HRM, Human Ressource Management. La gestion des risques humains devient plus précieuse et plus importante que la sensibilisation à la sécurité. Elle est au cœur du SANS 2023 Security Awareness Report.

Il est temps de nommer le risque humain, estime Lance Spitzner, SANS Security Awareness Director, SANS Institute. Et de gérer celui-ci. « Souvent, les dirigeants et les équipes de sécurité ne voient pas la sensibilisation à la sécurité comme une composante de la sécurité, mais plutôt comme un effort de conformité sans véritable rapport avec la gestion du risque humain. Mieux vaut donc utiliser le terme de HRM. Celui-ci répond davantage aux priorités de sécurité stratégiques de l’entreprise. Et rencontrera plus d’écho au sein de la direction et de l’équipe de sécurité. »

La sensibilisation à la sécurité n’est qu’une partie de la gestion des risques humains. Son objectif est de donner aux employés suffisamment d’informations pour les aider à atténuer et à éviter les risques. Un programme de sensibilisation à la sécurité peut inclure la pose d’affiches et l’installation d’économiseurs d’écran pour rappeler aux employés de travailler en toute sécurité. Cependant, la question est : est-ce suffisant d’être conscient ?

La réponse est non. Les progrès de l’IA rendent la technologie des attaquants trop difficile à repérer. Un employé conscient des attaques potentielles est toujours aussi vulnérable à celles-ci. Par exemple, auparavant, un employé formé aux e-mails de phishing pouvait facilement en repérer un en raison des erreurs de grammaire et d’orthographe laissées par la plupart des attaquants. Désormais, l’IA a rendu les e-mails de phishing encore plus difficiles à repérer. Même les employés conscients de leur existence ne peuvent pas toujours identifier les e-mails malveillants et ceux qui ne le sont pas.

Voir plus loin

En termes simples, la sensibilisation à la sécurité est un bon début. Mais elle ne peut suffire pour protéger une organisation, dit en substance le SANS Institute.

Il s’agit de voir plus loin. Le risque humain fait référence à toute erreur commise par une personne pouvant entraîner une violation ou une attaque, y compris les clics sur des liens de phishing, l’ingénierie sociale, le suivi en ligne, les attaques d’initiés, etc. La gestion des risques humains, elle, identifie, évalue et éduque les employés sur ces menaces et sur la manière de les combattre. Plutôt que de laisser les employés éviter les menaces, c’est les inviter à devenir activement un mur de protection pour l’organisation.

« Aidez la direction à comprendre la nature de l’aide que vous lui apportez. Collaborez avec ses membres pour identifier les principaux risques humains, ainsi que les comportements clés pour maîtriser ces risques, conseille Lance Sptizner. Montrez à quel point une communication efficace, des formations et l’implication de chacun peuvent modifier ce comportement et réduire les risques. Collaborez avec le Security Operations Center et les équipes Incident Response et Cyber Threat Intelligence. Non seulement vous vous familiariserez avec leur travail, mais vous pourrez leur montrer que vous pouvez les aider à relever leurs défis en matière de risques humains. »

Un déséquilibre qui dit beaucoup

Pour l’auteur du rapport, il s’agit aussi de soutenir les dirigeants. Concrètement, consacrer deux à quatre heures par mois à la collecte de données sur l’impact et la valeur du programme de sensibilisation à la sécurité et le communiquer à la direction. « Il peut s’agir d’indicateurs informels, de KPI ordinaires et même de success stories. Grâce à ces éléments, la direction comprendra mieux et constatera régulièrement la valeur de votre programme. »

Si la sécurité technique a toujours été une préoccupation majeure des organisations, le côté humain de la sécurité a souvent été négligé, estime encore Lance Sptizner. « Ce déséquilibre fait du personnel une cible de choix des cyberattaques. Il n’est pas rare de voir une équipe de sécurité de 50 membres, dont 49 se consacrent à la technologie et seulement un aux risques humains ! Ce sous-investissement contribue à la prolifération des cyber-risques humains. Pour combler cet écart, je recommande de commencer par un rapport de 10:1 entre experts en sécurité technique et experts en sécurité humaine. »

Ce qui veut encore dire que dans le contexte actuel des cybermenaces, le modèle traditionnel des formations annuelles ciblant la conformité a vécu. C’est pourquoi le dernier rapport du SANS Institute regorge de conseils pratiques, immédiatement applicables, poursuit Lance Spitzner. Le HRM devient une réalité. « De la gestion des principaux risques humains, comme le phishing par e-mail, au défi classique consistant à libérer les ressources et le budget nécessaires, l’objectif est double. Un : doter les entreprises des outils nécessaires pour améliorer leurs stratégies de gestion du risque humain. Et deux : les aider à investir de manière proactive dans du personnel, des ressources et des outils, qui leur permettront de s’attaquer de manière approfondie à la dimension humaine des cybermenaces. »