Facteur Humain
10/12/23 16:10
Mots de passe faibles, mises à jour de sécurité négligées, ransomwares… les cybercriminels s’évertuent à traquer dans le cyberespace tout collaborateur mal préparé. Et oui il est vrai qu’en y regardant de plus près, les incidents de sécurité arrivent parce que les utilisateurs n’ont pas conscience des dangers environnants, qu’ils ont cliqué sur un lien malfaisant ou ouvert une pièce jointe empoisonné par un malware. Dans ce domaine j’entends souvent des remarques négatives à l’encontre de l’utilisateur : le problème est entre la chaise et le clavier, c’est un problème de couche 8, le facteur de risque le plus important est le collaborateur…etc. J’en suis certain, vous l’avez tous entendu, peut-être même l’avez-vous dit vous-même. Je suis d’accord sur une chose, pour se prémunir contre la menace cyber qui ne cesse de croître, les solutions de défense doivent s’accompagner de programmes de sensibilisation et d’éducation aux risques. Pas de cybersécurité maitrisée sans une acculturation des personnels aux risques cyber et aux bonnes pratiques.
Dans la vraie vie, et s’il est exact que les technologies offrent des ouvertures aux acteurs de la menace, ce sont bien, en définitive, des hommes et des femmes qui agissent et qui souvent sont à l’origine de la primo-infection. Ce sont aussi eux qui sont impactés par les failles de sécurité et les conséquences de leurs exploitations par des agents malfaisants. Enfin, les acteurs de la menace sont aussi des êtres humains dans la plupart des cas et majoritairement même s’il est probable que l’intelligence artificielle soit amenée à jouer un rôle de plus en plus important dans le domaine. Cela devient donc une évidence, en tant que telle, la cybersécurité relève en premier lieu de l’Humain.
Il est séduisant de penser qu’il pourrait être possible de faire l’acquisition d’une technologie qui prendrait tout en charge pour nous et nous mettrait à l’abri. Malheureusement, il n’existe rien de tel. Les pares-feux et autres solutions de cybersécurité ne peuvent pas tout faire. Ces outils dépendent d’êtres humains pour les configurer et pour filtrer les informations. Les technologies sont aptes à collecter, analyser et stocker des données, mais l’étape clé de la prise de décision revient toujours à l’Humain. Pourquoi ? A ce jour, les machines sont incapables de supplanter l’imagination et l’intuition de l’Homme.
Le facteur humain joue ainsi un rôle crucial en cybersécurité, à la fois en tant que maillon faible potentiel de la chaîne de sécurité et en tant qu'élément clé pour renforcer la protection des systèmes d'information.
Le facteur humain est présent partout dans le domaine de la cybersécurité, voici une liste non exhaustive des endroits où il joue un rôle :
· Les utilisateurs, qu'il s'agisse d'employés d'une organisation ou de particuliers, constituent finalement la plupart du temps l’agent de compromission. Il y a toujours dans une chaine d’attaque une action humaine. La plupart du temps menée de bonne foi parce que la personne en question a été abusée. C’est en cela que la sensibilisation aux risques cyber, l’acculturation aux bonnes pratiques sont des points essentiels d’une politique de sécurité cyber. Correctement former les utilisateurs permet d’inverser cette tendance en transformant le collaborateur en premier rampart contre les attaques.
· L’humain a cette particularité qu’il commet des erreurs. Les erreurs humaines sont l'une des principales causes d'incidents de sécurité. Les utilisateurs peuvent involontairement cliquer sur des liens malveillants, divulguer des informations sensibles ou négliger les bonnes pratiques de sécurité. Ici encore, une formation adéquate et des procédures correctes peuvent réduire ces erreurs. L’erreur humaine intervient aussi au niveau de la configuration des équipement actifs, notamment de sécurité et ainsi, un équipement sensé réduire le risque peut constituer une opportunité d’intrusion ou d’exploitation pour un agent malfaisant à cause d’une configuration erronée.
· Les attaquants utilisent souvent des tactiques d'ingénierie sociale pour manipuler les individus et les inciter à divulguer des informations confidentielles ou à effectuer des actions nuisibles. La sensibilisation à la sécurité peut aider à reconnaître et à contrer ces attaques. Mais il faut être réaliste, la capacité des cybercriminels à profiter des biais cognitifs humains ne permettra très certainement pas à supprimer complétement le risque, mais au moins, d’éviter les tentatives les moins sophistiquées. La bonne nouvelle est que les attaquants aussi sont soumis aux biais cognitifs et qu’ils font aussi des erreurs parfois, cela peut justement permettre de rendre l’attaque inefficace ou d’éveiller les soupçons de la victime potentielle.
