Comment réduire les risques humains dans votre organisation

Le risque humain en matière de cybersécurité est une préoccupation croissante, de nombreuses études indiquant que les erreurs humaines, qu’elles soient intentionnelles ou accidentelles, sont l’une des principales causes des atteintes à la sécurité. Selon une étude de l’université de Stanford et de Tessian, 88 % des violations de données sont dues à des erreurs commises par des employés. L’implication de l’homme dans la chaîne de la cybersécurité est un facteur de risque important, car les organisations ont souvent des preuves anecdotiques de l’impact des erreurs humaines sur les incidents de sécurité. Pour atténuer efficacement ces menaces, les organisations doivent s’attaquer aux risques liés à la gestion des ressources humaines en s’attaquant aux vulnérabilités non seulement des employés, mais aussi des non-employés.

Ce guide explore les différents types de risques humains au sein d’une organisation et propose des stratégies pour réduire ces risques, en mettant l’accent sur la création d’une main-d’œuvre sûre et résiliente.

L’erreur est humaine : Définir le risque humain

Il est important de définir ce que l’on entend par « erreur humaine » pour déterminer comment minimiser le risque d’une erreur de sécurité liée à l’homme.

L’erreur humaine peut être classée en deux catégories :

Contrôles

Les fautes et les erreurs se produisent, et lorsqu’elles se produisent, la menace pour une organisation augmente. Un exemple typique d’oubli est l’envoi accidentel par un employé d’un courriel contenant des informations sensibles à la mauvaise personne, c’est-à-dire la remise erronée d’un courriel.

Un autre exemple d’oubli est la mauvaise configuration d’un composant en nuage tel qu’une base de données. Un autre encore est de penser qu’il est acceptable de partager un mot de passe avec un collègue. Les oublis couvrent le domaine général de la mauvaise manipulation des données sensibles par les employés, ce qui peut entraîner une non-conformité, des amendes et une perte de confiance de la part des clients.

Tromperie

Les escroqueries par ingénierie sociale augmentent le risque humain dans une organisation. Les escroqueries par ingénierie sociale, telles que les courriels d’hameçonnage contenant des pièces jointes ou des liens malveillants, peuvent accroître le risque humain au sein d’une organisation.

Un autre exemple d’employé trompé par un acteur malveillant est le Business Email Compromise (BEC), une escroquerie par laquelle un cybercriminel incite les employés à payer des factures frauduleuses. Qu’un employé soit trompé ou qu’il commette involontairement une erreur, le résultat peut être catastrophique. Le rapport de l’unité de lutte contre la criminalité sur internet du FBI, IC3, sur la criminalité BEC, par exemple, a révélé que les pertes dues à la BEC en 2020 s’élevaient à 1,8 milliard de dollars.

Pour une discussion plus détaillée sur le rôle des employés dans la cybersécurité organisationnelle, reportez-vous à l’article Building a Human Firewall qui souligne l’importance de la formation et de la sensibilisation des employés dans la création d’une première ligne de défense solide.

Cinq stratégies pour atténuer les risques humains

Pour réduire les risques liés à la gestion des ressources humaines, les organisations peuvent mettre en œuvre cinq stratégies clés afin d’améliorer l’hygiène de la sécurité et de réduire le risque lié à l’erreur humaine :

1) Rompre le cycle du clic

Les habitudes des employés, influencées par une conception UI/UX conviviale, peuvent conduire à des actions imprudentes, telles que cliquer sur des liens malveillants sans réfléchir. Pour contrer cela, des tests de phishing contrôlés peuvent aider à modifier le comportement des clics, en encourageant les employés à être plus prudents dans leurs actions.

