L' »homme dans la machine » est un élément fondamental à prendre en compte lors de l’élaboration d’une stratégie efficace visant à minimiser les risques en matière de cybersécurité. Toutefois, cette affirmation comporte de nombreux aspects, car nos employés jouent un rôle essentiel dans la réussite de notre organisation ; au lieu de jeter le blâme, nous devons distinguer le malveillant de l’accidentel, en détectant le premier et en prévenant le second.

Grâce à une formation ciblée sur la sensibilisation à la sécurité, il est possible d’atténuer les facteurs humains qui conduisent à des défaillances humaines. Voici comment et pourquoi le risque de cybersécurité peut être géré par une sensibilisation à la sécurité.

Pourquoi les facteurs humains sont à l’origine des risques de cybersécurité

Le facteur humain dans le risque de cybersécurité est généralement appelé « menace de l’intérieur ». Les « initiés » peuvent être des salariés ou des non-salariés, tels que des consultants. Le simple fait que les initiés fassent partie intégrante des processus d’une organisation et qu’ils utilisent les ressources informatiques avec leur permission rend difficile la résolution des défaillances humaines à l’origine du risque de cybersécurité.

Le risque de cybersécurité lié aux initiés est un problème majeur : le rapport 2020 Insider Threat Report de Cyber Security Insiders souligne que 68 % des organisations se sentent « modérément à extrêmement vulnérables » aux menaces d’initiés. Cela n’est pas surprenant si l’on considère les cyberattaques qui ont fait la une des journaux l’année dernière, comme le piratage de Twitter en 2020, où des comptes Twitter de premier plan, dont celui de Barack Obama, ont été accédés et utilisés pour inciter les utilisateurs de Twitter à effectuer des transactions illicites en bitcoins. Les pertes sont estimées à environ 180 millions de dollars (129 millions de livres sterling) et le cours de l’action de Twitter a été réduit de 4 %. Le piratage a consisté en un « spear-phishing » (harponnage) des employés de Twitter et en un vol d’identifiants privilégiés.

Les facteurs humains sont utilisés par les cybercriminels pour effectuer des accès non autorisés, voler des informations d’identification et infecter les systèmes informatiques et les terminaux avec des logiciels malveillants tels que les ransomwares. Sans l’effet de l’homme dans la machine, la cybercriminalité serait beaucoup plus difficile.

Les facteurs humains à l’origine des défaillances humaines

Selon une étude d’IBM, les trois principaux domaines sur lesquels il convient de se concentrer lors de l’élaboration de stratégies de sécurité visant à atténuer les risques liés à la cybersécurité sont les suivants :

  1. Hameçonnage

  2. Analyser et exploiter

  3. Utilisation non autorisée des données d’identification

Les trois vecteurs comportent un élément qui implique un facteur humain à un moment ou à un autre de la chaîne d’attaque.

Phishing et Spear-phishing – facteurs humains : Il faut qu’une cible humaine clique sur un lien ou ouvre une pièce jointe infectée pour commencer la chaîne d’infection. Souvent, le phishing est utilisé pour cibler les utilisateurs privilégiés (spear phishing) afin de récupérer leurs informations d’identification. Les utilisateurs privilégiés ont accès à des ressources plus importantes – le vol d’informations d’identification privilégiées est le calice d’or du piratage. Ici, un facteur humain, tel que la réponse automatisée au clic, entre en jeu.

Scanner et exploiter – défaillance humaine : les pirates utilisent tout ce qui leur facilite la vie et la possibilité de scanner automatiquement les vulnérabilités est un vecteur utile d’infection par des logiciels malveillants. Les composants des systèmes informatiques, tels que les serveurs web, les bases de données et les applications en nuage, peuvent finir par être mal configurés si l’impact d’une sécurité insuffisante n’est pas pleinement compris. Des applications et des composants web non sécurisés entraînent des failles de sécurité que les pirates peuvent exploiter. Dans ce cas, l’échec humain entraîne un risque de cybersécurité.

Utilisation non autorisée d’informations d’identification – défaillance humaine et facteurs humains : le vol d’informations d’identification entraîne un accès non autorisé aux systèmes et ressources informatiques. Les moyens d’utiliser les informations d’identification sans autorisation sont les suivants :

  • Shoulder surfing : les informations d’identification sont volées lorsqu’une personne malveillante regarde quelqu’un saisir un mot de passe.