· Les mots de passe constituent également un risque important, non pas en eux-mêmes mais parce qu’ils sont choisis, manipulés et utilisés par des humains. A ce titre pour des raisons de simplicités, de confort ou d’habitudes (mauvaises) il peuvent être faibles, partagés, notés ou mal gérés. Ils constituent ainsi une vulnérabilité majeure. Les utilisateurs doivent être encouragés à utiliser des mots de passe forts, à les changer régulièrement, et à ne pas les partager. Il existe aussi des technologies qui permettent de s’en affranchir et donc de supprimer cette faiblesse potentielle. Cette problématique dépasse d’ailleurs celle uniquement des mots de passe, il s’agit de la gestion des identités numériques qui est un aspect crucial de la cybersécurité.
· Les utilisateurs doivent avoir les niveaux d'accès appropriés aux systèmes et aux données. La gestion des identités et des accès (IAM) est cruciale pour garantir que seules les personnes autorisées ont accès aux ressources appropriées et cela dans la durée. Une personne qui change de poste ou qui quitte l’entreprise devrait voir ses comptes modifiés ou supprimés en conséquence, mais ce n’est pas toujours le cas.
· La cybersécurité est également influencée par la gestion des appareils. Les utilisateurs sont la plupart du temps acteur dans le maintien de leurs équipements en conditions de sécurité (mise à jour, correctifs, procédures spécifiques…) Ce n’est là aussi pas toujours le cas par manque de temps, de compréhension des enjeux ou tout simplement pas négligence.
· Les organisations doivent promouvoir une culture de la sécurité, où la cybersécurité est intégrée dans les pratiques quotidiennes. Cela inclut des politiques, des procédures et des normes de sécurité bien définies, ainsi que la responsabilisation des employés, ici encore le facteur humain intervient. Le plus difficile à obtenir étant une implication effective, engagée et maintenue dans le temps de tous les collaborateurs.
· Les utilisateurs peuvent souvent jouer un rôle dans la détection précoce des incidents de sécurité en signalant les comportements ou les activités suspectes. Il est important qu’ils soient sensibilisés à cela, qu’ils comprennent le risque, soit éduqués aux pratiques malfaisantes et qu’ils sachent à qui et comment signaler ces incidents au sein de l'organisation.
· La cybersécurité évolue constamment, les cyber-attaques aussi et les utilisateurs doivent être formés en permanence pour rester au fait des dernières menaces et des meilleures pratiques de sécurité. Avoir une attitude responsable en termes de numérique nécessite obligatoirement d’avoir une perception des pratiques malveillantes et des méthodes potentiellement utilisées par les agents de la menace, cela ne peut se faire sans un programme de sensibilisation établi dans la durée.
En résumé, le facteur humain est un maillon essentiel de la cybersécurité, à la fois en tant que source potentielle de vulnérabilités et en tant qu'acteur clé dans la protection des systèmes d'information. Une sensibilisation adéquate, une éducation continue et des politiques de sécurité solides sont nécessaires pour atténuer les risques liés au facteur humain en cybersécurité.
Dans la vraie vie, et s’il est exact que les technologies offrent des ouvertures aux acteurs de la menace, ce sont bien, en définitive, des hommes et des femmes qui agissent et qui souvent sont à l’origine de la primo-infection. Ce sont aussi eux qui sont impactés par les failles de sécurité et les conséquences de leurs exploitations par des agents malfaisants. Enfin, les acteurs de la menace sont aussi des êtres humains dans la plupart des cas et majoritairement même s’il est probable que l’intelligence artificielle soit amenée à jouer un rôle de plus en plus important dans le domaine. Cela devient donc une évidence, en tant que telle, la cybersécurité relève en premier lieu de l’Humain.
Il est séduisant de penser qu’il pourrait être possible de faire l’acquisition d’une technologie qui prendrait tout en charge pour nous et nous mettrait à l’abri. Malheureusement, il n’existe rien de tel. Les pares-feux et autres solutions de cybersécurité ne peuvent pas tout faire. Ces outils dépendent d’êtres humains pour les configurer et pour filtrer les informations. Les technologies sont aptes à collecter, analyser et stocker des données, mais l’étape clé de la prise de décision revient toujours à l’Humain. Pourquoi ? A ce jour, les machines sont incapables de supplanter l’imagination et l’intuition de l’Homme.
Le facteur humain joue ainsi un rôle crucial en cybersécurité, à la fois en tant que maillon faible potentiel de la chaîne de sécurité et en tant qu'élément clé pour renforcer la protection des systèmes d'information.