2) Instaurer une culture de la sécurité

Le risque cybernétique est l’affaire de tous. Lorsque vous créez une culture de la cybersécurité, vous devez vous concentrer sur les domaines qui augmentent le risque dans une entreprise ou un processus, tout en étant conscient qu’il peut y avoir des niveaux de risque différents ou variables en fonction du département ou même de l’employé. Les exercices de construction d’une culture de la cybersécurité doivent refléter les besoins granulaires d’une entreprise, et en créant une culture de la sensibilisation à la cybersécurité, vous pouvez contribuer à réduire les risques grâce à la connaissance.  

3) Favoriser de meilleures décisions

De nombreuses erreurs humaines qui entraînent un risque cybernétique accru sont simplement dues à un manque de jugement. L’erreur humaine couvre un large éventail de problèmes qui conduisent à l’exposition des données et à d’autres incidents de sécurité. Parfois, il s’agit simplement de ne pas disposer des informations nécessaires pour prendre une bonne décision. Et parfois, il s’agit de mettre en place des structures qui empêchent de prendre une mauvaise décision. L’hygiène de sécurité en est un bon exemple.

Une étude menée par Yubico a révélé que 69 % des employés partagent leurs mots de passe pour faciliter l’accès à leurs comptes. Pour réduire les risques liés au facteur humain au travail, enseignez à votre personnel l’importance de ne pas partager les mots de passe, et renforcez cela en imposant l’utilisation de l’authentification à deuxième facteur (2FA) pour toutes les applications qui prennent en charge le 2FA.

4) La cyberhygiène pour réduire le risque d’erreur humaine

L’enseignement de l’hygiène cybernétique aux employés donne plus de poids aux questions d’hygiène de la sécurité mentionnées ci-dessus. La cyberhygiène couvre une série de domaines et comprend une politique de bureau propre qui est applicable. Les bonnes pratiques en matière d’hygiène cybernétique réduiront les risques de sécurité en ligne et maintiendront les systèmes informatiques en bonne santé. Elle contribuera également au respect des normes de sécurité telles que la norme ISO 27001.

La pratique de la cyberhygiène s’étend des employés à une attention générale à la santé des systèmes informatiques ; cela inclut l’utilisation d’outils appropriés pour surveiller les menaces potentielles, veiller à ce que les certificats numériques soient mis à jour, que les correctifs soient rapidement déployés, etc. Les bonnes pratiques en matière d’hygiène informatique consistent à veiller à ce que toute erreur humaine dans la configuration des systèmes ou dans les processus d’entreprise soit détectée avant d’être exploitée.

Pour en savoir plus sur la manière d’appliquer la cyberhygiène et de minimiser les risques humains, consultez l’article Gestion des risques humains en matière de cybersécurité : Protéger votre organisation grâce à des pratiques d’hygiène efficaces.

5) Intégrez les personnes à votre approche multicouche de la sécurité

Les employés sont souvent à l’origine d’une augmentation du risque cybernétique, mais c’est aussi là qu’une organisation peut réduire les risques liés au facteur humain. En veillant à ce que les employés et les non-salariés fassent partie d’une approche stratifiée de la cybersécurité, votre entreprise peut garantir une réduction globale des risques liés aux personnes, aux processus et à la technologie.

En faisant participer l’ensemble du personnel à la formation, depuis le PDG jusqu’au dernier employé nommé, vous comblez toutes les lacunes susceptibles d’entraîner des fuites de données ou des problèmes de sécurité.

Réduire les risques dans la gestion des ressources humaines

Les erreurs humaines et l’ingénierie sociale restent parmi les plus grandes menaces pour la cybersécurité d’une organisation. Cependant, en prenant des mesures proactives – telles que la promotion d’une forte culture de la sécurité, la promotion de la cyberhygiène et l’intégration des employés dans un cadre de sécurité solide – les organisations peuvent réduire de manière significative les risques liés à la gestion des ressources humaines. Une main-d’œuvre bien informée et engagée est essentielle pour transformer la vulnérabilité humaine en un atout stratégique, renforçant ainsi la résilience globale de l’organisation face aux cybermenaces.

[faq_posts]