MetaBlog

Restez informé des sujets de formation à la cyber-sensibilisation et atténuez les risques dans votre organisation.

Risques liés à la cybersécurité : Facteurs humains ou défaillances humaines ?

risque de cybersécurité

sur l auteur

partager c'est prendre soin

L'"humain dans la machine" est un élément fondamental à prendre en compte lors de l'élaboration d'une stratégie efficace pour minimiser les risques de cybersécurité. Toutefois, cette affirmation comporte de nombreux aspects, car nos employés sont un élément essentiel de la réussite de notre organisation. Au lieu de rejeter la faute sur les autres, nous devons distinguer le malveillant de l'accidentel, détecter le premier et prévenir le second.

Grâce à une formation ciblée de sensibilisation à la sécurité, les facteurs humains qui conduisent à des défaillances humaines peuvent être atténués. Voici comment et pourquoi le risque de cybersécurité peut être géré par une sensibilisation à la sécurité.

Pourquoi les facteurs humains sont à l'origine des risques de cybersécurité

Le facteur humain dans le risque de cybersécurité est généralement appelé "menace de l'initié". L'"initié" peut être un employé ou un non-employé, par exemple un consultant. Le simple fait que les initiés fassent partie intégrante des processus d'une organisation et qu'ils utilisent les ressources informatiques avec autorisation rend difficile la résolution des défaillances humaines à l'origine du risque de cybersécurité.

Le risque de cybersécurité lié aux initiés est un problème majeur : le rapport 2020 sur les menaces liées aux initiés, publié par la société de cybersécurité Insiders, indique que 68 % des organisations se sentent "modérément à extrêmement vulnérables" aux menaces liées aux initiés. Ce constat n'est pas surprenant si l'on considère les grands titres des cyberattaques de l'année dernière, comme le piratage de Twitter en 2020, où des comptes Twitter très en vue, dont celui de Barack Obama, ont été utilisés pour inciter les utilisateurs de Twitter à effectuer des transactions illicites en bitcoins. Les pertes sont estimées à environ 180 millions de dollars (129 millions de livres sterling) et le cours de l'action Twitter a chuté de 4 %. Le piratage a impliqué le harponnage d'employés de Twitter et le vol d'informations d'identification privilégiées.

Les facteurs humains sont utilisés par les cybercriminels pour effectuer des accès non autorisés, voler des informations d'identification et infecter les systèmes informatiques et les terminaux avec des logiciels malveillants tels que les ransomwares. Sans l'effet de l'homme dans la machine, la cybercriminalité serait beaucoup plus difficile.

Les facteurs humains qui conduisent aux défaillances humaines

Selon une étude d'IBM, les trois principaux domaines sur lesquels il convient de se concentrer lors de l'élaboration de stratégies de sécurité visant à atténuer les risques de cybersécurité sont les suivants

  1. Phishing
  2. Scanner et exploiter
  3. Utilisation non autorisée d'informations d'identification

Ces trois vecteurs comportent un élément qui implique un facteur humain à un moment donné de la chaîne d'attaque.

Phishing et Spear-phishing - facteurs humains : Il faut qu'une cible humaine clique sur un lien ou ouvre une pièce jointe infectée pour amorcer la chaîne d'infection. Souvent, le phishing sera utilisé pour cibler des utilisateurs privilégiés (spear phishing) afin de récolter leurs informations d'identification. Les utilisateurs privilégiés ont accès à des ressources plus importantes - le vol d'informations d'identification privilégiées est le calice d'or du piratage. Ici, un facteur humain, tel que la réponse automatique au clic, entre en jeu.

Scanner et exploiter - défaillance humaine : les pirates utilisent tout ce qui leur facilite la vie et la possibilité de scanner automatiquement les vulnérabilités est un vecteur utile pour l'infection par des logiciels malveillants. Les composants des systèmes informatiques, tels que les serveurs web, les bases de données et les applications en nuage, peuvent être mal configurés si l'impact d'une sécurité insuffisante n'est pas pleinement compris. Des applications et des composants web non sécurisés entraînent des failles de sécurité que les pirates peuvent exploiter. Dans ce cas, la défaillance humaine entraîne un risque de cybersécurité.

