Le facteur humain de la cybersécurité

cybersecurité credit Depositphotos_Gorodenkoff

Malgré le rôle essentiel que joue la technologie dans la sécurité des entreprises et la communication autour de l’IA générative, il ne faut en rien sous-estimer le facteur humain. Il est fréquemment évoqué que même les protocoles de sécurité les plus complexes peuvent être compromis parce qu’un collaborateur mal informé ou négligent pourrait cliquer sur un lien. Le « facteur humain » est un élément complexe à adresser, il faut donc proposer des idées pour aider les entreprises à bien comprendre cet élément souvent considéré comme le maillon faible de la chaîne de cybersécurité.

Le paysage réglementaire actuel de la menace

Le paysage mondial de la cybersécurité est complexe et en perpétuelle mutation, avec l’émergence quasi-quotidienne de nouvelles vulnérabilités et de menaces. Des avancées ont vu le jour avec les architectures Zero Trust, l’implémentation d’algorithmes d’intelligence artificielle (IA) avancés, les pare-feux, les systèmes de détection d’intrusion, … pour protéger les entreprises. Mais souvent les incidents de sécurité ne sont pas seulement dus à des tactiques de piratage sophistiquées, mais à des erreurs humaines.

Répondre à des e-mails de phishing, avoir des mots de passe trop simples ou divulguer des données sans le vouloir, tous ces éléments peuvent fragiliser le réseau d’une entreprise même s’il est bien sécurisé. Ces erreurs ne se sont pas réservées aux collaborateurs « junior ». Les cadres eux aussi peuvent se faire avoir, personne n’est à l’abri. Le facteur humain constitue donc un élément de préoccupation majeur pour toutes les entreprises. Les violations récentes dans les complexes hôteliers de MGM par exemple ont été le fruit d’une « simple » ingénierie sociale. L’attaquant a trompé un employé du service client en lui demandant de réinitialiser un mot de passe sans lui donner plus d’informations.

Le coût de la négligence

Ne pas mesurer toute l’ampleur du facteur humain peut se traduire par des pertes financières considérables, une réputation ternie, et une perte de confiance des clients. Il arrive même que les dommages soient irréversibles. Après un incident, de nombreuses entreprises prennent conscience qu’il aurait pu être évité si elles avaient investi dans des mesures de sécurité et mis l’accent sur l’aspect humain.

Stratégies pour réduire les risques d’origine humaine

Dans un environnement saturé de cyber-menaces, se concentrer uniquement sur les solutions technologiques revient à construire une forteresse mais à laisser la porte ouverte sans surveillance. La cybersécurité repose avant tout sur « les personnes, les processus, et la technologie », dans cet ordre précis. Les entreprises sauront établir une défense plus solide et plus globale contre les cyber-menaces si elles sont plus conscientes et comprennent mieux le rôle du facteur humain dans la cybersécurité.

Il est vivement recommandé, aux entreprises, l’intégration de stratégies axées sur l’élément humain dans une démarche de cybersécurité. En effet, une stratégie de sécurité efficace tient compte à la fois des vulnérabilités humaines et des vulnérabilités des machines.

Lutter contre les attaques de phishing

Pour les pirates informatiques, l’art d’induire en erreur est l’arme la plus puissante de leur arsenal. Les collaborateurs sont fréquemment dupés par des e-mails ou des messages qui ont l’air légitimes, mais qui sont en réalité conçus pour obtenir des informations sensibles ou installer des malwares. La plupart des entreprises concentrent leurs efforts de défense sur les e-mails d’entreprise mais négligent souvent le vecteur de menace le plus important lié à la cybersécurité mobile qui consiste à protéger les employés contre les attaques par SMS ou smishing via diverses applications de messagerie ou des e-mails personnels utilisés sur le même appareil mobile.

Formation aux cyber risques

La plupart des entreprises organisent un exercice de phishing ponctuel pour répondre aux exigences de conformité et oublient que les cyber-menaces évoluent en permanence. Les employés doivent constamment mettre à jour leurs protections contre ces menaces qui changent en permanence.

Avec une formation pour une bonne cyber-hygiène, on peut réduire considérablement les risques associés aux erreurs humaines susceptibles de provoquer des failles.

