Security Awareness Month : la gestion du facteur humain, voilà l'enjeu principal
Bruxelles, le 25 octobre 2022 - Octobre est le Security Awareness Month, le mois de la sensibilisation à la sécurité, une période durant laquelle les organisations du monde entier enseignent aux individus les rudiments de la cybersécurité au travail et à domicile. Mais en quoi consiste exactement cette sensibilisation à la sécurité et, surtout, pourquoi est-elle essentielle ? Bien que différents termes soient parfois indifféremment utilisés – Security Influence, Culture, Engagement, Training, Education, etc. – ils concernent en réalité la même chose dit Lance Spitzner, instructeur senior au SANS Institute : la gestion du risque humain ou le facteur humain.
Les organisations et les entreprises, la communauté de la cybersécurité et tous ceux qui s’y connaissent en la matière vous diront la même chose : les individus sont le principal facteur de risque dans notre monde de plus en plus connecté. Le DBIR de Verizon, l’un des rapports les plus fiables du secteur, par exemple, a indiqué qu’au cours des trois dernières années, des individus étaient impliqués dans plus de 80 % des brèches de sécurité dans le monde. Les incidents vont des personnes qui sont la cible active d’e-mails de phishing ou d’attaques de smishing (phishing par SMS) aux personnes qui commettent de simples erreurs, comme les administrateurs informatiques qui configurent mal leurs comptes cloud et partagent accidentellement des données sensibles avec le reste du monde. Mais que pouvons-nous faire si les individus représentent un tel risque ?
L’approche traditionnelle consistait et consiste encore souvent à utiliser davantage de technologies pour résoudre le problème. Il s’agit de technologies de sécurité qui, par exemple, filtrent et bloquent les e-mails de phishing ou de l’authentification multifactorielle (MFA) pour empêcher le piratage des mots de passe. Le problème est que les cyberattaquants contournent facilement ces technologies, en ciblant les individus. Comme nous parvenons de mieux en mieux à identifier et à stopper les attaques de phishing, les hackers ciblent simplement les téléphones portables des individus par des attaques de smishing (basées sur des SMS ou des messages) ou continuent à harceler les gens avec de fausses demandes de MFA jusqu’à ce qu’ils en approuvent une, comme ce fut le cas dans les récentes attaques d’Uber et de Rockstar Games.
Un deuxième défi se situe au niveau des équipes de sécurité au sein des organisations : elles accusent trop souvent leurs collaborateurs d’être responsables du problème du risque humain, avec des déclarations du style « si tout le monde faisait ce que nous disons, il n’y aurait pas de problème ». Ces déclarations impliquent que la faute incombe uniquement aux individus. Mais en examinant la cybersécurité du point de vue du collaborateur moyen, on s’aperçoit qu’en tant que communauté de sécurité, nous sommes au moins en partie responsables. En effet, nous avons rendu la cybersécurité tellement confuse, angoissante et accablante que nous avons préparé les gens à l’échec : bien souvent, ils n’ont aucune idée de ce qu’ils doivent faire ou, s’ils savent ce qu’ils doivent faire, c’est devenu tellement difficile qu’ils le font mal ou choisissent simplement une autre option.
Prenons l’exemple des mots de passe, l’un des principaux responsables des brèches de sécurité. Depuis des années, de nombreux articles et rapports relatent comment les gens continuent à utiliser des mots de passe faibles et non sécurisés. Mais comment cela se fait-il ? Parce que les politiques de mots de passe sont terriblement confuses et changent sans cesse. Beaucoup d’organisations ou de sites web ont une politique qui requiert des mots de passe complexes de 15 caractères, avec des lettres majuscules et minuscules, des symboles et des chiffres. Elles demandent ensuite aux gens de changer ces mots de passe tous les 90 jours, sans fournir de moyen sûr pour sécuriser tous ces mots de passe longs, complexes et changeants.
Par ailleurs, nous mettons en œuvre l’authentification multifactorielle (MFA) pour renforcer la sécurité des individus. Mais encore une fois, c’est extrêmement confus, même pour moi qui suis un professionnel. Tout d’abord, nous utilisons différents noms pour désigner la MFA : authentification à deux facteurs, vérification en deux étapes, authentification forte, mots de passe uniques, etc. Il existe aussi différentes manières de la mettre en œuvre, notamment via une notification, un SMS, un token FIDO, des applications d’authentification distinctes, etc. Chaque site web aborde différemment la MFA, ce qui accroît la confusion.
