Retour aux fondamentaux de la cybersécurité : nous sommes humains après tout ! (partie 2)
Publié le 24/5/2021
Auteur : Lisa Ménière, Regional Sales Manager
Dans mon précédent article, nous avons vu à quel point les sept péchés capitaux étaient des faiblesses humaines inspirantes pour les hackers. Poursuivons cette analogie pour vous aider à développer les bons réflexes.
Cupidité.
Égoïsme, possessivité, avarice.
Si vous pensiez à la cupidité financière et à l’intérêt personnel, vous êtes sur la bonne voie. De nombreux hackers utilisent cette technique pour manipuler les collaborateurs : » si tu me donnes cet accès, je te donnerai XXX€ » ou » si tu ne fais pas ceci, je publierai en ligne des vidéos de toi faisant XXX « . Mais la cupidité ne s’arrête pas là. Lorsque les gens gèrent un projet ou une entreprise, ils leur arrivent souvent de confondre leurs intérêts professionnels avec leurs intérêts privés. C’est la raison pour laquelle certains consacrent une part importante de leur budget à un “bouton bleu en bas à droite parce que c’est joli » et non à la sécurisation des accès à une application.
Que devrions-nous faire ? Comme le disait Einstein, « le souci de l’homme et de son destin doit toujours constituer l’intérêt principal de tous les efforts techniques ». Travailler de manière agile signifie donc que les questions de cybersécurité doivent être prises en compte dès le début du projet et jusqu’à la fin. Faites des questions de cybersécurité des sujets quotidiens, faites-en la nouvelle normalité pour éviter que les gens ne les prennent à la légère. La cybersécurité n’est plus une option, quand un hôpital ne fonctionne pas pendant trois jours, comme ce fût le cas pour l’hôpital de Dax en France, les conséquences pour les personnes qui ne reçoivent pas de soins ou d’opérations sont bien réelles et dramatiques.
La fierté.
L’égoïsme, la réussite individuelle.
Pour se sentir importants, nombreux sont ceux qui revendiquent à tort des diplômes, des réalisations professionnelles ou des succès. L’estime de soi trouve souvent sa justification dans les chiffres, ce qui nous amène parfois à les gonfler avec désinvolture. Prenons par exemple le cas d’une grande entreprise comptant 10 niveaux de hiérarchie entre un employé et son PDG. Chaque niveau ajoute son point d’ego à la performance estimée de la cybersécurité et l’on finit par avoir deux réalités.
Que devrions-nous faire ? Vérifiez les chiffres, effectuez des tests et des campagnes de phishing ; la cybersécurité et son efficacité ne s’apprécient pas sur la base de « bonnes impressions » ou de « bons chiffres ». Remettez en cause les certitudes et trouvez les brèches avant les hackers, car s’ils les trouvent avant vous, c’est l’image de votre entreprise va terriblement souffrir… Vous avez entendu parler de SolarWinds, n’est-ce pas ? Êtes-vous jaloux de leur nouvelle réputation ?
Envie.
Ambition démesurée, jalousie, désir.
Vous aimez la nouvelle architecture cybersécurité à la mode que tout le monde veut mettre en place parce que Gartner a dit que c’était cool et vous voulez avoir le même. Si nous faisions du shopping ensemble, je dirais « va chercher ces chaussures », sachant qu’elles sont branchées et qu’un jour (parce que si votre armoire ressemble à la mienne, vous n’avez pas vraiment besoin de ces chaussures) elles seront utiles. Mais la cybersécurité ne consiste pas à être à la mode, il s’agit de la faire fonctionner. Apprenez à connaître vos « clients internes », définissez leurs besoins et les solutions, soyez attentif à la stratégie de votre entreprise (votre entreprise fait-elle beaucoup de ventes et d’acquisitions ? Utilisez-vous des technologies IoT ? Avez-vous des populations nomades comme des directeurs vérifiant des données confidentielles avec leur smartphone à la machine à café ?)
Que devrions-nous faire ? Définissez un plan et respectez-le. Oui, votre population de personnes en télétravail a augmenté de 90% en 24 heures et c’est spectaculaire, mais vous devez quand même prendre du recul, réfléchir à ce que cela signifie en termes de risques, et planifier vos étapes : étape 1, solution temporaire ; étape 2 ; validation du concept ; étape 3 ; mise en œuvre d’une solution à long terme. Vous avez un problème de budget/productivité ? Ne vous inquiétez pas, cela deviendra un problème bien plus important lorsque vous vous ferez pirater (en France, entre 2019 et 2020, le nombre d’attaques par ransomware a été multiplié par 4 selon le nombre d’incidents traités par l’ANSSI en 2019 et 2020)
Colère.
Rancune, vengeance, rage.
Malheureusement, il n’existe pas beaucoup de moyens pour protéger les données de votre entreprise contre les « lanceurs d’alerte », et je ne peux que vous encourager à promouvoir des relations de confiance avec vos collaborateurs, entrepreneurs et prestataires de service tout en mettant en place des protections juridiques pour votre entreprise. La confiance incitera aux feedbacks, améliorera les tests et assurera une meilleure application de vos politiques et adoption de vos solutions.
Que devrions-nous faire ? La transparence à travers les relations est la clé de la réussite d’un projet. J’ai souvent vu des clients tester des solutions sans faire le moindre feedback. Vos fournisseurs sont censés être des experts ; si vous n’avez pas confiance en eux et n’avez pas envie de les contacter, ne leur achetez pas de solution. La cybersécurité ne consiste pas à avoir un bon contrat, mais à avoir un bon contact, ce qui vous permet d’être toujours au courant du dernier patch, de la dernière mise à jour ou de la dernière version.
95% des failles de cybersécurité sont dues à une erreur humaine, mais 100% peuvent être résolues par l’homme. Aimer ses défauts, c’est prendre soin les uns des autres, accepter que personne n’est parfait et que personne ne le sera jamais.
Il est toujours possible d’éduquer les gens. Si nous pouvons apprendre à faire une réanimation cardiopulmonaire (ce qui n’est pas facile à faire dans une situation très stressante), alors nous pouvons apprendre aux gens à agir et à réagir face à des attaques cyber, mais également à tenir compte de nos faiblesses dans notre politique de cybersécurité et dans la conception de nos produits.
Chez TheGreenBow, les humains et leurs erreurs sont au cœur de notre stratégie VPN client. Nous luttons contre les 7 péchés capitaux grâce à des fonctionnalités simples telles que le déploiement silencieux, le mode Always-On et la détection des réseaux de confiance. Nous luttons en offrant des clients VPN IPsec, en obtenant des visas de sécurité auprès de l’ANSSI, en rendant nos produits compatibles avec les solutions MFA, en veillant à la mise à jour des endpoints et en fournissant régulièrement des patches. Tout cela contribue à faire de nos clients VPN, des produits réputés pour leur robustesse et leur haut niveau de sécurité. Ils sont aujourd’hui utilisés pour sécuriser les connexions des travailleurs à distance dans les grandes entreprises ou les PME/TPE et protéger les communications critiques ou confidentielles (objets connectés & smart cities, hôpitaux, OIV/OSE, administrations publiques ou encore organisations de défense et de sécurité).