Le facteur humain, clé de la cybersécurité

0

La plupart des cyber-attaques exploitent le facteur humain pour s’introduire dans le système d’information des entreprises. L’envoi d’un email piégé (phishing) ou la distribution de clé USB infectée sont souvent beaucoup plus efficaces que nombre de techniques d’attaque dites « avancées ».

Fort de ce constat, les grandes entreprises ont compris depuis longtemps l’enjeu que représente la sensibilisation de leurs employés. A quoi bon avoir les mécanismes de sécurité les plus robustes si les employés sont prêts à cliquer sur n’importe quoi ?

Par Matthieu Garin

Des employés déjà très sensibilisés

Les plans d’actions de sensibilisation se sont multipliés pour traiter le problème : sessions plénières, campagnes d’affichage, pages dédiées sur l’Intranet… beaucoup d’initiatives, pour des résultats malheureusement décevants. Faites le test : il suffit de demander à un employé s’il sait qui contacter en cas de mail suspicieux pour mesurer le chemin qu’il reste à parcourir.
Mais alors comment peut-on améliorer la situation ? La réponse est dans la sémantique : il ne s’agit plus de sensibiliser à la cybersécurité (les médias s’en chargent) mais de former les employés pour qu’ils acquièrent les réflexes qui sauvent.

Place à l’acquisition de réflexes

Relativisons, les bonnes pratiques à acquérir ne sont pas si nombreuses et complexes. Pour l’essentiel, un employé doit être en mesure de protéger les données qu’il manipule et de signaler rapidement un comportement qu’il considère comme anormal (ingénierie sociale, virus sur son poste de travail…). Ces deux objectifs doivent faire l’objet de procédures concrètes (utilisation d‘un mot de passe complexe, chiffrement par un outil dédié…), et si possible contextualisées au poste de l’employé. Le service recrutement doit par exemple recevoir des consignes spécifiques dans la mesure où ses employés reçoivent quotidiennement des dizaines de CV d’inconnus depuis l’extérieur.

Pour accompagner cette « personnification » des conseils, de plus en plus d’entreprises complètent leur arsenal classique de formation par la mise en place de hotlines sécurité, voire même des chat-bots spécialisés en sécurité, à même de répondre à toutes les questions des employés.

Les « serious games » peuvent également apporter une aide précieuse dans une stratégie de formation. Il s’agit tout simplement de mettre en place un jeu, qu’il s’agisse d’un simple QCM en ligne ou d’un jeu vidéo sur smartphone, confrontant les employés à des situations du quotidien. De nombreuses sociétés, start-up ou éditeurs de jeux vidéo, proposent désormais ce type de service, contextualisant les messages aux enjeux de leurs clients, et proposant des récompenses en fonction du niveau de jeu atteint. Notons au passage qu’un jeu bien ficelé, parfaitement adapté à la culture de l’entreprise, ne manquera pas de susciter l’intérêt et faire parler de lui à la machine à café… et c’est déjà une belle victoire !

Et à l’exercice en temps réel

Encore plus percutant, de nombreuses entreprises choisissent de piéger leurs collaborateurs pour susciter une prise de conscience. Les deux grands classiques sont naturellement la clé USB négligemment déposée en salle de pause ou la fausse campagne de phishing. Qui peut résister à un mail imitant parfaitement le support informatique, vous demandant de fournir votre mot de passe entreprise pour procéder à un changement de PC ? S’il tombe dans le piège, l’employé est redirigé vers un site Web lui expliquant son erreur, et rappelant les différentes procédures sécurité. Une bonne manière de recruter de nouveaux participants au serious game ! Apport non négligeable, ce type de test permet également aux équipes sécurité de mesurer l’efficacité de leurs efforts en produisant des statistiques sur le nombre d’employés tombés dans le piège.

Le coup de cœur de Matthieu Garin
La série Mr. Robot

Matthieu Garin
Senior manager, Wavestone

Matthieu conseille depuis plus de 10 ans les grandes entreprises internationales dans leurs stratégies cybersécurité. Il a en particulier piloté plusieurs projets liés à la mise en place de programmes majeurs de cybersécurité et à la réorganisation des filières sécurité dans un contexte d’ouverture des Systèmes d’Information (Cloud) et de montée en puissance de l’innovation (Machine Learning, Blockchain…).

Linkedin : https://www.linkedin.com/in/matthieu-garin-3336481/

Réagissez !

Votre adresse email ne sera pas publiée.

Vérification de sécurité * Le temps imparti est dépassé. Merci de recharger le CAPTCHA.