Pour Lance Sptizner, du SANS Institute, la cybersécurité est aujourd’hui trop confuse, trop angoissante… Et de prôner un retour à la gestion du facteur humain.

Revenons à la base, la gestion du facteur humain ! Revenons donc à l’essentiel. On le sait, les individus sont le principal facteur de risque dans ce monde connecté. Le DBIR de Verizon, l’un des rapports les plus fiables du secteur, est formel : au cours des trois dernières années, l’humain était impliqués dans plus de 80 % des brèches de sécurité. Les incidents vont des personnes qui sont la cible active d’e-mails de phishing ou d’attaques de smishing (phishing par SMS) aux personnes qui commettent de simples erreurs, comme les administrateurs informatiques qui configurent mal leurs comptes cloud et partagent accidentellement des données sensibles avec le reste du monde. Question : que pouvons-nous faire si les individus représentent un tel risque ?

« L’approche traditionnelle consiste encore trop souvent à utiliser davantage de technologies pour résoudre le problème,  commente Lance Spitzner, Senior Instructor, SANS Institute. Il s’agit de technologies de sécurité qui, par exemple, filtrent et bloquent les e-mails de phishing ou de l’authentification multifactorielle (MFA) pour empêcher le piratage des mots de passe. Le problème est que les cyberattaquants contournent facilement ces technologies… Les récentes attaques d’Uber et de Rockstar Games en sont les derniers exemples en date »

Pourquoi toujours accuser les collaborateurs 

Un deuxième défi se situe au niveau des équipes de sécurité au sein des organisations. Elles accusent trop souvent leurs collaborateurs d’être responsables du problème du risque humain. Et de lancer des déclarations du style « si tout le monde faisait ce que nous disons, il n’y aurait pas de problème » ! La faute incomberait uniquement aux individus. En examinant la cybersécurité du point de vue du collaborateur moyen, on s’aperçoit qu’en tant que communauté de sécurité, nous sommes au moins en partie responsables. « Nous avons rendu la cybersécurité tellement confuse, angoissante et accablante. Nous avons préparé les gens à l’échec, estime Lance Spitzner. Bien souvent, ils n’ont aucune idée de ce qu’ils doivent faire. Ou, s’ils savent ce qu’ils doivent faire, c’est devenu tellement difficile qu’ils le font mal ou choisissent simplement une autre option ! »

Confusion autour du mot de passe

Depuis des années, de nombreux articles et rapports relatent comment les gens continuent à utiliser des mots de passe faibles et non sécurisés. Et cela sans vraiment aller chercher la raison… « Les politiques de mots de passe changent sans cesse, comment s’y retrouver ! » Beaucoup d’organisations ou de sites web ont une politique qui requiert des mots de passe complexes de 15 caractères, avec des lettres majuscules et minuscules, des symboles et des chiffres. Elles demandent ensuite aux gens de changer ces mots de passe tous les 90 jours, sans fournir de moyen sûr pour sécuriser tous ces mots de passe longs, complexes et changeants. C’est psychologiquement contre-productif. Par ailleurs, nous mettons en œuvre l’authentification multifactorielle (MFA) pour renforcer la sécurité des individus. Une fois encore, c’est extrêmement confus, y compris pour un professionnel. Tout d’abord, nous utilisons différents noms pour désigner la MFA : authentification à deux facteurs, vérification en deux étapes, authentification forte, mots de passe uniques, etc. Il existe aussi différentes manières de la mettre en œuvre, notamment via une notification, un SMS, un token FIDO, des applications d’authentification distinctes, etc. Chaque site web aborde différemment la MFA, ce qui accroît la confusion. C’est là que la sensibilisation à la sécurité et le facteur humain entrent en jeu. L’approche traditionnelle consiste à sensibiliser à la sécurité : informer et former les collaborateurs aux rudiments de la cybersécurité. Bien qu’il s’agisse d’un pas dans la bonne direction, nous devons aller plus loin. Et gérer le risque humain. Cela nécessite une approche beaucoup plus stratégique.

D’abord, identifier les risques humains pour l’organisation

Pour le SANS Institute, l’équipe en charge de la sensibilisation à la sécurité doit faire partie intégrante de l’équipe de sécurité et même rapporter directement au Chief Information Security Officer (CISO). Elle doit en outre travailler en étroite collaboration avec d’autres organes de sécurité, comme le Security Operations Centre, les équipes de Cyber Threat Intelligence et d’Incident Response, afin d’identifier clairement les risques humains majeurs pour l’organisation et les principaux comportements pour gérer ces risques. Une fois ces risques et ces comportements identifiés et classés par ordre de priorité, la communication et la formation des collaborateurs peuvent débuter. Les organisations peuvent le faire via des modèles comme le Security Awareness Maturity Model.

L’approche sera aussi politique

Il s’agit de créer une politique de sécurité avec des processus et des procédures bien plus simples à suivre pour les individus. En d’autres termes, la politique et les ressources qui la soutiennent doivent être conçus en tenant compte des individus. « Si nous voulons qu’ils utilisent l’authentification forte, nous devons nous concentrer sur quelque chose de facile à apprendre et à utiliser, enchaine Lance Spitzner. Plus le processus est confus et nécessite d’actions manuelles, plus il est exploitable pour les cyberattaquants. » Pour la SANS Institute, les équipes de sécurité doivent communiquer avec le reste du personnel dans des termes simples et humains que chacun peut comprendre, y compris expliquer davantage le « pourquoi » de certaines exigences. Pourquoi les gestionnaires de mots de passe sont-ils importants ? Quelle est la valeur de la MFA pour moi ? À quoi servent les mises à jour automatiques ? « Ce n’est qu’à cette condition que la perception des équipes de sécurité, perçues comme des équipes de geeks arrogants et négatifs, pourra être transformée en équipes positives et accessibles, qui vont de l’avant. »

Sensibiliser, mais de façon plus large

De plus en plus, la gestion et la maîtrise du facteur humain sont un élément fondamental de toute stratégie de cybersécurité. Si nous voulons communiquer avec les collaborateurs, les impliquer et les former, la sensibilisation à la sécurité est un premier pas dans la bonne direction. Mais pour commencer à réellement gérer le risque humain, il faut consentir des efforts stratégiques plus importants. Qui sait, le rôle du Security Awareness Officer évoluera peut-être un jour vers celui de Human Risk Officer.