Facteur Humain & Cybersécurité : l’erreur humaine au centre des débats sur la sécurité informatique

Oui, facteur humain et cybersécurité sont intrinsèquement liés. Alors que la cybersécurité devient de plus en plus importante, le facteur humain est un enjeu majeur pour la cybersécurité en entreprise. "L'humain dans la machine" est un élément fondamental à prendre en compte lors de l'élaboration d'une stratégie efficace pour minimiser les risques des cybermenaces. Ceci dit, cette affirmation comporte de nombreux aspects car nos employés sont un élément essentiel de la réussite de notre organisation. Au lieu de rejeter la faute sur les autres, nous devons distinguer le malveillant de l'accidentel, détecter le premier et prévenir le second.

Grâce à une formation ciblée de sensibilisation à la sécurité, les facteurs humains qui conduisent à des défaillances humaines peuvent être atténués. Voici comment et pourquoi le risque de cybersécurité peut être géré par une sensibilisation à la sécurité auprès de vos employés.

Pourquoi les facteurs humains sont à l'origine des risques de cybersécurité

Le facteur humain dans le risque de cybersécurité est généralement appelé la "menace de l'initié". L'initié peut être un employé ou un non-employé, par exemple un consultant. Le simple fait que les initiés fassent partie intégrante des processus d'une organisation et qu'ils utilisent les ressources informatiques avec autorisation rend difficile la gestion des défaillances humaines à l'origine du risque de cybersécurité.

Le risque de cybersécurité lié aux initiés est un problème majeur : le rapport 2020 sur les menaces liées aux initiés, publié par la société de cybersécurité Insiders, indique que 68 % des organisations se sentent "modérément à extrêmement vulnérables" aux menaces liées aux initiés. Ce constat n'est pas surprenant si l'on considère les grands titres des cyberattaques des dernières années, comme le piratage de Twitter en 2020, où des comptes Twitter très en vue, dont celui de Barack Obama, ont été utilisés pour inciter les utilisateurs de Twitter à effectuer des transactions illicites en bitcoins. Les pertes sont estimées à environ 180 millions de dollars (129 millions de livres sterling) et le cours de l'action Twitter a chuté de 4 %. Le piratage a impliqué le harponnage d'employés de Twitter et le vol d'informations d'identification privilégiées.

Les facteurs humains sont utilisés par les cybercriminels pour effectuer des accès non autorisés, voler des informations d'identification, infecter les systèmes informatiques et les terminaux avec des logiciels malveillants tels que des rançongiciels (ransomware). Sans l'effet de l'homme dans la machine, la cybercriminalité serait beaucoup plus difficile.

Facteur humain et cybersécurité : les facteurs humains qui conduisent aux défaillances humaines

Selon une étude d'IBM, les trois principaux domaines sur lesquels il convient de se concentrer lors de l'élaboration de stratégies de sécurité visant à atténuer les risques de cybersécurité sont les suivants :

1. Phishing (hameçonnage)
2. Scanning et exploitation des données
3. Utilisation non autorisée d'informations d'identification

Ces trois vecteurs comportent un élément qui implique un facteur humain à un moment donné de la chaîne d'attaque.

Le facteur humain dans l'hameçonnage (phishing) et l'hameçonnage par harponnage (spear phishing) : il faut qu'une cible humaine clique sur un lien ou ouvre une pièce jointe infectée pour amorcer la chaîne d'infection. Souvent, le phishing sera utilisé pour cibler des utilisateurs privilégiés (spear phishing) afin de récolter leurs informations d'identification. Les utilisateurs privilégiés ont accès à des ressources plus importantes, et donc le vol d'informations d'identification privilégiées est le calice d'or du piratage. Ici, une erreur humaine, tel que la réponse automatique au clic, entre en jeu.

La défaillance humaine dans le scanning et l'exploitation des données : les pirates utilisent tout ce qui leur facilite la vie et la possibilité de scanner automatiquement les vulnérabilités est un vecteur utile pour l'infection par des logiciels malveillants. Les composants des systèmes informatiques, tels que les serveurs web, les bases de données et les applications en nuage, peuvent être mal configurés si l'impact d'une sécurité insuffisante n'est pas pleinement compris. Des applications et des composants web non sécurisés entraînent des failles de sécurité que les pirates peuvent exploiter. Dans ce cas, la défaillance humaine entraîne un risque de cybersécurité.

