Failles de cybersécurité : la nécessité de reconnaître le facteur humain

Mots de passe faibles, mises à jour de sécurité négligées, ransomwares… les acteurs malveillants s’évertuent à traquer tout usager mal préparé dans le cyberespace. Et, si l’on y regarde de plus près, il apparait que des incidents de sécurité arrivent parce que les utilisateurs n’ont pas conscience des dangers environnants. Pour se prémunir contre la menace cyber qui ne cesse de croître, les solutions de défense doivent s’accompagner de programmes de sensibilisation et d’éducation aux risques.

Selon un rapport récent[1], le coût moyen d’une fuite de données en 2021 s’élève à 4,24 millions de dollars. Dans les prochaines années, la cybercriminalité deviendra probablement l’un des principaux défis à surmonter. Plus tôt en 2021, la Secrétaire générale adjointe et Haute-Représentante pour les affaires de désarmement aux Nations Unies, Izumi Nakamitsu[2], faisait remarquer que la « croissance explosive » des technologies numériques donne naissance à un nouveau potentiel de conflits. Elle précisait aussi qu’un risque particulièrement élevé pèse sur les infrastructures critiques. En parallèle, le coût des cyberattaques approche de nouveaux sommets, tant pour les organisations que pour les consommateurs. Cybersecurity Ventures[3] estime que d’ici 2025 il atteindra le vertigineux record de 10 000 milliards de dollars.

Les cyberattaques n’affectent pas exclusivement les marques, la réputation et le revenu des entreprises ; elles laissent derrière elles d’autres séquelles, preuves de leur capacité de destruction, occasionnant troubles psychologiques chez les employés et difficultés pour ceux situés en bout de chaîne d’approvisionnement. Elles sont aussi capables d’endommager des services d’utilité publique, dont les fournisseurs d’énergie et les établissements de santé. Ces ramifications ne sont pas évidentes à évaluer, mais n’en demeurent pas moins critiques.

Si les technologies offrent des « portes ouvertes » aux acteurs malveillants, ce sont bien, en définitive, des hommes et des femmes qui sont impactés par les failles de sécurité. En tant que telle, la cybersécurité relève donc de l’Humain. Aussi, il ne faut pas omettre la notion d’empathie au regard de tous ceux qui se retrouvent impliquées dans les effets des failles de sécurité : depuis les RSSI sous pression qui tentent de minimiser l’impact des incidents, jusqu’aux patients dans les hôpitaux dont les données personnelles ont été exposées.

Il serait si simple de pouvoir faire l’acquisition d’une technologie qui prendrait tout en charge pour nous et nous mettrait à l’abri. Malheureusement, il n’existe rien de tel. Les pare-feu et autres solutions de sécurité ne peuvent pas tout faire. Ces outils dépendent d’êtres humains pour les configurer et pour filtrer les informations. Les technologies sont aptes à collecter, analyser et stocker des données, mais l’étape clé de la prise de décision revient toujours à l’Humain. Pourquoi ? A ce jour, les machines sont incapables de supplanter l’imagination et l’intuition de l’Homme.

Les utilisateurs peuvent, en revanche, causer des failles de sécurité. Selon des recherches menées par IBM[4], les erreurs humaines s’imposent comme un facteur contributif dans 95 % des failles en cybersécurité. Autrement dit, s’il était possible de soustraire l’erreur humaine de l’équation, 19 failles de sécurité sur 20 ne se produiraient pas.

Si l'élément humain représente la première ligne de défense, il constitue également le maillon le plus faible de la chaîne de protection des données. Certes, nous faisons tous des erreurs, mais admettre ce caractère faillible de l’Humain est primordial.

La plupart des erreurs humaines pourraient entrer dans une catégorie « d’erreur organisationnelle », car elles exposent les utilisateurs à des risques sans qu’ils aient conscience des dangers. Les entreprises doivent habiliter les RSSI à prendre les bonnes décisions et garantir la diversité des compétences pour optimiser la protection sur de multiples fronts, tout en permettant aux utilisateurs de remplir leurs fonctions sans compromettre la sécurité de l’entreprise. Pour ce faire, il est nécessaire que les organisations mettent en œuvre une coopération holistique entre les divers départements, s’assurent qu’ils n’opèrent pas en silos, qu’ils disposent des outils adéquats et qu’ils sont sensibilisés et formés aux problématiques de sécurité.

Les entreprises doivent parvenir à un équilibre entre l’exploitation de ce pouvoir irremplaçable de l’élément humain et l’adoption de technologies de pointe pour créer un environnement de travail sécurisé.

