Cet article a été publié pour la première fois sur (en allemand) dans le cadre de la rubrique #Security de Â̲èÖ±²¥. Cette rubrique paraît six fois par an. Les experts de Â̲èÖ±²¥ s'expriment de manière indépendante sur des sujets liés à la politique, à la technique et à la sensibilisation de la sécurité informatique.
Le facteur humain – de l’impuissance à la folie
Le facteur humain est l’un des plus grands risques pour la sécurité de l’information. Cependant, les solutions proposées dans ce domaine s’avèrent extrêmement peu créatives et inefficaces. Depuis des années, on mise sur l’eLearning et les simulations de phishing et on se demande pourquoi les collaborateurs font encore preuve d’imprudence.
Paralysé par l’impuissance…Â
L’être humain est la porte d’entrée numéro 1 pour les cybercriminels. L’ingénierie sociale est un modèle de réussite qui jouit d’une popularité croissante depuis des années.
Diverses études et enquêtes montrent que le facteur humain est impliqué dans la plupart des incidents étudiés. Résumé : Nous, les personnes, les collaborateurs et les utilisateurs, représentons l’un des plus grands, sinon le plus grand risque pour la sécurité de l’information.
La communauté de la sécurité, autrement si flexible et innovante, refoule ce constat et semble tomber dans une impuissance paralysante face à la question de la « Layer 8 » : Nous fournissons des informations, même dans un langage simple. Quoi d’autre ?!
Trop souvent, lors de comités ou de tables rondes, j’ai vu cette impuissance se cristalliser face au facteur humain comme le plus petit dénominateur commun de tous les spécialistes participants. À la fin de chaque discussion, aussi enflammée soit-elle, on arrive tous à la conclusion que ce sont bien les utilisateurs et leur absurdité qui posent le problème. Et voilà – avec cet ennemi commun, on peut se séparer en paix en ayant le sentiment d’avoir les mains liées.
… et la folie
Lorsque je me penche sur les principales mesures de sensibilisation à la sécurité, la citation suivante d’Albert Einstein me vient souvent à l’esprit : « La définition de la folie, c’est d’accomplir toujours la même chose et d’attendre des résultats différents. » Depuis des années, on attend des collaborateurs qu’ils changent durablement leurs convictions et leurs habitudes comportementales en participant à un eLearning et à une simulation de phishing. Et depuis des années, la communauté de la sécurité se demande pourquoi ces attentes ne sont pas remplies.
Sommes-nous tous fous ? Je vois souvent des offres d’emploi pour des postes de Security Awareness qui recherchent des personnes possédant une formation en informatique. Les tâches répertorient des points tels que « Développer une campagne », « Engager les groupes cibles » ou – mon favori absolu – « Promouvoir la culture de la sécurité ». Parmi les compétences requises à cet effet, on trouve « Études informatiques », « Architecture de sécurité des entreprises » ou « Gestion des incidents ». Les questions suivantes s’imposent : Par le biais de quelles connaissances des spécialistes de la gestion des incidents doit-ils développer des campagnes de communication ? Comment cela fonctionne-t-il ? Ne serait-il pas plus judicieux de confier ces tâches à des professionnels de la communication ?
De beaux tableaux de bord
Voici ce qui se passe dans la grande majorité des cas : Les spécialistes du domaine technique résolvent les problèmes avec la technique, c’est l’approche habituelle. Il existe une solution logicielle pour tout, alors pourquoi pas aussi pour les comportements à risque des collaborateurs ? La solution d’eLearning éprouvée, comprenant le service de simulation de phishing, est achetée sans trop réfléchir et les tableaux de bord sont magnifiques. Cela permet d’avancer sur un terrain familier. Changement de comportement sur le long terme ? Que nenni. Aucun eLearning n’y arrive seul. Même pas avec la ludification.
Intégrer le facteur humain signifie
- susciter l’intérêt pour le thème de la sécurité et en démontrer l’importance,
- doter les utilisateurs des connaissances et compétences pertinentes et les former en fonction du groupe cible
- et permettre des comportements sûrs grâce à des processus et des outils de soutien adaptés.
Aucune formation en informatique ne fournit les compétences et aptitudes requises pour ces trois domaines d’activité. Ça ne devrait pas être nécessaire.
Déléguer, collaborer, transmettre
Au lieu de tourner en rond jusqu’à la folie, la communauté de la sécurité devrait apprendre à déléguer, collaborer, transmettre. Avec le facteur humain, diverses disciplines font leur entrée dans le domaine de la sécurité. Il ne s’agit plus seulement de rendre les logiciels plus sûrs, mais aussi d’identifier et d’éliminer les failles dans les processus et les comportements. La communauté de la sécurité ne peut plus se permettre de rester fermée, elle doit s’ouvrir à l’échange et à la collaboration avec d’autres domaines spécialisés. Nous avons besoin des connaissances de spécialistes dans les domaines de la communication, de la psychologie, de la sociologie et de l’utilisabilité. Certains des programmes de sensibilisation à la sécurité, parmi les plus réussis que je connaisse, sont gérés par des spécialistes non issus de la sécurité informatique. Sans leur expertise, la plupart des tentatives en vue de gérer le facteur humain donnent lieu à une autre formation en ligne sans intérêt.
Une tendance claire
Au sein du centre de compétences Â̲èÖ±²¥ dédié à la sensibilisation à la sécurité, nous sommes ravis d’observer une tendance très nette à la collaboration interdisciplinaire. Ces dernières années, la communauté de la sécurité a reçu de plus en plus de soutien d’autres domaines spécialisés. Des initiatives telles que la de l’Université de Zurich allient pratique et recherche dans différents domaines. Il existe également la chaire de à l’Université de la Ruhr à Bochum ou à l’ETH Zurich. Dans le cadre du thème de la numérisation, la sécurité fait également son entrée dans la recherche sociétale.
Dans le même temps, nous constatons que les entreprises utilisent désormais de plus en plus de ressources pour aborder concrètement la question du facteur humain. Le nombre de spécialistes de la sensibilisation à la sécurité à temps plein augmente – lentement, mais il augmente. Les événements tels que le ne cessent de gagner du terrain.
Il appartient désormais à la communauté de la sécurité de poursuivre cette tendance et de ne pas se refermer sur elle-même. Nous devons garder la raison, nous pouvons déléguer, collaborer et transmettre. Regardons plus loin que le bout de notre nez, cherchons des conseils dans d’autres domaines et rendons les descriptions de postes intéressantes, également pour les spécialistes qui ne sont pas issus du domaine informatique.
Cyber Security