  • Phishing: le fait de tromper une personne en l’incitant à saisir ses identifiants de connexion sur une page de connexion falsifiée.

  • Ingénierie sociale : le fait de tromper une personne pour qu’elle remette un identifiant de connexion par téléphone, dans les médias sociaux ou en utilisant d’autres méthodes de communication, telles que les courriels, les services d’assistance et les textos.

Dans les trois vecteurs de piratage les plus réussis, le facteur humain et l’échec humain occupent une place importante. Le risque de cybersécurité est concentré chez nos employés et les non-employés, mais comment pouvons-nous réduire ce risque ?

Meilleures pratiques pour éviter que les facteurs humains ne deviennent des défaillances humaines ?

Une étude de Kaspersky, qui s’est concentrée sur le rôle que jouent les facteurs humains dans les risques de cybersécurité, a révélé que le « personnel négligent ou mal informé » est la deuxième cause la plus probable d’une atteinte grave à la sécurité ; l’infection par des logiciels malveillants est la première, mais elle est souvent elle-même causée par du personnel négligent ou mal informé. Le niveau de risque associé aux facteurs humains étant élevé, il est essentiel de réduire les défaillances pour atténuer les risques en matière de sécurité.

Deux domaines se distinguent, qui concernent à la fois le personnel négligent et le personnel mal informé :

Décisions imprudentes entraînant une défaillance de la sécurité: faire de mauvais choix en matière de sécurité, comme mal configurer les systèmes et composants informatiques ou cliquer sur un lien d’hameçonnage avant de réfléchir, sont des défaillances humaines qui entraînent un risque accru en matière de cybersécurité. La mauvaise configuration des systèmes et des composants informatiques est un exemple de décision de sécurité imprudente. Cliquer sur un lien d’hameçonnage en est un autre. Le personnel informatique et non informatique est capable de prendre des décisions imprudentes qui entraînent des défaillances de sécurité. Veiller à ce que l’ensemble du personnel, technique ou non, soit conscient de l’impact de ses choix est un moyen fondamental d’atténuer le risque de cybersécurité.

Un personnel non informé à l’origine d’une défaillance de la sécurité : si le personnel n’est pas conscient de ses actes, comment peut-il en connaître les conséquences sur le plan de la sécurité ? Les entreprises forment régulièrement leur personnel dans d’autres domaines d’activité, et cette pratique devrait être étendue à la sensibilisation à la sécurité. La formation du personnel à la sécurité comprend la compréhension du fonctionnement du phishing, ainsi que d’autres failles de sécurité courantes, telles que le partage de mot de passe et la mauvaise distribution des courriels. D’après le Verizon Data Breach Investigation Report (DBIR), les erreurs d’acheminement continuent d’augmenter en tant que forme d’erreur humaine.

Atténuer le facteur humain dans les risques de cybersécurité

L’étude de Kaspersky a mis en évidence un élément crucial de l’échec humain en matière de sécurité : l’envie de dissimuler les erreurs. L’étude a révélé que dans 40 % des entreprises, les employés cachaient les incidents de sécurité. Ce chiffre devrait tirer la sonnette d’alarme et inciter les gens à renforcer leur formation en matière de sécurité. Même si l’employé a compris les implications d’un événement de sécurité, il s’est senti obligé de cacher l’information. La question de savoir pourquoi se pose, avec une réponse en deux parties :

Faire de la sécurité une culture : cela peut paraître cliché, mais si la notion de sécurité est ancrée dans votre culture d’entreprise, il est moins probable que le personnel se sente dépassé et effrayé en cas d’incident. La formation à la sensibilisation à la sécurité permet de créer une culture de la sécurité en aidant les employés à acquérir des habitudes positives en matière de sécurité.

Facilitez le signalement d’un incident de sécurité : les incidents doivent être signalés afin que le personnel compétent puisse y réagir en fonction du niveau de risque. Un système de signalement, conçu pour rendre le signalement très facile pour les employés, rendra le signalement d’incidents moins pénible et le rendra plus probable.

Les facteurs humains entraînent des défaillances humaines. Grâce à une formation de sensibilisation à la cybersécurité, les organisations peuvent s’attaquer aux comportements humains qui sont à l’origine d’erreurs d’inattention et de mauvaises décisions, réduisant ainsi les risques en matière de cybersécurité.

risque de cybersécurité