Retour aux fondamentaux de la cybersécurité : nous sommes humains après tout ! (partie 1)

Auteur : Lisa Ménière, Regional Sales Manager

J’ai lu beaucoup d’articles à propos des différentes méthodologies utilisées pour faire d’un système d’information une forteresse invincible, comme ZTNA, SASE et bien d’autres. Ces approches sont avant tout marketing et ne résolvent pas tous les problèmes. Il est évident que vous devez protéger vos équipements et technologies : ceux sur site, ceux à distances ou encore les équipements personnels. Je ne suis donc pas en train de dire que ces offres ne doivent pas être considérées, je dis simplement que ces dispositifs oublient les bases. La face cachée de l’iceberg. Pour rappel, 95% des failles de cybersécurité sont causées par une erreur humaine. C’est pourquoi, si nous voulons réduire ce nombre, le meilleur moyen d’y arriver est d’attacher davantage d’importance aux facteurs humains, avant même de penser à des solutions technologiques. 

Sans faire de psychologie de comptoir, je vais donc rester simple et m’en tenir à ce que l’on connaît tous à savoir les sept péchés capitaux. Grâce à cette analogie, j’espère vous inspirer et vous donner des idées pour vous protéger des cyberattaques. Il est en effet troublant de constater à quel point les sept péchés capitaux constituent les ressorts des attaques les plus couramment employées par les hackers. Pour parvenir à leurs fins, ils commencent par identifier nos faiblesses et ensuite les exploitent avec la technologie.

Si le hacking sur Twitter est si répandu, c’est parce que les pirates savent comment attirer l’attention de leurs victimes. Ils utilisent leurs points faibles, en publiant un message autant désespéré que provocateur.

Maintenant, regardons de plus près les sept péchés capitaux et l’impact qu’ils ont sur les individus dans leur vie quotidienne au travail : 

Paresse.

Fainéantise, procrastination, négligence 

C’est votre pire ennemi ! Pensez à tous les e-mails que nous recevons et qui nous incitent régulièrement à changer de mot de passe mais que la plupart d’entre nous ne lisons pas. Avons-nous réellement oublié de changer nos mots de passe ? Bien sûr que non ! Nous avons simplement estimé que l’effort à faire était trop important, que cela nous prendrait trop de temps ou que nous aurions tout le loisir de le faire plus tard.

Comment remédier à cela ? Privilégier des technologies simples à utiliser, plug & play, qui fonctionnent du premier coup et qui ne nécessitent que peu ou pas d’intervention humaine. Veillez à ce qu’il y ait une récompense pour chacune des actions effectuées, utilisez la gamification, et donnez des droits différents selon la bonne utilisation des outils de cybersécurité. 

Gourmandise.

Surconsommation, accumulation, excès.

Laissez-moi deviner, vous avez un tout nouveau système d’ERP déployé dans le Cloud et vous ne comprenez pas pourquoi vos collaborateurs travaillent encore sur des fichiers Excel enregistrés localement sous le nom de “Confidentiel_companyXXX_investissements”. En tant qu’êtres humains, nous aimons savoir que, si nous en avons besoin, nous pouvons ouvrir ces fichiers, partout, tout le temps, même si la connexion internet est mauvaise. Savoir cela nous fait nous sentir en sécurité. Nous pensons alors qu’il n’y a rien entre nos données et nous.

Que devrions-nous faire ? Protéger tous nos outils de travail, applications et équipements. Éviter de travailler avec des équipements personnels ou des applications publiques. N’oubliez pas qu’un casino a été hacké par l’intermédiaire d’un simple thermomètre connecté. Vous pourriez donc très bien vous faire hacker via votre imprimante. Utiliser des solutions de cybersécurité, n’achetez qu’auprès de fournisseurs certifiés. Rappelons que c’est l’utilisation de l’application “TeamViewer” comme “solution d’accès à distance” qui a permis la cyberattaque contre un site de traitement des eaux d’une ville de Floride.

Luxure.

Désir, sensualité, pouvoir. 

La séduction dans une entreprise passe par la détention d’un pouvoir relatif, et, donc, pousse à détenir plus de données que les autres équipes ou collègues. Quand on dit « Les données sont le nouveau pétrole », on n’imagine pas à quel point ce pétrole est exploité par les hackers. Nous n’aimons pas être privés d’accès aux données. Quand c’est le cas, nous avons l’impression d’être exclus d’une position privilégiée. Retirez l’accès à quelqu’un et cette personne trouvera un moyen encore plus rusé d’accéder aux informations. J’ai vu des stagiaires, qui travaillaient dans une entreprise depuis moins de six mois, télécharger des informations confidentielles à partir de serveurs hautement sécurisés avec l’accord de leurs responsables et directeurs qui leur avaient personnellement donné leur identifiant et leur mot de passe. 

Que devrions-nous faire ? Contrôler l’accès et l’utilisation des applications – de nombreuses solutions déclenchent désormais des alertes lorsqu’une personne se trompe de mot de passe trois fois de suite ou télécharge soudainement plusieurs documents confidentiels. L’utilisation de l’authentification à plusieurs facteurs (MFA) est également fortement recommandée pour éviter que des personnes aient accès à un trop grand nombre de données confidentielles ou pour empêcher les gens de télécharger des applications non fiables. 

Cupidité, fierté, envie et colère sont les quatre derniers péchés capitaux que nous détaillerons dans un prochain article.