Rawpixel.com - stock.adobe.com
Information sécurité no 21 – Cybersécurité : remettons l’utilisateur à sa place
C’est-à-dire au centre, avec considération, et sans la suffisance de la blague historique de la chaîne et du clavier. Certes, cela demande un certain travail. Le temps passé à négliger cette approche risque de ne pas aider.
Remettre l’utilisateur au centre de la cybersécurité peut en effet s’avérer laborieux : après tout, il s’agit rien moins que de convaincre l’utilisateur de s’impliquer pour faire partie de la solution, après avoir été moqué durant des décennies, comme le problème.
À cela s’ajoute une autre difficulté : l’idée, bien répandue, que la formation des utilisateurs ne fonctionne pas. Une conclusion trop souvent lancée sans véritable questionnement sur les attentes initiales (et leur réalisme), les actions mises en place (et leur potentiel d’efficacité), ainsi que les évaluations réalisées.
Et au-delà d’un préjugé, une question d’état d’esprit. Si l’idée d’un échec de la formation des utilisateurs est répandue, si certains estiment encore que la faille est entre la chaise et le clavier, c’est que beaucoup n’ont peut-être pas encore appris une certaine humilité. Celle qui fait dire, lorsque l’on se sent incompris, que l’autre n’est pas idiot, mais que l’on n’a simplement pas su s’en faire comprendre.
Autrement dit, la question est peut-être moins de savoir si la formation à la cybersécurité fonctionne (ou pas), que de savoir si l’utilisateur saura (ou pas) la faire fonctionner. Quitte à se faire accompagner, si besoin.
Car rendons-nous à l’évidence : les mécanismes techniques de sécurité ne fonctionnent pas à tous les coups. Ce n’est peut-être pas pour rien que Proofpoint s’est offert Wombat Security Technologies début 2018, un mois après le rachat de PhishLine par Barracuda Networks… En tout cas, cela ressemblait fortement à la prise en compte pragmatique de limites techniques.
En effet, oui, un seul utilisateur ouvrant une pièce jointe malveillante peut réussir à compromettre l’entreprise. Mais il peut aussi suffire – avec les bons processus en place – d’un seul utilisateur qui signale cette menace en amont, pour qu’elle n’en constitue plus une. Il serait dommage de se priver de cette chance par dogmatisme, non ? C’est pour cela que nous avons décidé de consacrer le numéro 21 de notre eZine Information Sécurité à la formation des collaborateurs à la cybersécurité.