Utilisation non autorisée d'informations d'identification - défaillance humaine et facteurs humains : le vol d'informations d'identification entraîne un accès non autorisé aux systèmes et ressources informatiques. Les moyens d'utiliser les informations d'identification sans autorisation sont les suivants :

  • Shoulder surfing : les informations d'identification sont volées lorsqu'une personne malveillante regarde quelqu'un saisir un mot de passe.
  • Hameçonnage (phishing): tromper une personne pour qu'elle saisisse ses identifiants de connexion sur une page de connexion falsifiée.
  • Ingénierie sociale : inciter une personne à donner ses identifiants de connexion par téléphone, sur les médias sociaux ou par d'autres méthodes de communication, comme les courriels, les services d'assistance et les textos.

Dans les trois vecteurs de piratage les plus efficaces, le facteur humain et l'échec humain occupent une place importante. Le risque de cybersécurité est concentré dans nos employés et nos non-employés, mais comment pouvons-nous réduire ce risque ?

Meilleures pratiques pour éviter que les facteurs humains ne deviennent des défaillances humaines ?

Une étude de Kaspersky, axée sur le rôle que jouent les facteurs humains dans le risque de cybersécurité, a révélé que le "personnel négligent ou mal informé" est la deuxième cause la plus probable d'une violation grave de la sécurité ; l'infection par des logiciels malveillants est la première, mais elle est souvent elle-même causée par un personnel négligent ou mal informé. Avec des niveaux de risque élevés associés aux facteurs humains, la réduction des défaillances est essentielle pour atténuer le risque de sécurité.

Deux domaines se distinguent, qui concernent à la fois le personnel négligent et le personnel non informé :

Décisions imprudentes entraînant une défaillance de la sécurité: les mauvais choix en matière de sécurité, comme la mauvaise configuration des systèmes et composants informatiques ou le fait de cliquer sur un lien d'hameçonnage sans réfléchir, sont des défaillances humaines qui entraînent un risque accru pour la cybersécurité. La mauvaise configuration des systèmes et composants informatiques est un exemple de décision de sécurité imprudente. Cliquer sur un lien de phishing en est un autre. Le personnel informatique et non informatique est capable de prendre des décisions imprudentes qui entraînent des défaillances de sécurité. S'assurer que tout le personnel, technique ou non, est conscient de l'impact de ses choix est un moyen fondamental d'atténuer le risque de cybersécurité.

Un personnel mal informé, source d'échec en matière de sécurité : si le personnel n'est pas conscient de ses actions, comment peut-il en connaître les conséquences en matière de sécurité ? Les entreprises forment régulièrement leur personnel dans d'autres domaines de l'activité, et cela devrait être étendu à la formation à la sécurité. La formation du personnel à la sécurité comprend la compréhension du fonctionnement du phishing, ainsi que d'autres défaillances de sécurité courantes, telles que le partage de mot de passe et la livraison erronée d'e-mails. Selon le Data Breach Investigation Report (DBIR) de Verizon, les erreurs de livraison continuent de progresser en tant que forme d'erreur humaine.

Atténuer le facteur humain dans le risque de cybersécurité

L'étude de Kaspersky a identifié un élément crucial de l'échec humain en matière de sécurité : l'envie de cacher les erreurs. L'étude a révélé que dans 40 % des entreprises, les employés cachaient les incidents de sécurité. Ce chiffre devrait tirer la sonnette d'alarme et inciter les gens à intensifier leur formation en matière de sécurité. Même si l'employé a compris les implications d'un événement de sécurité, il s'est senti obligé de cacher l'information. D'où la question : pourquoi ? La réponse est en deux parties :

Faire de la sécurité une culture : cela peut paraître cliché, mais si la notion de sécurité est ancrée dans votre culture d'entreprise, il est moins probable que le personnel soit accablé et ait peur lorsque quelque chose se produit. La formation à la sensibilisation à la sécurité permet de créer une culture de la sécurité en aidant les employés à acquérir des habitudes de sécurité positives.

Facilitez le signalement d'un incident de sécurité : les incidents doivent être signalés, afin que le personnel compétent puisse y donner suite en fonction du niveau de risque. Un système de notification, conçu pour faciliter la tâche des employés, rendra la notification des incidents moins pénible et plus probable.

Les facteurs humains entraînent des défaillances humaines. En s'attaquant au comportement humain qui conduit à des erreurs d'inattention et à de mauvaises décisions, une organisation peut réduire le risque de cybersécurité.

risque de cybersécurité

vous pourriez apprécier de lire ces