne sont pas vraiment développés ni pensés pour des utilisateurs finaux non experts.
C’est donc la responsabilité et le devoir des développeurs de guider l’utilisateur vers un maniement sécurisé de leurs programmes et pas à l’utilisateur d’apprendre systématiquement des nouveaux principes.
Alors, comment rendre l’humain LE maillon fort ?
La formation, la compréhension de sa réalité de travail et les moyens donnés
Je pense qu’il y a trois éléments à mettre en place afin de permettre à l’utilisateur final d’être un atout pour la stratégie de cybersécurité d’une entreprise.
Formation
Sensibiliser et expliquer les cyber-risques aux utilisateurs est absolument essentiel si nous voulons qu’ils agissent correctement. Chez ZENDATA, nous avons donné plus de 35 formations au cours du dernier trimestre, et ce n’est pas trivial. Tous les employés ont des journées déjà bien chargées, des projets à terminer et, il faut le dire, un intérêt très limité pour les principes de cybersécurité… c’est pourquoi il est essentiel de réellement personnaliser les formations afin que le contenu partagé soit pertinent et adapté à son audience : les exemples, recommandations et règles à suivre ne sont pas identiques pour des gestionnaires de fortune que pour une compagnie de construction.
Comprendre sa réalité de travail
Certaines professions sont plus dangereuses que d’autres et nécessitent une sécurité appropriée. Par exemple, un responsable du recrutement a pour mission de sélectionner parmi les CV qu’il reçoit le meilleur candidat pour un poste. Son travail implique donc d’ouvrir
des pièces jointes reçues par un inconnu dans un email. Il est donc inutile de lui expliquer qu’il ne peut qu’ouvrir des documents venant de personnes de confiance… Il en va de même lorsqu’on interdit à la personne responsable des relations publiques d’aller sur les réseaux sociaux.
Si nous voulons que les utilisateurs suivent et appliquent des procédures de sécurité, elles doivent être adaptées à leur réalité de travail afin d’être un moteur d’accélération et non un frein à la productivité.
Lui donner les moyens
Nous avons vu ce cas où un payement frauduleux a été validé par une assistante sans demander la confirmation à son responsable. Il s’est avéré que le responsable s’énervait à chaque fois qu’elle lui demandait d’authentifier la légitimité d’une transaction ; elle a donc arrêté de le solliciter ce qui a mené à une perte de plus de CHF 450’000.–.
Un comportement sécuritaire exige un soutien de la direction et du top management. Les employés doivent être félicités de faire attention et de correctement suivre les procédures. Leurs missions doivent prendre en compte ces contraintes et il faut que la procédure « sûre » soit tout aussi, voire plus pratique qu’une autre afin qu’elle encourage l’utilisateur à la suivre.
En conclusion
Il suffit d’un utilisateur victime pour compromettre toute une entreprise, mais il suffit aussi d’un seul utilisateur attentif pour déjouer une attaque.
Pour conclure, je tiens à souligner que la cybersécurité est une tâche collective et globale, même si elle reste la responsabilité de certains. Il suffit d’un utilisateur victime pour compromettre toute une entreprise, mais il suffit aussi d’un seul utilisateur attentif pour déjouer une attaque. Les usagers doivent apprendre à réagir de manière appropriée aux menaces qu’ils rencontrent, tels que les sites Web malveillants, les courriels de phishing ou les tentatives d’ingénierie sociale ; le rôle du RSSI inclut la mise en place d’outils permettant à l’utilisateur de devenir le maillon fort de la chaîne.