Blog sur la cybersécurité en entreprise

Le paysage des cybermenaces et des cyberattaques est en constante évolution. Explorez notre blog sur la cybersécurité pour obtenir des conseils en matière de conformité, formation et sensibilisation à la sécurité en entreprise.

Facteur Humain et Cybersécurité : comprendre l’impact de l’erreur humaine sur la sécurité informatique

cyber security risk.jpg

AU SUJET DE L'AUTEUR

Luke Noonan

Oui, le facteur humain et la cybersécurité sont intrinsèquement liés. Alors que la cybersécurité devient de plus en plus importante, le facteur humain constitue un enjeu majeur pour la cybersécurité en entreprise. "L'humain dans la machine" est un élément fondamental à prendre en compte lors de l'élaboration d'une stratégie efficace pour minimiser les risques liés aux cybermenaces. Cela dit, cette affirmation comporte de nombreux aspects, car nos employés sont un élément essentiel de la réussite de notre organisation. Au lieu de rejeter la faute sur les autres, nous devons distinguer le malveillant de l'accidentel, détecter le premier et prévenir le second.

Grâce à une formation ciblée en sensibilisation à la sécurité, les facteurs humains conduisant à des défaillances peuvent être atténués. Voici comment et pourquoi le risque de cybersécurité peut être géré par une sensibilisation à la sécurité auprès de vos employés.

Pourquoi les facteurs humains sont à l'origine des risques de cybersécurité

Le facteur humain dans le risque de cybersécurité est généralement désigné comme la "menace de l'initié". L'initié peut être un employé ou un tiers, comme un consultant. Le fait que les initiés fassent partie intégrante des processus d'une organisation et utilisent les ressources informatiques avec autorisation rend difficile la gestion des défaillances humaines qui contribuent aux risques de cybersécurité.

Le risque de cybersécurité lié aux initiés est un problème majeur : le rapport 2020 sur les menaces internes, publié par la société de cybersécurité Insiders, indique que 68 % des organisations se sentent "modérément à extrêmement vulnérables" aux menaces internes. Ce constat n'est pas surprenant si l'on considère les grands titres des cyberattaques des dernières années, comme le piratage de Twitter en 2020, où des comptes Twitter très en vue, dont celui de Barack Obama, ont été utilisés pour inciter les utilisateurs à effectuer des transactions illicites en bitcoins. Les pertes sont estimées à environ 180 millions de dollars (129 millions de livres sterling), et le cours de l'action Twitter a chuté de 4 %. Ce piratage a impliqué le harponnage d'employés de Twitter et le vol d'informations d'identification privilégiées.

Les facteurs humains sont exploités par les cybercriminels pour obtenir un accès non autorisé, voler des informations d'identification, et infecter les systèmes informatiques et les terminaux avec des logiciels malveillants, tels que des rançongiciels (ransomware). Sans l'intervention humaine, la cybercriminalité serait beaucoup plus difficile à réaliser.

Facteur humain et cybersécurité : les facteurs humains qui conduisent aux défaillances humaines

Selon une étude d'IBM, les trois principaux domaines sur lesquels il convient de se concentrer lors de l'élaboration de stratégies de sécurité visant à atténuer les risques de cybersécurité sont les suivants :

  • Phishing (hameçonnage)
  • Scanning et exploitation des données
  • Utilisation non autorisée d'informations d'identification

Ces trois vecteurs comportent un élément impliquant un facteur humain à un moment donné de la chaîne d'attaque.

1/ Le facteur humain dans l'hameçonnage (phishing) et l'hameçonnage par harponnage (spear phishing) : Il est nécessaire qu'une cible humaine clique sur un lien ou ouvre une pièce jointe infectée pour amorcer la chaîne d'infection. Souvent, le phishing est utilisé pour cibler des utilisateurs privilégiés (spear phishing) afin de récolter leurs informations d'identification. Les utilisateurs privilégiés ont accès à des ressources plus importantes, et donc le vol d'informations d'identification privilégiées est le "saint Graal" du piratage. Dans ce cas, une erreur humaine, telle qu'une réponse automatique au clic, entre en jeu.

2/ La défaillance humaine dans le scanning et l'exploitation des données : Les pirates utilisent toutes les opportunités à leur disposition, et la possibilité de scanner automatiquement les vulnérabilités est un vecteur utile pour l'infection par des logiciels malveillants. Les composants des systèmes informatiques, tels que les serveurs web, les bases de données et les applications en nuage, peuvent être mal configurés si l'impact d'une sécurité insuffisante n'est pas pleinement compris. Des applications et des composants web non sécurisés entraînent des failles de sécurité que les pirates peuvent exploiter. Dans ce cas, la défaillance humaine entraîne un risque de cybersécurité.

3/ L'utilisation non autorisée d'informations d'identification : Le vol d'informations d'identification entraîne un accès non autorisé aux systèmes et ressources informatiques. Les moyens par lesquels les informations d'identification peuvent être utilisées sans autorisation comprennent :

  • Shoulder surfing : Vol des informations d'identification lorsqu'une personne malveillante observe quelqu'un saisir un mot de passe.
  • Phishing : Tromper une personne pour qu'elle saisisse ses identifiants de connexion sur une page de connexion falsifiée.
  • Ingénierie sociale : Inciter une personne à fournir ses identifiants de connexion par téléphone, sur les médias sociaux ou par d'autres méthodes de communication, comme les courriels, les services d'assistance et les textos.

Dans ces trois vecteurs de piratage les plus efficaces, le facteur humain et l'erreur humaine jouent un rôle crucial. Le risque de cybersécurité est donc largement concentré sur nos employés et nos partenaires externes.

