Les personnes sont-elles le problème de la sécurité informatique ?
Vous l’avez probablement entendu au fil des ans, les humains sont le maillon le plus faible de la chaîne de sécurité. Des tonnes d’articles accusent les humains de cliquer sur des choses à une époque où nous cliquons sur tout. Nous disposons désormais de cet outil où l’ensemble du système est construit sur le clic de liens. Cela fait même partie du lexique quotidien du bureau : « … double-cliquons dessus pendant un moment. » Bien sûr, les humains font souvent des choses stupides en matière de sécurité informatique, comme laisser leur ordinateur portable dans une voiture déverrouillée, noter leurs mots de passe sur un post-it ou être la proie d'un e-mail chargé d'émotion demandant de l'aide.
L’erreur est humaine et nous faisons tous des erreurs. Mais blâmer ce qui pourrait être votre maillon le plus fort et une partie importante de la défense d’une organisation est également une erreur.
Les employés sont souvent frustrés par les politiques de sécurité des entreprises et, en général, le travail principal de la plupart des gens n’est pas lié à la sécurité. Il se peut qu’ils ne comprennent pas les implications plus larges de leurs actions. Des politiques complexes et difficiles à respecter ne conduisent qu’à des solutions de contournement risquées au nom de la productivité. Il est important de concevoir des politiques de sécurité qui fonctionnent pour, plutôt que contre, les employés.
Selon Gurucul , qui a interrogé plus de 650 professionnels de l'informatique lors de la conférence RSA 2019, près de 75 % d'entre eux se sentaient vulnérables aux menaces internes. Parmi ces préoccupations, les erreurs d'utilisateur arrivent en tête avec 39 %, suivies des attaques d'initiés malveillants (35 %) et des compromissions de compte (26 %). Pour couronner le tout, seulement 34 % des répondants estiment être capables de détecter les menaces en temps réel. Et 33 % se concentrent sur la détection des menaces internes après l’incident plutôt que sur leur prédiction avant qu’elles ne se produisent. Enfin, 40 % ne seront pas du tout en mesure de savoir si les données ont quitté le bâtiment.
Critical Infrastructure Technology rapporte que la plupart des incidents de cybersécurité (intentionnels et accidentels) sont le résultat d’une action menée par des initiés. Nous avons été témoins de nombreux incidents au fil des ans où des personnes ont été trompées en cliquant sur une pièce jointe ou sur un lien frauduleux. Le phishing est particulièrement répandu de nos jours et, comme le note F5 Labs, il s'est avéré si efficace qu'il constitue désormais le principal vecteur d'attaque. En fait, le groupe de travail anti-hameçonnage rapporte que le phishing a augmenté de 5 753 % au cours des 12 dernières années. Et F5 Labs a découvert que le phishing était la cause principale de 48 % des cas de violation sur lesquels ils ont enquêté.
Que peux-tu faire ?
Eh bien, il existe certainement des technologies qui peuvent aider à réduire le potentiel de menace. Le rapport 2018 de F5 Labs sur le phishing et la fraude recommande plusieurs mesures de défense, notamment l'étiquetage des e-mails provenant de sources externes afin que les employés soient avertis de procéder avec prudence. Des technologies telles que les antivirus, le filtrage Web et la protection contre les fraudes, l’authentification unique, l’authentification multifacteur, le blocage des robots et même l’utilisation de jetons Honey – des comptes d’utilisateurs et des adresses e-mail factices qui peuvent être surveillés pour détecter le moment où les attaquants envoient des e-mails de phishing généralisés. Il est également essentiel de décrypter et d’inspecter le trafic entrant et sortant à la recherche de menaces cryptées potentielles ; 68 % des logiciels malveillants obtiennent leurs instructions à partir d’un serveur de commande et de contrôle crypté.
Tous ces éléments peuvent réduire la surface de la menace, mais n’éliminent pas le risque qu’une personne se faufile. Les tactiques d’ingénierie sociale existent depuis longtemps, bien avant Internet.
Et c’est là qu’intervient la formation.
Les humains sont des créatures émotionnelles qui s’habituent à la routine. S’ils ont l’habitude de cliquer sur tout, ils auront besoin d’aide pour reconnaître ce qui est sûr et ce qui est dangereux. La formation à la sensibilisation à la sécurité est donc essentielle. Au moins, ils seront conscients des conséquences de leurs clics excessifs et préparés à la ruse des attaques. Les utilisateurs doivent également être encouragés à signaler tout courrier électronique suspect et à vérifier auprès du service informatique ou de sécurité avant d'exécuter un logiciel externe ou de fournir leurs identifiants de connexion.
Le rapport 2018 sur le phishing et la fraude de F5 Labs indique que les tests Webroot ont montré que plus la formation à la sensibilisation à la sécurité est dispensée, plus les employés sont capables de repérer et d'éviter les risques. Ceux qui ont mené de 1 à 5 campagnes de formation ont constaté une baisse de 33 % du taux de clics sur le phishing ; ceux qui ont mené de 6 à 10 campagnes ont vu leur taux de clics diminuer à 28 % ; et ceux qui ont mené 11 campagnes de formation ou plus ont vu ce taux diminuer à 13 %. De plus, les simulations et campagnes d’hameçonnage se sont avérées plus efficaces lorsque le contenu est actuel et pertinent. Cela signifie que les entreprises qui ne proposent pas de formation de sensibilisation à la sécurité peuvent raisonnablement s'attendre à ce que les utilisateurs cliquent sur au moins une tentative de phishing sur trois. Une formation est toujours moins chère qu’une violation.
En termes de formation, F5 Labs suggère qu'elle soit brève, pertinente, personnelle et résoluble. Considérez la sécurité comme un problème gérable, mais uniquement avec la participation active et éclairée de toutes les personnes concernées. La formation à la sensibilisation à la sécurité est la meilleure occasion de s’adresser directement à tous les utilisateurs et de les encourager à participer à une cause commune.
En voici une amusante que vous pouvez essayer sur vos amis. Dites : « Je suis un expert en cybersécurité et si vous me donnez votre mot de passe, je peux vous dire s’il est sécurisé. » Voyez combien vous donnent une réponse !