Gestion des identifiants

Les responsables de la sécurité de tous les secteurs d’activité ont la lourde tâche de protéger les actifs numériques de leur entreprise. Un des éléments clés de cette responsabilité concerne la gestion des mots de passe. Voici quelques bonnes pratiques à suivre.

  • Une architecture Zero Trust : aucun utilisateur ou système n’est considéré comme fiable par défaut. Chacun doit faire l’objet d’une vérification et d’une authentification, peu importe l’endroit où il se trouve par rapport au périmètre du réseau.
  • Single Sign-On (SSO) : les solutions SSO permettent de réduire le nombre de mots de passe qu’un collaborateur doit mémoriser.
  • Authentification à double facteurs (MFA) : la MFA permet d’ajouter une couche supplémentaire de sécurité. En règle générale, cela concerne quelque chose que l’utilisateur connaît (un mot de passe) et quelque chose dont il dispose (un terminal mobile pour recevoir un code à usage unique sur une application Authenticator ou un message texte).
  • Contrôles périodiques : des contrôles réguliers sont à faire pour s’assurer que les politiques en matière de mots de passe sont respectées. De nombreux systèmes modernes permettent aux administrateurs de savoir si les utilisateurs réutilisent leurs mots de passe ou s’ils ne les changent pas assez souvent.
  • Politiques de verrouillage des comptes : La politique de verrouillage des comptes consiste à bloquer temporairement les comptes après un certain nombre de tentatives de connexion infructueuses. Cette mesure peut contrer les attaques de force brute, mais doit être gérée de manière sensée pour éviter de bloquer involontairement les utilisateurs légitimes.
  • Expiration et changement de mot de passe : Des utilisateurs qui changent fréquemment leurs mots de passe peut dissuader les attaquants d’obtenir un accès continu à un compte. Cependant, il est essentiel de maintenir un équilibre, car des modifications trop fréquentes peuvent conduire à la création de mots de passe peu efficaces.

Mise en place d’un système de gestion et de contrôle des changements

Dans un contexte de cyber-menaces complexes, l’élément humain devient fréquemment une source de vulnérabilité. Un processus de validation à plusieurs niveaux permet de rajouter des couches de surveillance. Des experts techniques aux cadres, il fait intervenir des rôles variés réduisant ainsi efficacement les points de défaillance uniques. Cette approche minimise les risques liés à l’erreur humaine et garantit l’alignement sur des stratégies de cybersécurité. Elle fonctionne comme un mécanisme essentiel de surveillance et d’équilibre et permet à une cyberdéfense d’être plus résiliente et de s’adapter à l’évolution du paysage des menaces.
Dans un environnement où les menaces contre la cybersécurité sont en perpétuelle évolution, la question n’est plus de savoir si un incident de sécurité aura lieu ou pas, mais plutôt quand.

A LIRE AUSSI SUR LA CYBERSECURITE

Faire carrière dans la cybersécurité
Le salarié en télétravail, un danger pour la cybersécurité !?
Sensibilisation à la cybersécurité : les prémices du changement
Syndrome de l’imposteur en cybersécurité : comment l’arrêter
4 idées reçues sur la Cybersécurité, et comment vous protéger
Automatisation de la cybersécurité, sensibiliser les équipes
Cybersécurité: faire son autopromotion pour attirer des talents
Pourquoi l’implication du dirigeant est essentielle
Le risque de l’inaction des conseils d’administration Cybersécurité, former les talents et assurer leur employabilité
Les secrets dans le code + que jamais exposés
Cybersécurité : comment répondre au manque de diversité
Cybersécurité : les 5 défis que pose la généralisation du télétravail
Comment protéger vos données d’une menace interne
Cybersécurité, de + en + de femmes à des postes de direction
La stratégie de cybersécurité passe par la responsabilisation
Télétravail : les bonnes pratiques à adopter en cybersecurité

cybersecurité credit Depositphotos_Gorodenkoff

Xavier Duros, expert Cybersécurité chez Check Point Software France: Ingénieur, Ingénierie informatique (ESAIP), Xavier Duros travaille depuis 10 ans chez Check Point Software France comme expert en cybersécurité.