Facteur humain et cybersécurité : les meilleures pratiques pour éviter que les facteurs humains ne deviennent des défaillances humaines

Une étude de Kaspersky, axée sur le rôle des facteurs humains dans le risque de cybersécurité, a révélé que le "personnel négligent ou mal informé" est la deuxième cause la plus probable d'une violation grave de la sécurité. L'infection par des logiciels malveillants est la première cause, mais elle est souvent elle-même due à un personnel négligent ou mal informé. Avec des niveaux de risque élevés associés aux facteurs humains, il est essentiel de réduire les défaillances pour atténuer les risques de sécurité.

Deux domaines se distinguent, touchant à la fois le personnel négligent et le personnel non informé :

  • Personnel non informé à l'origine de défaillances de sécurité : Si le personnel n'est pas conscient des conséquences de ses actes en matière de sécurité, comment pourrait-il éviter les risques ? Les entreprises forment régulièrement leur personnel dans d'autres domaines d'activité, et cette pratique devrait être étendue à la formation en sensibilisation à la sécurité. La formation du personnel à la sécurité doit inclure la compréhension du fonctionnement du phishing et d'autres failles de sécurité courantes, telles que le partage de mots de passe et la mauvaise gestion des courriels. 
  • Décisions imprudentes entraînant des défaillances de sécurité : Les mauvais choix en matière de sécurité, comme la mauvaise configuration des systèmes et des composants informatiques ou le fait de cliquer sur un lien de phishing sans réfléchir, sont des défaillances humaines qui augmentent le risque pour la cybersécurité. La mauvaise configuration des systèmes et des composants informatiques est un exemple de décision de sécurité imprudente. Cliquer sur un lien de phishing en est un autre. Le personnel, qu'il soit technique ou non, peut prendre des décisions imprudentes entraînant des défaillances de sécurité. S'assurer que tout le personnel, technique ou non, comprend l'impact de ses choix est un moyen fondamental d'atténuer le risque de cybersécurité. D'après le Verizon Data Breach Investigation Report (DBIR), les erreurs d'acheminement continuent d'augmenter en tant que forme d'erreur humaine.

Atténuer le facteur humain dans le risque de cybersécurité

L'étude de Kaspersky a identifié un élément crucial de l'échec humain en matière de sécurité : la tendance à cacher les erreurs. L'étude révèle que dans 40 % des entreprises, les employés dissimulent les incidents de sécurité. Ce chiffre devrait tirer la sonnette d'alarme et inciter les organisations à renforcer leur formation en matière de sécurité. Même lorsque l'employé comprend les implications d'un événement de sécurité, il peut se sentir contraint de cacher l'information. Pourquoi ? La réponse se décline en deux parties :

  • Faire de la sécurité une culture : Bien que cela puisse sembler cliché, intégrer la sécurité dans la culture d'entreprise peut réduire le sentiment de malaise et la peur lorsqu'un incident se produit. La formation en sensibilisation à la sécurité aide à instaurer cette culture en permettant aux employés d'adopter des comportements de sécurité positifs et en les encourageant à voir la sécurité comme une responsabilité collective plutôt que comme une contrainte.
  • Faciliter le signalement des incidents de sécurité : Il est essentiel que les incidents soient signalés pour permettre au personnel compétent d'y répondre en fonction du niveau de risque. Mettre en place un système de notification conçu pour simplifier le processus de signalement rendra cette tâche moins pénible et plus probable, encourageant ainsi une plus grande transparence.

Les facteurs humains entraînent des défaillances humaines. En s'attaquant aux comportements qui conduisent à des erreurs d'inattention et à de mauvaises décisions, une organisation peut réduire considérablement le risque de cybersécurité.

Comprendre et atténuer les risques de cybersécurité – FAQ

Comment les facteurs humains impactent-ils les risques de cybersécurité en entreprise et quelles sont les meilleures pratiques pour atténuer ces risques ?

Le facteur humain est crucial dans les risques de cybersécurité en entreprise, car les erreurs humaines sont souvent à l'origine des vulnérabilités. Par exemple, des actions comme cliquer sur des liens de phishing ou mal configurer des systèmes peuvent créer des failles de sécurité. Les études montrent que le personnel négligent ou mal informé contribue largement aux incidents de cybersécurité. Pour atténuer ces risques, il est essentiel d'implémenter des formations régulières en sensibilisation à la sécurité informatique, qui aident les employés à comprendre les menaces et à adopter les meilleures pratiques. En outre, intégrer la sécurité dans la culture d'entreprise et faciliter le signalement des incidents sont des mesures cruciales pour réduire les défaillances humaines et renforcer la sécurité informatique globale.

Qu'est-ce qu'une formation de sensibilisation à la sécurité informatique ?

Une formation de sensibilisation à la sécurité informatique est un programme conçu pour éduquer les employés sur les bonnes pratiques en matière de cybersécurité et les comportements nécessaires pour protéger les informations de l'entreprise. Ce type de formation est souvent personnalisé pour répondre aux besoins spécifiques de chaque rôle et responsabilité au sein de l'organisation, et inclut des éléments interactifs comme des simulations de phishing et des outils de gestion des politiques et de gestion des incidents IT. L'objectif est de renforcer la vigilance des employés face aux menaces potentielles et d'améliorer leur comportement en matière de sécurité. Découvrez dès maintenant la formation en cybersécurité en ligne de MetaCompliance pour sensibiliser efficacement votre personnel aux cybermenaces et à la confidentialité des données.