Octobre est le Security Awareness Month, le mois de la sensibilisation \u00e0 la s\u00e9curit\u00e9, une p\u00e9riode durant laquelle les organisations du monde entier enseignent aux individus les rudiments de la cybers\u00e9curit\u00e9 au travail et \u00e0 domicile. Mais en quoi consiste exactement cette sensibilisation \u00e0 la s\u00e9curit\u00e9 et, surtout, pourquoi est-elle essentielle? <\/p>\n
Bien que diff\u00e9rents termes soient parfois indiff\u00e9remment utilis\u00e9s \u2013 Security Influence, Culture, Engagement, Training, Education, etc. \u2013 ils concernent en r\u00e9alit\u00e9 la m\u00eame chose dit Lance Spitzner, instructeur senior au SANS Institute : la gestion du risque humain ou le facteur humain.<\/p>\n
Les organisations et les entreprises, la communaut\u00e9 de la cybers\u00e9curit\u00e9 et tous ceux qui s\u2019y connaissent en la mati\u00e8re vous diront la m\u00eame chose : les individus sont le principal facteur de risque dans notre monde de plus en plus connect\u00e9. Le DBIR de Verizon, l\u2019un des rapports les plus fiables du secteur, par exemple, a indiqu\u00e9 qu\u2019au cours des trois derni\u00e8res ann\u00e9es, des individus \u00e9taient impliqu\u00e9s dans plus de 80 % des br\u00e8ches de s\u00e9curit\u00e9 dans le monde. Les incidents vont des personnes qui sont la cible active d\u2019e-mails de phishing ou d\u2019attaques de smishing (phishing par SMS) aux personnes qui commettent de simples erreurs, comme les administrateurs informatiques qui configurent mal leurs comptes cloud et partagent accidentellement des donn\u00e9es sensibles avec le reste du monde. Mais que pouvons-nous faire si les individus repr\u00e9sentent un tel risque ?<\/p>\n
L\u2019approche traditionnelle consistait et consiste encore souvent \u00e0 utiliser davantage de technologies pour r\u00e9soudre le probl\u00e8me. Il s\u2019agit de technologies de s\u00e9curit\u00e9 qui, par exemple, filtrent et bloquent les e-mails de phishing ou de l\u2019authentification multifactorielle (MFA) pour emp\u00eacher le piratage des mots de passe. Le probl\u00e8me est que les cyberattaquants contournent facilement ces technologies, en ciblant les individus. Comme nous parvenons de mieux en mieux \u00e0 identifier et \u00e0 stopper les attaques de phishing, les hackers ciblent simplement les t\u00e9l\u00e9phones portables des individus par des attaques de smishing (bas\u00e9es sur des SMS ou des messages) ou continuent \u00e0 harceler les gens avec de fausses demandes de MFA jusqu\u2019\u00e0 ce qu\u2019ils en approuvent une, comme ce fut le cas dans les r\u00e9centes attaques d\u2019Uber et de Rockstar Games.<\/p>\n
Un deuxi\u00e8me d\u00e9fi se situe au niveau des \u00e9quipes de s\u00e9curit\u00e9 au sein des organisations : elles accusent trop souvent leurs collaborateurs d\u2019\u00eatre responsables du probl\u00e8me du risque humain, avec des d\u00e9clarations du style \u00ab\u00a0si tout le monde faisait ce que nous disons, il n\u2019y aurait pas de probl\u00e8me\u00a0\u00bb<\/em>. Ces d\u00e9clarations impliquent que la faute incombe uniquement aux individus. Mais en examinant la cybers\u00e9curit\u00e9 du point de vue du collaborateur moyen, on s\u2019aper\u00e7oit qu\u2019en tant que communaut\u00e9 de s\u00e9curit\u00e9, nous sommes au moins en partie responsables. En effet, nous avons rendu la cybers\u00e9curit\u00e9 tellement confuse, angoissante et accablante que nous avons pr\u00e9par\u00e9 les gens \u00e0 l\u2019\u00e9chec : bien souvent, ils n\u2019ont aucune id\u00e9e de ce qu\u2019ils doivent faire ou, s\u2019ils savent ce qu\u2019ils doivent faire, c\u2019est devenu tellement difficile qu\u2019ils le font mal ou choisissent simplement une autre option.