L'utilisation non autorisée d'informations d'identification : le vol d'informations d'identification entraîne un accès non autorisé aux systèmes et ressources informatiques. Les moyens d'utiliser les informations d'identification sans autorisation sont les suivants :

• Shoulder surfing : les informations d'identification sont volées lorsqu'une personne malveillante regarde quelqu'un saisir un mot de passe.
• Hameçonnage (phishing): tromper une personne pour qu'elle saisisse ses identifiants de connexion sur une page de connexion falsifiée.
• Ingénierie sociale : inciter une personne à donner ses identifiants de connexion par téléphone, sur les médias sociaux ou par d'autres méthodes de communication, comme les courriels, les services d'assistance et les textos.

Dans ces trois vecteurs de piratage les plus efficaces, le facteur humain et l'erreur humaine occupent une place importante. Le risque de cybersécurité est donc concentré sur nos employés et nos non-employés, mais comment pouvons-nous réduire ce risque ?

Facteur humain et cybersécurité : les meilleures pratiques pour éviter que les facteurs humains ne deviennent des défaillances humaines

Une étude de Kaspersky, axée sur le rôle que jouent les facteurs humains dans le risque de cybersécurité, a révélé que le "personnel négligent ou mal informé" est la deuxième cause la plus probable d'une violation grave de la sécurité ; l'infection par des logiciels malveillants est la première, mais elle est souvent elle-même causée par un personnel négligent ou mal informé. Avec des niveaux de risque élevés associés aux facteurs humains, la réduction des défaillances est essentielle pour atténuer le risque de sécurité.

Deux domaines se distinguent, qui concernent à la fois le personnel négligent et le personnel non informé :

Décisions imprudentes entraînant une défaillance de la sécurité: les mauvais choix en matière de sécurité, comme la mauvaise configuration des systèmes et composants informatiques ou le fait de cliquer sur un lien d'hameçonnage sans réfléchir, sont des défaillances humaines qui entraînent un risque accru pour la cybersécurité. La mauvaise configuration des systèmes et composants informatiques est un exemple de décision de sécurité imprudente. Cliquer sur un lien de phishing en est un autre. Le personnel informatique et non informatique est capable de prendre des décisions imprudentes qui entraînent des défaillances de sécurité. S'assurer que tout le personnel, technique ou non, est conscient de l'impact de ses choix est un moyen fondamental d'atténuer le risque de cybersécurité.

Un personnel non informé à l'origine d'une défaillance de la sécurité : si le personnel n'est pas conscient de ses actes, comment peut-il en connaître les conséquences en matière de sécurité ? Les entreprises forment régulièrement leur personnel dans d'autres domaines d'activité, et cette pratique devrait être étendue à la formation à la sensibilisation à la sécurité. La formation du personnel à la sécurité comprend la compréhension du fonctionnement du phishing, ainsi que d'autres failles de sécurité courantes, telles que le partage de mot de passe et la mauvaise distribution des courriels. D'après le Verizon Data Breach Investigation Report (DBIR), les erreurs d'acheminement continuent d'augmenter en tant que forme d'erreur humaine.

Atténuer le facteur humain dans le risque de cybersécurité

L'étude de Kaspersky a identifié un élément crucial de l'échec humain en matière de sécurité : l'envie de cacher les erreurs. L'étude a révélé que dans 40 % des entreprises, les employés cachaient les incidents de sécurité. Ce chiffre devrait tirer la sonnette d'alarme et inciter les gens à intensifier leur formation en matière de sécurité. Même si l'employé a compris les implications d'un événement de sécurité, il s'est senti obligé de cacher l'information. D'où la question : pourquoi ? La réponse est en deux parties :

Faire de la sécurité une culture : cela peut paraître cliché, mais si la notion de sécurité est ancrée dans votre culture d'entreprise, il est moins probable que le personnel soit accablé et ait peur lorsque quelque chose se produit. La formation à la sensibilisation à la sécurité permet de créer une culture de la sécurité en aidant les employés à acquérir des habitudes de sécurité positives.

Faciliter le signalement d'un incident de sécurité : les incidents doivent être signalés, afin que le personnel compétent puisse y donner suite en fonction du niveau de risque. Un système de notification, conçu pour faciliter la tâche des employés, rendra la notification des incidents moins pénible et plus probable.

Les facteurs humains entraînent des défaillances humaines. En s'attaquant au comportement humain qui conduit à des erreurs d'inattention et à de mauvaises décisions, une organisation peut réduire le risque de cybersécurité.