Il est habituel d’entendre que l’erreur humaine est responsable des piratages et qu’il suffirait de supprimer le facteur humain pour sécuriser un environnement : « Même avec une bonne sécurité dans votre entreprise, un utilisateur inattentif peut tout compromettre. » Je souhaite argumenter le contraire, car, lorsque la cyber-sécurité dans son ensemble est bien conçue, les utilisateurs peuvent devenir le maillon fort de l’entreprise.Les statistiques sont pourtant claires : plus de 90% des cyber-attaques sont imputées à un email ; plus de 95% des attaques sont attribuées à l’ingénierie sociale en général ou à des erreurs humaines. Toutefois, l’utilisateur n’est pas le seul fautif, car c’est bien pour le servir que les systèmes informatiques existent ; ainsi, un système digital efficace doit prendre en compte l’élément humain, avec ses forces et ses faiblesses.
Je vous propose donc de répondre à deux questions : pourquoi dit-on que l’humain est le maillon faible et que pouvons-nous faire pour renforcer l’humain dans cette chaîne ?
Les systèmes sont de mieux en mieux protégés
L’humain n’est un maillon faible qu’en comparaison aux maillons forts de la chaîne. Depuis le début du siècle, de grands progrès et investissements ont été réalisés dans la cyber-sécurité, rendant les systèmes plus difficiles à hacker. Ces progrès n’ont par contre pas été répliqués au niveau de l’utilisateur.Il y a 5 ans, pas un seul antivirus n’utilisait de l’intelligence artificielle ; il y a 15 ans, Windows ne possédait pas de Firewall ; il y a moins de 20 ans, Windows ne se mettait pas à jour par lui-même. Ces innovations technologiques ont contraint les hackeurs à viser l’utilisateur final pour pirater les ordinateurs, car les usagers n’ont pas bénéficié des mêmes progrès que les systèmes informatiques. Un bon exemple est l’utilisation d’un standard de mots de passe encore basé, pour la majorité des entreprises, sur des théories (fausses) créées il y a 40 ans. L’humain restera donc un vecteur privilégié des hackeurs jusqu’à qu’il jouisse du progrès nécessaire à sa protection.Toutefois, les pires attaques de ces dernières années, telles que NotPetya, WannaCry, Equifax hack, Target hack, étaient toutes des attaques qui n’exploitaient pas des vulnérabilités de l’utilisateur, mais du système lui-même. Chaque humain étant un utilisateur unique, un criminel ne peut qu’effectuer des hacks individuels lorsqu’il le cible. En revanche, la majorité des systèmes informatiques sont semblables et une vulnérabilité peut s’exploiter et causer des dégâts très rapidement et à grande échelle. Il en résulte qu’un hackeur préfèrera s’attaquer au système informatique lorsque possible et se rabattra sur le facteur humain lorsque celui-ci s’avère le vecteur le plus efficace.
L’échappatoire facile
Il est aisé de pouvoir imputer la culpabilité d’une faute à des tiers. Le responsable IT ou cyber-sécurité sera ainsi tenté d’incriminer l’erreur humaine lors d’une attaque plutôt que d’en assumer la faute. Les responsables de la cyber-sécurité (RSSI) trop souvent ne bénéficient pas de budget suffisant ni du soutien de la direction pour effectuer correctement leur travail ; toutefois, leurs tâches incluent la gestion du facteur humain, vecteur d’attaque devant être pris en compte et géré de façon appropriée lors de l’exécution de leur travail.Tous les processus au sein des entreprises impliquent des êtres humains, que ce soit dans la comptabilité, la vente, la production, etc. ; c’est la responsabilité du directeur de chaque département de s’assurer que ces processus soient exécutés correctement. Le CFO, par exemple, met en place un système de contrôle de transactions avant qu’elles ne soient validées, justement afin d’éviter la malveillance et les erreurs humaines. Tout comme les autres directeurs (CIO et les COO par exemple) ne peuvent pas simplement déclarer que l’utilisateur est le maillon faible pour justifier les défaillances des processus qu’ils supervisent, le RSSI ne peut pas rendre les utilisateurs responsables des échecs dans les processus de sécurité. L’utilisateur est un composant intégré des systèmes informatiques de l’entreprise et il est négligeant de ne pas mettre en place un ensemble de mesures et contre-mesures complètes pour prévenir, détecter et atténuer les défaillances prévues de ce composant.
Les outils ne sont pas si bons que ça…
Nous entendons souvent dire : « il n’aurait pas dû ouvrir cet email, c’était évidemment du phishing ». Mais si l’email était si évidemment malveillant, pourquoi les outils de protection électroniques ne l’ont-ils pas détecté ?L’humain est le dernier rempart de la cyber-sécurité et peut bloquer une attaque lorsque tous les autres systèmes ont failli à leur mission ; il est un élément important de la sécurité informatique et peut réellement arrêter une attaque (c’est pour cela que les formations sont essentielles). Toutefois, lorsque la chaine complète de sécurité n’a pas réussi à bloquer un incident, ce n’est pas la responsabilité de l’utilisateur, et encore moins de sa faute. Les professionnels de la sécurité doivent réaliser que, même si la sensibilisation de l’utilisateur réduit les risques, leur travail englobe la prévention au niveau du système ; de même, certaines entreprises pensent que les nouvelles technologies derniers cris qu’elles ont acquises les protégeront de tout, et n’engagent pas de formations pour leurs collaborateurs. C’est pourtant bien une combinaison d’efforts humains et d’outils techniques qui mène à une cyber-sécurité efficace.Aussi, les outils que nous utilisons au quotidien n’aident pas l’utilisateur à prendre des bonnes décisions d’un point de vue de cyber-sécurité. Reprenons le cas de l’email malencontreusement ouvert : sachant que le nom de l’expéditeur peut être arbitrairement choisi et apparaitra en grand dans l’application email, une personne malveillante peut très facilement envoyer un email prétendant être quelqu’un d’autre (comme dans les fraudes au président). Pareillement, lorsque vous trouvez un email dans votre boite spam venant de votre directeur, vous penserez naturellement à une erreur du système, car votre directeur n’envoie pas de spam. Ceci est effectivement bien le cas ; l’email en question n’est pas du spam (publicité non désirable), mais du phishing (email qui prétend venir d’une personne de confiance). Toutefois, le système ne distinguant pas correctement entre les deux, il causera de la confusion pour l’utilisateur, qui risquera ensuite de compromettre la sécurité. Les outils techniques de protection ne sont pas vraiment développés ni pensés pour des utilisateurs finaux non experts. C’est donc la responsabilité et le devoir des développeurs de guider l’utilisateur vers un maniement sécurisé de leurs programmes et pas à l’utilisateur d’apprendre systématiquement des nouveaux principes.
En conclusion
Pour conclure, je tiens à souligner que la cyber-sécurité est une tâche collective et globale, même si elle reste la responsabilité de certains. Il suffit d’un utilisateur victime pour compromettre toute une entreprise, mais il suffit aussi d’un seul utilisateur attentif pour déjouer une attaque. Les usagers doivent apprendre à réagir de manière appropriée aux menaces qu’ils rencontrent, tels que les sites Web malveillants, les courriels de phishing ou les tentatives d’ingénierie sociale ; le rôle du RSSI inclut la mise en place d’outils permettant à l’utilisateur de devenir le maillon fort de la chaine.
