MetaBlog

Restez informé des sujets de formation à la cyber-sensibilisation et atténuez les risques dans votre organisation.

Comment réduire les risques humains dans votre organisation

Risque humain

sur l auteur

partager c'est prendre soin

Étude après étude, il apparaît que l'humain dans la machine augmente le risque de cybersécurité. Des recherches menées par l'université de Stanford et Tessian le confirment, en constatant que 88 % des violations de données sont dues à des erreurs commises par des employés. Mais, même sans preuve statistique, les organisations disposent de preuves anecdotiques que le facteur humain est à l'origine de nombreuses violations de données et autres incidents de sécurité. Pour réduire les risques de violation de données, vous devez réduire les risques liés aux employés et aux non-employés.

Voici un guide des types de risques que les humains font courir à une organisation et quelques idées sur la manière de réduire les risques humains.

L'erreur est humaine

Il est important de définir ce que l'on entend par "erreur humaine" pour savoir comment minimiser le risque d'une erreur de sécurité liée à l'homme.

L'erreur humaine peut être classée en deux grandes catégories :

Surveillances

Les erreurs et les fautes se produisent, et lorsqu'elles se produisent, la menace pour une organisation augmente. Un exemple typique d'oubli est l'envoi accidentel par un employé d'un courriel contenant des informations sensibles à la mauvaise personne, c'est-à-dire la livraison erronée d'un courriel.

Un autre exemple d'oubli est la mauvaise configuration d'un composant du cloud, comme une base de données. Un autre exemple encore est de penser que l'on peut partager un mot de passe avec un collègue. Les oublis couvrent le domaine général de la mauvaise manipulation des données sensibles par les employés, qui peut entraîner la non-conformité, des amendes et la perte de confiance des clients.

Déception

Les escroqueries par ingénierie sociale augmentent le risque humain dans une organisation. Les escroqueries d'ingénierie sociale, telles que les courriels de phishing contenant des pièces jointes ou des liens malveillants, peuvent accroître le risque humain dans une organisation.

Un autre exemple d'employé trompé par un acteur malveillant est le Business Email Compromise (BEC), une escroquerie par laquelle un cybercriminel amène les employés à payer des factures frauduleuses. Qu'un employé soit trompé ou qu'il commette involontairement une erreur, le résultat peut être catastrophique. Le rapport de l'unité de lutte contre la criminalité sur Internet du FBI, IC3, sur la criminalité liée aux BEC, a par exemple révélé que les pertes dues aux BEC en 2020 s'élevaient à 1,8 milliard de dollars.

5 Hacks humains qui peuvent aider à minimiser le risque humain

Les facteurs de risque liés à l'homme peuvent être atténués en appliquant cinq hacks humains qui réduisent le risque de cybersécurité :

1) Briser le cycle du clic

L'interface utilisateur (IU) et l'expérience utilisateur (UX) sont conçues pour rendre l'utilisation d'un ordinateur aussi simple que possible. Le calice d'or est l'expérience "en un clic" et, dans la mesure du possible, les concepteurs de l'interface utilisateur s'efforcent d'atteindre cet objectif.

Malheureusement, cela signifie que les employés et autres utilisateurs finissent par ne plus réfléchir avant de cliquer, car leur conditionnement UI/UX se met en place. MetaCompliance a récemment exploré la question de la réponse automatique au clic dans un autre billet intitulé "Phishing Attacks : Why Don't We Think Before We Click ?", dans lequel nous recommandons l'utilisation de tests de phishing contrôlés pour modifier le comportement des employés en matière de clics. 

2) Instaurer une culture de la sécurité

Le cyber-risque est l'affaire de tous. Lors de la création d'une culture de la cybersécurité, vous devez vous concentrer sur les domaines qui augmentent le risque dans une entreprise ou un processus, tout en étant conscient qu'il peut y avoir des niveaux de risque différents ou variables selon le département ou même l'employé. Les exercices de construction d'une culture de cybersécurité doivent refléter les besoins granulaires d'une entreprise. En créant une culture de sensibilisation à la cybersécurité, vous pouvez contribuer à réduire les risques par la connaissance. 