Pour cela, il faut commencer par la sensibilisation et la formation des collaborateurs. Ce processus contribue à rendre les salariés plus conscients des risques cyber et améliore en conséquence, la protection globale de l’organisation. Chez Orange Cyberdefense, nous élaborons des stratégies de sensibilisation qui portent sur l’ensemble des utilisateurs, quelle que soit leur hiérarchie au sein de l’entreprise. Nous créons du contenu sur mesure, sous forme de sessions sur site et en ligne, dont des simulations de phishing et des modules ludiques de formation par le jeu. Ces services sont alimentés par notre approche éducationnelle unique, fondée sur le renseignement sur la menace cyber.

Dans l’économie numérique, le RSSI revêt un rôle plus important que jamais. Il ou elle se charge de l’établissement d’une stratégie de sécurité d’entreprise et de garantir que tous les actifs informationnels sont pleinement protégés, conformes et en phase avec les procédures réglementaires. Orange Cyberdefense propose une solution de « RSSI as a Service » assurant aux organisations qu’elles bénéficient des compétences de professionnels hautement qualifiés pour maintenir en continu la meilleure politique de cybersécurité possible. Nous proposons aussi un service de consulting d’un RSSI autour de l’élaboration de feuilles de route stratégiques dédiées à la sécurité, de la gestion des risques de non-conformité, de la mise en œuvre de gouvernance et de la sensibilisation aux questions de sécurité.

Le hacking éthique est pensé pour aider les organisations à se « mettre dans la peau » des acteurs malveillants et identifier des vulnérabilités de sécurité sur la base d’évaluations issues du monde réel.

Les hackers éthiques (ou White Hats) d’Orange Cyberdefense ont recours aux mêmes compétences malveillantes que les cybercriminels pour attaquer les systèmes, à la différence près qu’ils ont l’autorisation de leur propriétaire. Ainsi, ils aident les organisations à comprendre où se situent les faiblesses dans leurs systèmes et à se préparer à d’éventuelles attaques.

Nombreux sont les Security Operations Centers (SOC) qui s’efforcent de se tenir au fait de l’évolution des menaces grandissantes dans l’environnement actuel. Une solution SOAR managée (Security, Orchestration, Automation, and Response) peut aider les organisations à accélérer leurs opérations de sécurité grâce à des flux de travail évolutifs et automatisés de réponse à incident.

Plusieurs SOC souffrent de carences en termes d’effectif et sont confrontés à un amoncellement d’alertes. Orange Cyberdefense propose une solution SOAR managée visant à industrialiser les tâches répétitives. Ce service limite l’épuisement pour les analystes et optimise leur efficacité, en particulier en cas de sous-effectif. Ainsi le tri et le temps de réponse sont accélérés.

Certaines organisations attendent une approche plus centralisée et granulaire à la sécurité — exploitant les données de sécurité les plus utiles au niveau des réseaux, des terminaux et dans les environnements Cloud, 7 jours sur 7, 24 heures sur 24. Outre un service managé de détection et de réponse (MDR), elles demandent aussi une offre complète de Threat Intelligence cyber.

Afin de répondre à ces exigences plus globales, Orange Cyberdefense a développé un service complet de Threat Detection managé [xdr]. Cette offre inclut la détection, le tri, la classification et des notifications en cas d’incident, sur la base des incidents de sécurité détectés dans les environnements informatiques de nos clients.

Aujourd’hui, toute entreprise fait face à des risques de cyberattaque. Orange Cyberdefense dispose d’une gamme de solutions visant à consolider vos défenses et réduire les risques. Toutefois, pour maximiser l’efficacité de ces services, les employés doivent être conscients des problématiques liées à la cybersécurité.

Les failles de sécurité nous impactent tous directement ou indirectement. Le meilleur moyen de les limiter est de créer une culture de la sensibilisation à la cybersécurité. Certes, les attaques ne disparaitront pas, mais, par un effort commun, nous pouvons parvenir à améliorer la cybersécurité en entreprise.

Pour en apprendre davantage sur le facteur humain et son rôle central en matière de cybersécurité, inscrivez-vous pour suivre le webcast d’Orange Cyberdefense “Blending Culture and Technology to Optimize Security Outcomes” (Culture d’entreprise et technologies pour maximiser la cybersécurité) du 30 novembre 2021.

[1] The Ponemon Institute et IBM, Cost of a Data Breach Report 2021

[2] UN statement June 2021

[3] Cyberventures Official Annual Cybercrime Report

[4] IBM Security Services Cyber Security Intelligence Index