Sécurité : la menace est déjà dans les murs

Pour protéger vos données, la technologie miracle n'existe pas. Et pour cause : le plus grand péril qui pèse sur votre sécurité est à chercher du côté des utilisateurs. Il est donc grand temps de mettre en place une politique de formation et de sensibilisation.




Pare-feu, antivirus ou chiffrement, la panoplie d'outils de sécurité déployée aujourd'hui dans les entreprises constituent une barricade indispensable face à la montée des cybermenaces. En revanche, elles ne sont pas, et ne seront sans doute jamais, un rempart absolument infaillible. La technologie de sécurité parfaite n'existe pas. D'une part parce que les hackers développent de nouvelles méthodes d'intrusion à un rythme effréné, d'autre part parce que la principale faille de sécurité observée dans les entreprises n'est pas technologique, mais humaine.

Selon un rapport publié en mai 2015 par l'organisme américain CompTIA (Computing Technology Industry Association), l'erreur humaine serait responsable de 52 % des failles de sécurité, alors que 48 % pourraient être imputables à une cause technique. Assurer la protection d'un système d'information réclame donc la création d'une véritable armée dont chaque utilisateur sera un soldat. La clé pour constituer cette armée réside dans la sensibilisation et la formation. Le moment est donc venu de responsabiliser davantage les collaborateurs quant aux informations avec lesquelles ils travaillent quotidiennement.




D'après une étude menée par PWC (The Global State of Information Security), les organisations ayant mis en place un programme de sensibilisation à la sécurité informatique ont moitié moins de risques d'être victime d'une faille liée à un comportement utilisateur. Peu d'outils sur le marché, voire aucun, peuvent se targuer d'offrir un tel résultat.


Former les utilisateurs permet non seulement de mieux contrer les attaques externes, mais aussi de lutter contre la malveillance interne. Difficile à bloquer par la technologie, « l'ennemi » intérieur dispose, de par le poste qu'il occupe, un droit d'accès à certaines parties du SI qui lui sont nécessaires pour travailler. Son activité, même illicite, peut donc facilement passer sous les radars des systèmes de sécurité. C'est pourquoi le CERT de l'université Carnegie-Mellon (Pennsylvanie) encourage les entreprises à expliquer à leurs salariés comment identifier des comportements suspects, comme des copies massives de données sur des périphériques externes par exemple ou des tentatives pour obtenir certains mots de passe.

Idem pour les méthodes d'ingénierie sociale dont raffolent les hackers du monde entier. Plus proche de l'escroquerie que du véritable piratage informatique, le social engineering consiste à manipuler un utilisateur pour lui soutirer des informations sensibles ou pour l'inciter à ouvrir un fichier contenant un malware. « Une fois prévenus, les employés sont plus vigilants et davantage susceptibles de faire remonter l'information aux responsables sécurité face à ce type de situation », explique le CERT dans son guide sur la menace interne (Common Sense Guide to Mitigating Insider Threats).


Un des principaux réflexes à inculquer aux utilisateurs est de ne pas se précipiter. Avant de réagir à un email contenant des liens, il est primordial de s'assurer que le message ne contient rien de suspect. Marquer un temps d'arrêt pour examiner le mail reçu (expéditeur, objet, pièce jointe, corps de texte) constitue la meilleure défense contre l'ingénierie sociale. Quelques signes simples comme un français très approximatif où un nom de domaine douteux peuvent être les premiers signes d'une tentative d'intrusion. N'ouvrez pas la porte à n'importe qui.

De manière plus générale, quelques bonnes pratiques peuvent vous aider à mettre en place un programme de sensibilisation efficace :

• ► Commencez par évaluer le niveau de connaissance et de maîtrise des utilisateurs afin d'identifier les lacunes et définir un plan pour les combler.


• ► Établissez ensuite des tests continus pour instiller une véritable culture de la sécurité au sein du personnel. Une fois formés, testez à nouveau les utilisateurs afin de mettre en avant les progrès réalisés. Les tournois de phishing peuvent dans ce cadre constituer des outils pédagogiques efficaces, car les employés peuvent voir quels leurres d'ingénierie sociale les ont dupés.


• ► Formez aux premiers secours. Dans l'informatique comme dans la vie, il existe des gestes qui sauvent. Il est essentiel de comprendre comment réagir face à une menace. Redémarrer son ordinateur par exemple est un réflexe courant mais qui peut détruire de précieuses preuves. Déconnectez-le plutôt du réseau pour éviter la propagation et laisser le temps aux équipes IT d'analyser le poste.