3) Favoriser de meilleures décisions

De nombreuses erreurs humaines qui entraînent une augmentation des cyber-risques sont simplement dues à un mauvais jugement. L'erreur humaine couvre un large éventail de problèmes qui conduisent à l'exposition de données et à d'autres incidents de sécurité. Parfois, il s'agit simplement de ne pas disposer des informations nécessaires pour prendre une bonne décision. Et parfois, il s'agit de mettre en place des structures, de sorte que la mauvaise décision ne puisse être prise. L'hygiène de la sécurité en est un bon exemple.

Une étude de Yubico a révélé que 69 % des employés partagent leurs mots de passe pour faciliter l'accès à leurs comptes. Pour réduire les risques liés au facteur humain au travail, enseignez au personnel l'importance de ne pas partager les mots de passe, et renforcez ce principe en imposant l'utilisation de l'authentification par second facteur (2FA) pour toutes les applications qui la prennent en charge.

4) Cyber-hygiène pour réduire le risque d'erreur humaine

Apprendre aux employés la cyber-hygiène ajoute du poids aux questions d'hygiène de sécurité mentionnées ci-dessus. La cyber-hygiène couvre une série de domaines et comprend une politique de bureau propre qui peut être appliquée. Les bonnes pratiques en matière de cyber-hygiène réduisent les risques de sécurité en ligne et préservent la santé des systèmes informatiques. Elle contribuera également à la conformité aux normes de sécurité telles que la norme ISO27001.

La pratique de la cyber-hygiène s'étend des employés à une attention générale à la santé des systèmes informatiques ; il s'agit notamment d'utiliser des outils appropriés pour surveiller les menaces potentielles, de s'assurer que les certificats numériques sont mis à jour, que les correctifs sont rapidement déployés, etc. Les bonnes pratiques en matière de cyberhygiène consistent à s'assurer que toute erreur humaine dans la configuration des systèmes ou dans les processus d'entreprise est détectée avant d'être exploitée.

5) Intégrez les personnes dans votre approche multicouche de la sécurité

Les employés sont souvent à l'origine d'une augmentation du cyber-risque, mais c'est aussi là qu'une organisation peut dérisquer le facteur humain. En veillant à ce que les employés et les non-employés fassent partie d'une approche stratifiée de la cybersécurité, votre entreprise peut garantir une réduction globale des risques liés aux "personnes, aux processus et à la technologie".

En faisant participer l'ensemble du personnel à la formation, du PDG à la personne la plus récemment nommée, vous couvrez toutes les lacunes où des données peuvent fuir ou des incidents de sécurité peuvent se produire.

Réduire les risques liés à la naissance humaine

Les employés ne sont que des êtres humains, et les êtres humains font des erreurs ou peuvent être manipulés socialement par des cybercriminels. Des employés bien informés et engagés peuvent aider à surmonter le risque humain dans une organisation. Une stratégie de sécurité claire couvrant les personnes, les processus et la technologie permettra de réduire les risques liés au facteur humain dans toute organisation. Cette stratégie doit s'appuyer sur des programmes de formation à la sécurité pour contribuer à l'instauration d'une culture de la sécurité qui permettra ensuite à vos collaborateurs d'être votre première ligne de défense contre les erreurs et les manipulations.

10 façons d'améliorer la sensibilisation du personnel à la cybersécurité

vous pourriez apprécier de lire ces

Demander une démo

Les informations personnelles que vous nous fournissez dans ce formulaire ne seront jamais utilisées par MetaCompliance (en tant que contrôleur des données) qu'aux fins spécifiquement définies ci-dessous :

  • vous envoyer par courrier électronique le contenu que vous nous avez demandé
  • avec votre consentement, vous envoyer occasionnellement par courrier électronique des informations ciblées sur nos offres de services.
  • honorer en permanence toute demande de retrait que vous soumettez à l'avenir
  • se conformer à l'une de nos obligations légales et/ou réglementaires