peshkova - Fotolia
Sécurité : tester le facteur humain
Laura Bell, CEO de SafeStack, a présenté cet été à la conférence BlackHat, un outil visant à évaluer le niveau de sûreté du comportement des collaborateurs d’une entreprise.
L’humain est régulièrement montré du doigt comme le principal risque pour la sécurité des systèmes d’information. Début avril 2014, une étude réalisée par BalaBit IT Security concluait ainsi que le facteur humain était à l’origine de 84 % des incidents de sécurité.
Plus récemment, dans un rapport de prime abord positif sur l’état de la sécurité informatique, le chercheur Eric Jardine enfonçait le clou : « le point faible de la plupart des systèmes de sécurité informatique est souvent l’utilisateur individuel, et non pas le système lui-même ».
La formation et la sensibilisation sont souvent présentées comme des composantes essentielles d’une politique de sécurité réussie, notamment pour protéger l’entreprise des tentatives de hameçonnage ciblé. Mais comment évaluer la robustesse des utilisateurs face à ces tentatives ?
C’est à cette question que Laura Bell, CEO du prestataire de services de sécurité néo-zélandais SafeStack, ancienne de KPMG, de Lateral Security ou encore du même du Cern, tente d’apporter une réponse avec Ava Secure.
Dans une présentation à l’occasion de la conférence BlackHat, début août, Laura Bell a souligné l’importance de l’enjeu. La sécurité des systèmes d’information repose sur trois piliers, à savoir les systèmes techniques, les processus et l’humain. Les premiers sont examinés, testés, analysés, et les seconds sont audités, éprouvés, actualisés. Mais quid des utilisateurs ?
Pour Laura Bell, les programmes de sensibilisation à la sécurité des systèmes d’information sont ratés : l’important est de tester l’humain. Et c’est là qu’Ava entre en jeu, un « scanner automatisé des vulnérabilités humaines en trois phases ». La première phase consiste à cartographier les liens entre personnes au sein de l’organisation, mais aussi au-delà, en s’appuyant sur les réseaux sociaux.
La seconde phase est le test à proprement parler : il s’agit d’injecter un marqueur dans les réseaux de l’organisation pour surveiller sa propagation en temps réel, en s’appuyant sur des vecteurs d’attaque réalistes comme l’e-mail, les réseaux sociaux, les supports de stockage amovibles, ou encore les messages instantanés.
La phase trois d’Ava touche à l’analyse des résultats, à la mesure de l’impact du test et à l’identification des modèles comportementaux. De quoi comparer d’une division à l’autre, par exemple, et estimer l’efficacité des campagnes de sensibilisation.
Surtout, avec Ava, Laura Bell insiste sur la répétabilité du processus, afin d’avancer vers un schéma d’évaluation/entraînement en continu.