<\/p>\n Prenons l\u2019exemple des mots de passe, l\u2019un des principaux responsables des br\u00e8ches de s\u00e9curit\u00e9. Depuis des ann\u00e9es, de nombreux articles et rapports relatent comment les gens continuent \u00e0 utiliser des mots de passe faibles et non s\u00e9curis\u00e9s. Mais comment cela se fait-il ? Parce que les politiques de mots de passe sont terriblement confuses et changent sans cesse. Beaucoup d\u2019organisations ou de sites web ont une politique qui requiert des mots de passe complexes de 15 caract\u00e8res, avec des lettres majuscules et minuscules, des symboles et des chiffres. Elles demandent ensuite aux gens de changer ces mots de passe tous les 90 jours, sans fournir de moyen s\u00fbr pour s\u00e9curiser tous ces mots de passe longs, complexes et changeants. \u200b<\/p>\n Par ailleurs, nous mettons en \u0153uvre l\u2019authentification multifactorielle (MFA) pour renforcer la s\u00e9curit\u00e9 des individus. Mais encore une fois, c\u2019est extr\u00eamement confus, m\u00eame pour moi qui suis un professionnel. Tout d\u2019abord, nous utilisons diff\u00e9rents noms pour d\u00e9signer la MFA : authentification \u00e0 deux facteurs, v\u00e9rification en deux \u00e9tapes, authentification forte, mots de passe uniques, etc. Il existe aussi diff\u00e9rentes mani\u00e8res de la mettre en \u0153uvre, notamment via une notification, un SMS, un token FIDO, des applications d\u2019authentification distinctes, etc. Chaque site web aborde diff\u00e9remment la MFA, ce qui accro\u00eet la confusion.<\/p>\n Et c\u2019est l\u00e0 que la sensibilisation \u00e0 la s\u00e9curit\u00e9 et le facteur humain entrent en jeu. L\u2019approche traditionnelle consiste \u00e0 sensibiliser \u00e0 la s\u00e9curit\u00e9 : informer et former les collaborateurs aux rudiments de la cybers\u00e9curit\u00e9. Bien qu\u2019il s\u2019agisse d\u2019un pas dans la bonne direction, nous devons aller plus loin et g\u00e9rer le risque humain. Cela n\u00e9cessite une approche beaucoup plus strat\u00e9gique, qui s\u2019appuie sur la sensibilisation \u00e0 la s\u00e9curit\u00e9 mais comprend \u00e9galement les \u00e9l\u00e9ments suivants :<\/p>\n De plus en plus, la gestion et la ma\u00eetrise du facteur humain sont un \u00e9l\u00e9ment fondamental de toute strat\u00e9gie de cybers\u00e9curit\u00e9. Si nous voulons communiquer avec les collaborateurs, les impliquer et les former, la sensibilisation \u00e0 la s\u00e9curit\u00e9 est un premier pas dans la bonne direction. Mais pour commencer \u00e0 r\u00e9ellement g\u00e9rer le risque humain, il faut consentir des efforts strat\u00e9giques plus importants. Qui sait, le r\u00f4le du Security Awareness Officer \u00e9voluera peut-\u00eatre un jour vers celui de Human Risk Officer.<\/p>\n","protected":false},"excerpt":{"rendered":" Octobre est le Security Awareness Month, le mois de la sensibilisation \u00e0 la s\u00e9curit\u00e9, une p\u00e9riode durant laquelle les organisations du monde entier enseignent aux individus les rudiments de la cybers\u00e9curit\u00e9 au travail et \u00e0 domicile. Mais en quoi consiste […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[65,10],"tags":[1072,3729,3728],"yoast_head":"\n\n