Le facteur humain, un défi clé pour la sécurité de l’information
Le manque de conscience et de compréhension des risques par les utilisateurs est l’un des plus grands défis pour la sécurité de l’information, selon un groupe d’experts.
Le manque de conscience et de compréhension des risques par les utilisateurs est l’un des plus grands défis pour la sécurité de l’information, selon un groupe d’experts.
Une étude a montré que 93 % des incidents de sécurité entre avril et juin 2014 sont dus à une erreur humaine, ont pu apprendre les participants à l’ouverture de l’édition européenne du congrès ISC2 à Londres, cette semaine.
« Près de la moitié de ces incidents ont impliqué la transmission de données par e-mail à un mauvais destinataire », expliquait ainsi Ray Stanton, conseiller en sécurité et vice-président exécutif Services de British Telecom.
Peu importe la qualité des équipes de sécurité et de la technologie : la sécurité restera faible si les professionnels de la sécurité échouent à influencer les utilisateurs pour qu’ils respectent les principes de bases de la sécurité, a-t-il souligné.
La sensibilisation à la sécurité de l’information devrait être obligatoire dans le cadre de l’enrôlement de toute nouvelle recrue, estime pour sa part David Blunkett, ancien ministre de l’Intérieur britannique : « les individus seront toujours la composante la plus vulnérable de la sécurité de l’information d’une organisation, parce que tout le monde commet des erreurs et peut-être aisément manipulé ».
Les organisations devraient ainsi travailler à construire une culture de la sécurité, estime de son côté Stefan Lüders, responsable de la sécurité informatique au Cern : « Les pratiques sûres doivent devenir automatiques, comme lorsque l’on traverse une rue, afin que chacun vérifie sans y penser où il adresse des données et ne clique pas sur des liens intégrés [à des e-mails] ou sur des pièces jointes ».
Adapter les effectifs
Pour Lüders, la formation contre le hameçonnage en utilisant des exercices de simulation peut être une façon utile de procéder, afin que chacun soit plus conscient de la sécurité et commence à se poser les bonnes questions.
Stanton estime pour sa part que les professionnels de la sécurité doivent s’assurer de rendre la sécurité pertinente pour tous dans l’organisation, adaptant le message aux fonctions et âges des utilisateurs : « expliquez ce que sécurité signifie pour eux ; comment ils sont concernés, et ce qu’ils pourraient perdre si des pirates venaient à compromettre » leur poste de travail.
En la matière, Stanton considère qu’il revient aux professionnels de la sécurité d’influencer le reste de l’organisation pour l’application des bonnes pratiques. Le tout avec un effort continu de formation.
John Colley, co-président du conseil consultatif européen de l’ISC2, suggère pour cela d’en revenir aux bases de la sécurité, et d’expliquer les fondamentaux. Un discours qui résonne comme un écho à celui tenu par Patrick Pailloux, alors patron de l’Agence Nationale pour la Sécurité des Systèmes d’Information (Anssi), aux Assises de la Sécurité, en 2011.
Et John Colley de relever qu’il y a « mille et une choses que nous faisons inconsciemment et considérons comme acquises. Alors, il est important de ne pas négliger les principes clés sous-jacents lorsque l’on cherche à former les autres. Mais il est également important de ne pas sur-compliquer les choses. » Pour lui, les collaborateurs d’une organisation doivent avoir la compréhension et les compétences pour agir de manière appropriée lorsque la technologie touche à ses limites.
Et d’illustrer son propos : « la plupart des avions de transport de passagers sont capables de voler en pilote automatique, mais il y a toujours des pilotes à bord pour prendre le contrôle lorsque c’est nécessaire. »
Des discours qui en rappellent d’autres : ceux des participants à la plénière d’ouverture de l’édition 2014 du Forum International de la Cybersécurité (FIC).
La sécurité du logiciel
Le second défi majeur de la sécurité tient, pour Lüders, au fait que les éditeurs de logiciels continuent de livrer des produits qui ne sont pas sûrs à 100 % : « de nombreux produits logiciels n’ont pas le niveau de sécurité et de sûreté que l’on pourrait attendre mais, contrairement à ce qui se passe pour d’autres produits, les fournisseurs n’en acceptent pas la responsabilité ».
Ainsi, selon Lüder, comme pour la fiabilité et la disponibilité, les organisations devraient exiger que la sécurité soit un élément automatique de n’importe quel logiciel qu’elles achètent.
Et en ce qui concerne les défis technologiques, Stanton estime que les professionnels de la sécurité devraient concentrer leur attention sur des développements technologiques tels que l’informatique quantique et sur leurs implications en matière de sécurité : « certaines de ces avancées ne sont pas si lointaines que l’on pourrait le penser, et il est important de commencer à s’y préparer ».
Réduire le facteur humain
Pour Lüder, l’humain étant souvent le maillon faible de la sécurité, les technologies nouvelles et émergentes devraient être conçues pour prendre gare à la sécurité de manière automatique. « Nous devons également encourager les gouvernements à rendre publics tous les exploits de sécurité qu’ils connaissent pour aider les organisations à mieux se préparer, plutôt que de s’asseoir sur les renseignements dont ils disposent durant des mois, sinon des années », a-t-il en outre relevé.
Pour Blunkett, il conviendrait en outre que les développeurs accordent plus d’attention à la manière de migrer les données depuis les systèmes patrimoniaux vers des systèmes modernes, plus sûrs, et conçus pour faire face aux menaces informatiques actuelles.
« Nous devrions exiger que l’industrie fasse de la sécurité une priorité majeure dans tous les nouveaux produits et services, et tout particulièrement avec l’émergence de l’Internet des objets », a-t-il ainsi souligner. Une approche qui pourrait également s’appliquer aux systèmes informatisés de contrôle industriel (Scada), comme d’autres l’ont déjà relevé à de multiples reprises par le passé.
Rejoignant le discours d’Art Coviello en ouverture de RSA Conference, en février dernier à San Francisco, Blunkett a appelé les sociétés à « travailler à identifier ce qu’elles vont et ne vont pas accepter de la part des autorités au nom de la sûreté des individus. Même si l’on considère Snowden comme un voleur ou un traitre, il faut lui reconnaître le mérite d’avoir ouvert un débat ».
Avec nos confrères de ComputerWeekly (TechTarget).