Une approche de cybersécurité centrée sur l’humain est indispensable pour prévenir les incidents. En intégrant les pratiques de travail et les besoins des utilisateurs, les organisations peuvent concevoir des mécanismes de sécurité plus robustes et pratiques évitant à l’humain le rôle du maillon faible.
Aujourd’hui, il est indispensable de considérer et même de sensibiliser l’humain dans une stratégie de cybersécurité. En effet, 60 à 90 % des incidents impliquent une action humaine, ce qui fait des collaborateurs le vecteur d’attaque le plus fréquemment utilisé par les cybercriminels. Nous lisons ou entendons trop souvent dire que « les humains sont le maillon faible et le plus gros problème en matière de cybersécurité ». Or, il ne faut pas blâmer les utilisateurs, il faut travailler avec eux sinon cette idée fausse ne disparaîtra pas.
L’humain n’est pas en panne de technologie. C’est la technologie qui fait défaut à l’homme.
“Des pratiques de travail peu sûres et une faible motivation des utilisateurs pour la sécurité peuvent être causées par des mécanismes et des politiques de sécurité qui ne tiennent pas compte des pratiques de travail de ces utilisateurs, des stratégies organisationnelles et de la facilité d’utilisation. Ces facteurs sont essentiels dans la conception et la mise en œuvre de la plupart des systèmes informatiques aujourd’hui. Les concepteurs de mécanismes de sécurité doivent comprendre qu’ils sont la clé d’un système de sécurité réussi. Si les services de sécurité ne comprennent pas comment les mécanismes qu’ils conçoivent sont utilisés dans la pratique, le risque subsistera que des mécanismes qui semblent sûrs sur le papier échouent dans la pratique” – Anne Adams and Martina Angela Sasse (2005)
Ce que les professeurs Anne Adams and Martina Angela Sasse disaient en 2005 est toujours vrai en 2024, et cela ne changera pas de sitôt semble-t-il. À moins que l’ensemble du secteur de la cybersécurité ne comprenne que l’être humain est l’élément le plus important. Sans les humains, il n’y a pas de création de valeur, il n’y a pas de client, il n’y a pas d’entreprise. Une approche de la sécurité et de la conception technologique centrée sur l’homme est la seule approche viable.
Il est important de tenir compte des pratiques de travail des utilisateurs (la manière dont les choses sont faites), des stratégies organisationnelles et de la facilité d’utilisation des produits. L’expérience de la sécurité est importante, car elle peut faire la différence entre les personnes qui suivent un processus sécurisé et celles qui se comportent de manière non sécurisée. Si c’est trop difficile ou si la motivation n’est pas assez forte, on ne peut pas s’attendre à ce que les gens se comportent de manière sûre.
Pourquoi blâme-t-on l’humain, mais jamais la technologie ?
L’humain est le vecteur d’attaque le plus ciblé, mais uniquement parce que la technologie nous laisse souvent tomber. La collaboration et la simplicité font souvent défaut. La formation n’a qu’une portée limitée si la conception n’est pas bonne. La technologie a aussi sa part de responsabilité.
De plus, s’il suffit d’un clic sur un lien pour faire tomber toute une entreprise, qu’est-ce que cela nous dit sur la qualité des défenses de cette entreprise ? Elles n’étaient probablement pas assez efficaces. Il serait tout à fait erroné de pointer du doigt un individu en particulier.
Logiquement, l’homme ne peut donc pas être le maillon le plus faible. Démonstration :
Le postulat : l’homme est le maillon faible de la cybersécurité.
La preuve : la pensée et le comportement humains ne sont pas déterministes et ne sont pas exempts de défauts.
D’autres preuves : L’homme a créé la technologie.
Déduction n° 1 : la technologie a un comportement non déterministe et n’est pas exempte de défauts.
Nous savons que cette déduction est vraie. Lorsque le matériel et les logiciels sont altérés, il est impossible de prédire le résultat d’une entrée donnée. Pourquoi avons-nous des attentes plus élevées pour l’être humain que pour la technologie ? Cela n’a pas de sens.
Déduction n° 2 : si l’homme était parfait, il créerait une technologie parfaite. Si la technologie était parfaite, l’homme n’aurait pas besoin d’être parfait.
Déduction n° 3 : Par conséquent, lorsque l’être humain est parfait, la technologie est parfaite. De même, si la technologie n’est pas parfaite, nous ne devons pas supposer que l’homme est parfait.
Comme ce n’est ni l’un ni l’autre, nous ne devons pas nous attendre à ce que l’un ou l’autre soit parfait.
Il s’agit de personnes, de processus et de technologies. Jamais seulement des personnes.
On observe cependant que les êtres humains sont le vecteur d’attaque le plus ciblé.
Une mauvaise conclusion à tirer serait de dire que les humains sont le maillon faible alors qu’il faudrait énoncer que les cybercriminels qui s’attaquent aux humains représentent le plus grand risque auquel mon organisation est confrontée.
Les mauvaises conclusions sont des pentes glissantes. Si l’homme est le maillon faible, il faut l’éliminer de l’équation. Il est nécessaire de tout investir dans les mesures de défense technique. Celles-ci sont créées par l’homme et, tout comme lui, les mesures techniques sont faillibles.
Si une organisation pense que les humains sont le maillon faible, sa gestion des risques est défectueuse. Son évaluation des risques et probablement sa stratégie d’atténuation doivent être ajustées. Son évaluation doit être que les humains sont le vecteur d’attaque le plus ciblé, c’est-à-dire que l’ingénierie sociale et l’hameçonnage sont parmi les attaques les plus courantes.
Les mesures d’atténuation doivent porter sur les personnes, les processus et la technologie. Les trois piliers de la cybersécurité à prendre en compte pour réduire les risques. Les organisations doivent former le personnel, déployer des mesures de défense technologiques et intégrer les comportements sécurisés souhaités dans les processus définis et communiqués par celles-ci.
Dans la chaîne de défense, l’élément humain n’existe pas de manière isolée.. C’est pourquoi on ne devrait pas parler de l’humain comme étant le maillon le plus faible. Chaque élément d’une chaîne de défense est toujours une combinaison de personnes, de processus et de technologie.
C’est une question de perspective que de réaliser que la technologie ne peut exister sans les personnes et les processus, de même que les personnes ne peuvent travailler sans la technologie et les processus ou qu’un processus n’a pas de sens sans les personnes et la technologie. Ces trois éléments sont interdépendants et les traiter séparément est une erreur.
_____________________________
Par Martin Kraemer, Expert en sensibilisation à la cybersécurité chez KnowBe4
puis