Le facteur humain est présent partout dans le domaine de la cybersécurité, voici une liste non exhaustive des endroits où il joue un rôle :
· Les utilisateurs, qu'il s'agisse d'employés d'une organisation ou de particuliers, constituent finalement la plupart du temps l’agent de compromission. Il y a toujours dans une chaine d’attaque une action humaine. La plupart du temps menée de bonne foi parce que la personne en question a été abusée. C’est en cela que la sensibilisation aux risques cyber, l’acculturation aux bonnes pratiques sont des points essentiels d’une politique de sécurité cyber. Correctement former les utilisateurs permet d’inverser cette tendance en transformant le collaborateur en premier rampart contre les attaques.
· L’humain a cette particularité qu’il commet des erreurs. Les erreurs humaines sont l'une des principales causes d'incidents de sécurité. Les utilisateurs peuvent involontairement cliquer sur des liens malveillants, divulguer des informations sensibles ou négliger les bonnes pratiques de sécurité. Ici encore, une formation adéquate et des procédures correctes peuvent réduire ces erreurs. L’erreur humaine intervient aussi au niveau de la configuration des équipement actifs, notamment de sécurité et ainsi, un équipement sensé réduire le risque peut constituer une opportunité d’intrusion ou d’exploitation pour un agent malfaisant à cause d’une configuration erronée.
· Les attaquants utilisent souvent des tactiques d'ingénierie sociale pour manipuler les individus et les inciter à divulguer des informations confidentielles ou à effectuer des actions nuisibles. La sensibilisation à la sécurité peut aider à reconnaître et à contrer ces attaques. Mais il faut être réaliste, la capacité des cybercriminels à profiter des biais cognitifs humains ne permettra très certainement pas à supprimer complétement le risque, mais au moins, d’éviter les tentatives les moins sophistiquées. La bonne nouvelle est que les attaquants aussi sont soumis aux biais cognitifs et qu’ils font aussi des erreurs parfois, cela peut justement permettre de rendre l’attaque inefficace ou d’éveiller les soupçons de la victime potentielle.
· Les mots de passe constituent également un risque important, non pas en eux-mêmes mais parce qu’ils sont choisis, manipulés et utilisés par des humains. A ce titre pour des raisons de simplicités, de confort ou d’habitudes (mauvaises) il peuvent être faibles, partagés, notés ou mal gérés. Ils constituent ainsi une vulnérabilité majeure. Les utilisateurs doivent être encouragés à utiliser des mots de passe forts, à les changer régulièrement, et à ne pas les partager. Il existe aussi des technologies qui permettent de s’en affranchir et donc de supprimer cette faiblesse potentielle. Cette problématique dépasse d’ailleurs celle uniquement des mots de passe, il s’agit de la gestion des identités numériques qui est un aspect crucial de la cybersécurité.
· Les utilisateurs doivent avoir les niveaux d'accès appropriés aux systèmes et aux données. La gestion des identités et des accès (IAM) est cruciale pour garantir que seules les personnes autorisées ont accès aux ressources appropriées et cela dans la durée. Une personne qui change de poste ou qui quitte l’entreprise devrait voir ses comptes modifiés ou supprimés en conséquence, mais ce n’est pas toujours le cas.
· La cybersécurité est également influencée par la gestion des appareils. Les utilisateurs sont la plupart du temps acteur dans le maintien de leurs équipements en conditions de sécurité (mise à jour, correctifs, procédures spécifiques…) Ce n’est là aussi pas toujours le cas par manque de temps, de compréhension des enjeux ou tout simplement pas négligence.
· Les organisations doivent promouvoir une culture de la sécurité, où la cybersécurité est intégrée dans les pratiques quotidiennes. Cela inclut des politiques, des procédures et des normes de sécurité bien définies, ainsi que la responsabilisation des employés, ici encore le facteur humain intervient. Le plus difficile à obtenir étant une implication effective, engagée et maintenue dans le temps de tous les collaborateurs.
· Les utilisateurs peuvent souvent jouer un rôle dans la détection précoce des incidents de sécurité en signalant les comportements ou les activités suspectes. Il est important qu’ils soient sensibilisés à cela, qu’ils comprennent le risque, soit éduqués aux pratiques malfaisantes et qu’ils sachent à qui et comment signaler ces incidents au sein de l'organisation.
· La cybersécurité évolue constamment, les cyber-attaques aussi et les utilisateurs doivent être formés en permanence pour rester au fait des dernières menaces et des meilleures pratiques de sécurité. Avoir une attitude responsable en termes de numérique nécessite obligatoirement d’avoir une perception des pratiques malveillantes et des méthodes potentiellement utilisées par les agents de la menace, cela ne peut se faire sans un programme de sensibilisation établi dans la durée.
En résumé, le facteur humain est un maillon essentiel de la cybersécurité, à la fois en tant que source potentielle de vulnérabilités et en tant qu'acteur clé dans la protection des systèmes d'information. Une sensibilisation adéquate, une éducation continue et des politiques de sécurité solides sont nécessaires pour atténuer les risques liés au facteur humain en cybersécurité.