Le facteur humain, principal responsable et grand oublié de la Cyber-Sécurité

En matière de CyberSécurité le facteur humain (facteur H) est la principale faiblesse et trop souvent le grand oublié.

Nature humaine et CyberSécurité

En matière de CyberSécurité le facteur humain (facteur H) est la principale faiblesse et trop souvent le grand oublié. En effet, faute de formation, de vigilance, de connaissances suffisantes et de procédures claires, les collaborateurs ne savent pas détecter le danger et souvent n’en ont même pas conscience. Pire que ça, ils s’y expose en toute naïveté et transmettent les infections virales car ils ne se rendent même pas compte du fait que leur ordinateur est infecté. Les virus de dernière génération ne causent pas de dommages visibles aux yeux des néophytes et ne se manifestent en aucune façon. Et comble de malice, les virus, une fois que qu’ils ont atteint leurs objectifs, s’auto détruisent pour éviter d’être identifié.

Le facteur humain est donc, avant tous les autres, le maillot faible de la chaîne.

Fonder sa politique de sécurité informatique sur la seule technique est une erreur majeure car sans la formation des techniciens et la vigilance des utilisateurs, toutes ces technologies deviennent inutiles. De la même manière qu’une force armée dotée de technologies pointues ne serait rien sans la formation des hommes chargés de les utiliser et la vigilance des citoyens pour détecter et éviter les situations à risque.

Or de nos jours, le risque informatique est passé d’un enjeu de type « fait divers » à celui de problème de « sécurité nationale » selon les termes même du Directeur Général de l’ANSSI, Guillaume Poupard. Ceci suite aux attaques informatiques récentes et massives qui ont touché des centaines de PME et institutions publiques.

Si le risque est élevé à celui de la « sécurité nationale », vous pouvez facilement imaginer ce que vous encourez dans le cadre de vos activités quotidiennes et les conséquences en terme de perte d’activité, voire de responsabilité pénale que cela pourrait engendrer dans vos entreprises, en tant que responsable des activités de ces dernières.

Le piratage informatique est aujourd’hui devenu une guerre menée autant contre les états que contre les entreprises.

Ainsi Guillaume Poupard (Directeur Général de l’ANSSI) rappelait récemment sur les grands médias nationaux qu’il est indispensable de créer une « culture de la sécurité informatique » dans vos entreprises. Ce qui passe entre autre par la mise en place d’un programme de formation régulier pour les employés et des politiques de sécurité claires et abordables pour tous. Car nous sommes tous des victimes potentielles d’une myriade d’attaques malveillantes aux conséquences qui peuvent être très lourdes.

L’ANSSI rappelle à ce propos :

La sécurité du numérique est l’affaire de tous. Elle repose avant tout sur des mesures simples et des bonnes pratiques à adopter sans modération dans la sphère privée et professionnelle. Fondées sur le bon sens, ces précautions élémentaires ne peuvent être négligées sans s’exposer à des risques, qui exploitent souvent des vulnérabilités connues.

Ingénierie sociale ?

L’ingénierie sociale est une technique d’extorsion d’informations d’un système d’information basée sur la manipulation mentale des usagers d’une organisation ou d’un système informatique. Le but est de manipuler des personnes afin d’obtenir quelque

chose d’elles sans qu’elles ne s’en rendent compte.L’ingénierie sociale s’exerce essentiellement par l’abus de la confiance.

Il est important de comprendre qu’il s’agit d’une méthode humaine non informatique et non technique. Il faut également avoir bien en tête qu’une telle attaque peut être extrêmement complexe et rusée et être menée sur des périodes de temps longues.

Dans le cas d’une organisation il s’agit de voler des données et des informations utilisées et véhiculées dans le cadre de ses activités et ceci quelle qu’en soit la forme (notes écrites, discussions orales etc…).

Dans le cas d’un système informatique, il s’agit d’obtenir des données de toutes sortes ou des prérogatives d’accès à d’autres systèmes en utilisant ces mêmes techniques de manipulation sur les usagers du système.

La nature humaine

On peut regrouper ces 2 cas en seul : un système d’information (indépendamment des modalités de stockage, échange et transmission) géré et exploité par des usagers trouve sa principale faiblesse dans la nature humaine. La faille humaine constitue la pièce la plus fragile d’un système d’information.

En voici les points clés : l’ingénierie sociale peut être utilisée par tout le monde sans connaissances techniques spécifiques ; elle constitue la clé de réussite de 90% des piratages ; ces techniques ne sont évidemment pas repérées par les antivirus, les firewalls et autres systèmes de détection d’intrusion ; les motivations des attaquants peuvent être infiniment variées. Enfin la ténacité de l’attaquant n’a d’égal que la naïveté ou l’ignorance des victimes

La stratégie de défense consiste en la sensibilisation, la formation, la vigilance des collaborateurs et en cas de doute, s’appuyer sur des procédures ou sa hiérarchie.

Autant de mesures à mettre en oeuvre de façon précise, encadrée et documentée.

En matière de sécurité informatique, on ne peut pas être à la fois juge et partie

Pour mettre en place ces politiques de formation, de sensibilisation au risque informatique et le contrôle de leur application, ne mettez pas tous vos œufs dans le même panier.

Je m’explique : vos équipes informatiques internes ou vos prestataires d’infogérance ne peuvent à eux seuls assumer cette tache. Ils auront d’autant plus de mal à le faire, qu’ils sont partie prenante de la problématique c’est à dire à la fois juge et partie. Ceci peut nuire à une bonne visibilité sur la question et laisser de coté la facteur humain privilégiant la technique avec une confiance parfois aveugle, voire naïve.

En tant qu’expert indépendant, externe à votre organisation, sans intérêt dans la gestion quotidienne de votre parc informatique, je peux vous apporter un regard neutre et critique. Spécialisé sur les questions de cybersécurité et fort de 15 ans d’expérience de terrain comme Directeur Informatique d’une société d’hébergement Web, j’ai aussi intégré la dimension humaine en me spécialisant sur les questions d’ingénierie sociale. Ces aspects humains et organisationnels sont trop souvent délaissés par les prestataires d’infogérance classiques et le fait d’être juge et partie peut les conduire à négliger certains aspects par crainte de voir leur responsabilité mise en cause. En tant qu’indépendant, je suis détaché de ces conflits d’intérêts et peut donc vous apporter un regard bien plus critique sur la question.

Faites vous accompagner pour ne pas être victime ou complice

Je vous propose de vous accompagner comme Consultant Expert Conseil en cybersécurité pour faire le point sur votre situation dans votre entreprise et vous guider dans un ensemble de mesures simples pour vous protéger et former vos collaborateurs à la vigilance.

Profitez d’un premier RDV gratuit de 2h afin d’évaluer simplement votre niveau de risque par rapport à ces questions et de vous guider vers des solutions simples à mettre en oeuvre.

Ne laisser pas votre infrastructure informatique à l’abandon face au risque de piratage, faites vous accompagner. C’est un tout petit investissement qui pourrait vous éviter par la suite de graves problèmes et une perte d’activité qui pourrait être dramatique.