Octobre est le “Security Awareness Month”. Le mois de la sensibilisation à la sécurité, une période durant laquelle les organisations du monde entier enseignent aux individus les rudiments de la cybersécurité au travail et à domicile. Mais en quoi consiste exactement cette sensibilisation à la sécurité et, surtout, pourquoi est-elle essentielle? Comment doit se présenter et s’effectuer la gestion du “risque humain” ou du “facteur” humain?

Les organisations et les entreprises, la communauté de la cybersécurité et tous ceux qui s’y connaissent en la matière vous diront la même chose: les individus sont le principal facteur de risque dans notre monde de plus en plus connecté.

Le Data Breach Investigations Report de Verizon, l’un des rapports les plus fiables du secteur a par exemple indiqué qu’au cours des trois dernières années, des individus étaient impliqués dans plus de 80% des brèches de sécurité dans le monde.

Les incidents vont des personnes qui sont la cible active d’e-mails de phishing ou d’attaques de smishing (phishing ou hameçonnage par SMS) jusqu’aux personnes qui commettent de simples erreurs, comme les administrateurs informatiques qui configurent mal leurs comptes cloud et qui partagent accidentellement des données sensibles avec le reste du monde.

Mais que pouvons-nous faire si les individus représentent un tel risque?

Les technologies ne sauraient être le remède universel

L’approche traditionnelle consistait et consiste encore souvent à utiliser davantage de technologies pour résoudre le problème. Il s’agit de technologies de sécurité qui, par exemple, filtrent et bloquent les e-mails de phishing ou encore du recours à l’authentification multi-factorielle (MFA) afin d’empêcher le piratage des mots de passe.

Le problème est que les cyber-attaquants contournent facilement ces technologies, en ciblant les individus. Comme nous parvenons de mieux en mieux à identifier et à stopper les attaques de phishing, les hackers ciblent simplement les téléphones portables des individus par des attaques de smishing (basées sur des SMS ou des messages) ou continuent à harceler les gens avec de fausses demandes de MFA jusqu’à ce qu’ils en approuvent une, comme ce fut le cas dans les récentes attaques d’Uber et de Rockstar Games.

Un deuxième défi se situe au niveau des équipes de sécurité au sein des organisations: elles accusent trop souvent leurs collaborateurs d’être responsables du problème du risque humain, avec des déclarations du style “si tout le monde faisait ce que nous disons, il n’y aurait pas de problème”.

Ces déclarations impliquent que la faute incombe uniquement aux individus. Mais en examinant la cybersécurité du point de vue du collaborateur moyen, on s’aperçoit qu’en tant que communauté de sécurité, nous sommes au moins en partie responsables. En effet, nous avons rendu la cybersécurité tellement confuse, angoissante et accablante que nous avons préparé les gens à l’échec: bien souvent, ils n’ont aucune idée de ce qu’ils doivent faire ou, s’ils savent ce qu’ils doivent faire, c’est devenu tellement difficile qu’ils le font mal ou choisissent simplement une autre option.

Lance Spitzner (SANS Institue): “En examinant la cybersécurité du point de vue du collaborateur moyen, on s’aperçoit qu’en tant que communauté de sécurité, nous sommes au moins en partie responsables.”

Prenons l’exemple des mots de passe, l’un des principaux responsables des brèches de sécurité. Depuis des années, de nombreux articles et rapports relatent comment les gens continuent à utiliser des mots de passe faibles et non sécurisés. Mais comment cela se fait-il? Parce que les politiques de mots de passe sont terriblement confuses et changent sans cesse.

Beaucoup d’organisations ou de sites Internet ont une politique qui requiert des mots de passe complexes de 15 caractères, avec des lettres majuscules et minuscules, des symboles et des chiffres. Elles et ils demandent ensuite aux gens de changer ces mots de passe tous les 90 jours, sans fournir de moyen sûr pour sécuriser tous ces mots de passe longs, complexes et changeants.

Par ailleurs, nous mettons en œuvre l’authentification multi-factorielle (MFA) pour renforcer la sécurité des individus. Mais, une fois encore, c’est extrêmement confus, même pour moi qui suis un professionnel. Tout d’abord, nous utilisons différents noms pour désigner la MFA: authentification à deux facteurs, vérification en deux étapes, authentification forte, mots de passe uniques, etc.

Il existe aussi différentes manières de la mettre en œuvre, notamment via une notification, un SMS, un token FIDO [défini par la FIDO Alliance – Fast Identity Online], des applications d’authentification distinctes, etc. Chaque site Internet aborde différemment la MFA, ce qui accroît la confusion.

Lance Spitzner (SANS Institue): “Nous avons rendu la cybersécurité tellement confuse, angoissante et accablante que nous avons préparé les gens à l’échec.”

Et c’est là que la sensibilisation à la sécurité et le facteur humain entrent en jeu. L’approche traditionnelle consiste à sensibiliser à la sécurité: informer et former les collaborateurs aux rudiments de la cybersécurité.

Bien qu’il s’agisse d’un pas dans la bonne direction, nous devons aller plus loin et gérer le risque humain. Cela nécessite une approche beaucoup plus stratégique, qui s’appuie sur la sensibilisation à la sécurité, mais cela comprend également d’autres éléments. Que voici…

– Les risques: l’équipe en charge de la sensibilisation à la sécurité doit faire partie intégrante de l’équipe de sécurité et même rapporter directement au Chief Information Security Officer (CISO). Elle doit en outre travailler en étroite collaboration avec d’autres organes de sécurité, comme le Security Operations Centre, les équipes de Cyber Threat Intelligence et d’Incident Response, afin d’identifier clairement les risques humains majeurs pour l’organisation et les principaux comportements pour gérer ces risques.
Une fois ces risques et ces comportements identifiés et classés par ordre de priorité, la communication et la formation des collaborateurs peuvent débuter. Les organisations peuvent le faire via des modèles tel que le Security Awareness Maturity Model.

– Une politique: il s’agit de créer une politique de sécurité avec des processus et des procédures bien plus simples à suivre pour les individus. En d’autres termes, la politique et les ressources qui la soutiennent doivent être conçues en tenant compte des individus. Si nous voulons qu’ils utilisent l’authentification forte, nous devons nous concentrer sur quelque chose de facile à apprendre et à utiliser. Plus le processus est confus et nécessite d’actions manuelles, plus il est exploitable pour les cyber-attaquants.

– L’équipe de sécurité: les équipes de sécurité doivent communiquer avec le reste du personnel dans des termes simples et humains que chacun peut comprendre, y compris expliquer davantage le pourquoi de certaines exigences. Pourquoi les gestionnaires de mots de passe sont-ils importants? Quelle est la valeur de la MFA pour moi? À quoi servent les mises à jour automatiques?
Ce n’est qu’à cette condition que la perception des équipes de sécurité, perçues comme des équipes de geeks arrogants et négatifs, pourra être transformée en équipes positives et accessibles, qui vont de l’avant.

De plus en plus, la gestion et la maîtrise du facteur humain sont un élément fondamental de toute stratégie de cybersécurité. Si nous voulons communiquer avec les collaborateurs, les impliquer et les former, la sensibilisation à la sécurité est un premier pas dans la bonne direction. Mais pour commencer à réellement gérer le risque humain, il faut consentir des efforts stratégiques plus importants. Qui sait, le rôle du Security Awareness Officer évoluera peut-être un jour vers celui de Human Risk Officer. (Un sujet que le SANS Institute aborde dans ce billet de blog sur son site).