Et c’est là que la sensibilisation à la sécurité et le facteur humain entrent en jeu. L’approche traditionnelle consiste à sensibiliser à la sécurité : informer et former les collaborateurs aux rudiments de la cybersécurité. Bien qu’il s’agisse d’un pas dans la bonne direction, nous devons aller plus loin et gérer le risque humain. Cela nécessite une approche beaucoup plus stratégique, qui s’appuie sur la sensibilisation à la sécurité mais comprend également les éléments suivants :
- Risques : l’équipe en charge de la sensibilisation à la sécurité doit faire partie intégrante de l’équipe de sécurité et même rapporter directement au Chief Information Security Officer (CISO). Elle doit en outre travailler en étroite collaboration avec d’autres organes de sécurité, comme le Security Operations Centre, les équipes de Cyber Threat Intelligence et d’Incident Response, afin d’identifier clairement les risques humains majeurs pour l’organisation et les principaux comportements pour gérer ces risques. Une fois ces risques et ces comportements identifiés et classés par ordre de priorité, la communication et la formation des collaborateurs peuvent débuter. Les organisations peuvent le faire via des modèles comme le Security Awareness Maturity Model.
- Politique : il s’agit de créer une politique de sécurité avec des processus et des procédures bien plus simples à suivre pour les individus. En d’autres termes, la politique et les ressources qui la soutiennent doivent être conçus en tenant compte des individus. Si nous voulons qu’ils utilisent l’authentification forte, nous devons nous concentrer sur quelque chose de facile à apprendre et à utiliser. Plus le processus est confus et nécessite d’actions manuelles, plus il est exploitable pour les cyberattaquants.
- Équipe de sécurité : les équipes de sécurité doivent communiquer avec le reste du personnel dans des termes simples et humains que chacun peut comprendre, y compris expliquer davantage le POURQUOI de certaines exigences. Pourquoi les gestionnaires de mots de passe sont-ils importants ? Quelle est la valeur de la MFA pour moi ? À quoi servent les mises à jour automatiques ? Ce n’est qu’à cette condition que la perception des équipes de sécurité, perçues comme des équipes de geeks arrogants et négatifs, pourra être transformée en équipes positives et accessibles, qui vont de l’avant.
De plus en plus, la gestion et la maîtrise du facteur humain sont un élément fondamental de toute stratégie de cybersécurité. Si nous voulons communiquer avec les collaborateurs, les impliquer et les former, la sensibilisation à la sécurité est un premier pas dans la bonne direction. Mais pour commencer à réellement gérer le risque humain, il faut consentir des efforts stratégiques plus importants. Qui sait, le rôle du Security Awareness Officer évoluera peut-être un jour vers celui de Human Risk Officer.
À propos du SANS Institute
Le SANS Institute, organisme coopératif de recherche et d’éducation, a été créé en 1989. Aujourd’hui, SANS est le fournisseur le plus fiable et de loin le plus important de formation et de certification en cybersécurité pour les professionnels des institutions gouvernementales et commerciales du monde entier. Des formateurs SANS de renom dispensent plus de 60 cours lors d’événements de cybersécurité en personne et virtuels, ainsi que sur la plateforme OnDemand.
Le GIAC, affilié à l’institut SANS, valide les compétences des praticiens par plus de 35 certifications pratiques et techniques en cybersécurité. Le SANS Technology Institute, une filiale indépendante accréditée au niveau régional, offre des diplômes de Master et de licence, des certificats d’études supérieures et un certificat de premier cycle en cybersécurité. SANS Security Awareness, une division de SANS, fournit aux organisations une solution complète de sensibilisation à la sécurité, leur permettant de gérer leur risque « humain » de cybersécurité de manière simple et efficace. SANS fournit également de nombreuses ressources gratuites à la communauté InfoSec, y compris des projets de consensus, des rapports de recherche, des webcasts, des podcasts et des bulletins d’information. L’organisation exploite également le système d’alerte précoce d’Internet, baptisé « Internet Storm Center ».
SANS est centrée sur les nombreux professionnels de la sécurité, représentant diverses organisations internationales, des entreprises aux universités, qui œuvrent ensemble pour soutenir et éduquer la communauté mondiale de la sécurité de l’information.
Paul Geens