Auteur :  Amanda Widdowson, responsable Capacité des facteurs humains chez Thales, Royaume-Uni

Cet article a été initialement publié dans le magazine Cyber magazine.

Les incidents de cybersécurité sont souvent attribués à « l’erreur humaine ». Selon Amanda Widdowson, les organisations peuvent réduire les risques en appliquant une approche axée sur les facteurs humains.

 

En 2020, une étude a révélé que « 95 % des atteintes à la cybersécurité étaient dues à une erreur humaine ». Ainsi, aborder la cybersécurité sans tenir compte de l’aspect humain reviendrait à verrouiller toutes les fenêtres de la maison tout en laissant la porte d’entrée grande ouverte. Modifier le comportement des collaborateurs peut s’avérer difficile, long, coûteux, voire contraire à l’éthique. Néanmoins, les experts en facteurs humains ont identifié des actions pratiques que les organisations peuvent mettre en œuvre pour minimiser les risques d’incidents de cybersécurité liés à l’humain.

Deux nouveaux livres blancs du Chartered Institute of Ergonomics and Human Factors (CIEHF) fournissent des recommandations sur cinq problématiques majeures :  le changement de comportement, les niveaux de maturité en matière de cybersécurité, la résilience organisationnelle, la prise de décision au sein du conseil d’administration et la présentation de l’information sur la cybersécurité. Tenant lieu de cadre de référence, le premier document, intitulé « Human Affected Cyber Security (HACS) Framework », identifie les catégories de comportements humains à risque et fait le constat que les causes profondes à l’origine de la plupart de ces comportements sont d’ordre organisationnel. Voici les comportements identifiés et les solutions qui leur sont associées :

Violations de l’authentification des utilisateurs

L’utilisation de mots de passe pour authentifier les utilisateurs dépend fortement de la mémoire humaine et de ses limites. Pour accéder à ses applications et sites web, tant personnels que professionnels, un utilisateur type nécessite de nombreux mots de passe. Le risque existe donc que les gens utilisent un même mot de passe, facile à retenir, pour plusieurs applications. Résultat : si l’une d’entre elles est compromise, les autres le seront aussi. Les technologies biométriques peuvent s’avérer une meilleure solution car elles éliminent cette dépendance à la mémoire humaine. Couramment utilisés sur les smartphones, les systèmes de reconnaissance des empreintes digitales et du visage pourraient être mieux exploités dans les équipements et applications informatiques du commerce. 

Partage de l’information et mauvaise utilisation de la technologie

Lorsque les politiques de cybersécurité sont trop strictes, les employés sont tentés de trouver des solutions de contournement, comme par exemple transférer des informations en utilisant leur messagerie personnelle ou des dispositifs de stockage non autorisés. Blâmer les utilisateurs ne sert à rien. Ce qu’il faut, c’est adapter les procédures par rapport aux tâches, sachant que la manière la plus sûre de réaliser une tâche est qu’elle soit la plus simple possible. Pour ce faire, les employés doivent être consultés lors de l’élaboration des procédures. 

Les informations partagées dans les espaces publics, et en ligne, alimentent les campagnes de phishing ciblées. Ce phénomène peut être surveillé par  le biais d’enquêtes Osint.

Ce qui ressort des enquêtes de vulnérabilité, c’est que les employés ont tendance à compter sur leur service informatique pour les protéger des cyber-attaques. Dans une culture mature, chacun assume la responsabilité de sa propre cybersécurité. Des programmes de changement culturel peuvent aider à atteindre cette maturité. 

Formation

La faible sensibilisation à la cybersécurité s’explique notamment par le manque de formations accessibles, bien conçues et pertinentes. Pour être efficace, la formation doit s’appuyer sur des exemples de conséquences parlants pour le public cible. L’objectif est de faire peur, tout en fournissant des solutions. Il est possible de recourir à un système de gestion des compétences pour réaliser un suivi de la formation et s’assurer que celle-ci a bien été assimilée. 

Mauvais suivi et gestion des incidents

Les collaborateurs doivent pouvoir signaler les incidents facilement et sans crainte d’être blâmés ou sanctionnés. Les incidents importants ou courants doivent faire l’objet d’un suivi et d’une enquête, et les leçons qui en découlent doivent être tirées et appliquées. Les enquêtes sur les incidents doivent tenir compte des facteurs humains avec, pour cela, l’aide d’un expert compétent. Les organisations doivent être préparées à répondre à une attaque.

Négligence de la sécurité de l’environnement physique

Même si cela n’apparaît pas comme une évidence, l’environnement physique de travail constitue une voie d’attaque non négligeable, en particulier pour les systèmes dits « air-gapped » qui ne sont pas connectés à Internet. Les attaquants peuvent s’introduire en employant la technique de la « filature », c’est-à-dire en se faufilant derrière une personne autorisée au moment où celle-ci entre dans l’espace. Ils tentent ensuite d’accéder aux systèmes électroniques en passant par des salles de serveurs non protégées, des ordinateurs non verrouillés et en insérant des clés USB. Les documents qui traînent sur des bureaux, des imprimantes ou dans des lieux de stockage non verrouillés peuvent également être pris pour cibles. 

Une bonne compréhension des facteurs humains peut aider à identifier et à réduire la vulnérabilité de l’environnement physique. Si les gens sont habitués à voir des personnes étrangères dans leur environnement de travail, ils seront peut-être moins enclins à s’opposer à l’entrée d’une personne non autorisée. Une bonne identification des visiteurs peut atténuer ce problème. La présence de tourniquets et d’agents de sécurité aux points d’entrée peut contribuer à réduire le phénomène de « filature ». La politesse peut empêcher les employés de vérifier l’identité d’une personne avant de lui autoriser l’accès. L’attribution claire de cette responsabilité au personnel de sécurité peut donc être utile. La sécurité des environnements de travail à distance doit également être prise en compte. 

Attaque délibérée et malveillante

Bien que, selon les statistiques, la majorité des incidents liés à la « menace interne » soient dus à des comportements non malveillants, le cadre de référence traite également des attaques délibérées. Si les employés ne se sentent pas appréciés, sont sous la menace d’un licenciement ou sont en désaccord avec la politique organisationnelle, le risque qu’ils compromettent l’organisation augmente. Il est donc prudent de prévoir des mécanismes de soutien émotionnel, d’évaluer l’état d’esprit au travers d’enquêtes sur l’engagement et de procéder à un suivi.

Conclusion

​​​​​​​Face à l’augmentation des cyberattaques contournant les techniques de protection, la meilleure défense consiste sans doute à intégrer l’humain dans la boucle. Pour faire pleinement face aux risques, les stratégies de cyber-résilience doivent prendre en compte les facteurs humains.