Un pare-feu humain, première ligne de défense en matière de cybersécurité

Politique de sécuritéSécurité

Une récente étude IBM et Ponemon a montré qu’une fuite de données peut aujourd’hui coûter en moyenne 3,74 millions d’euros à l’organisation qui en est victime. Face à ce risque financier non-négligeable, les entreprises ont besoin de renforcer leur cyberdéfense. Une nécessité appuyée de surcroit par la sensible augmentation du nombre et du type d’objets connectés utilisés par les organisations, et qui offrent plus de fenêtres d’attaque aux cybercriminels.

Bien que les moyens technologiques actuels aient prouvé leur efficacité et leur fiabilité, leur utilisation unique ne saurait assurer une protection informatique complète. D’autres vecteurs de renforcement de la cybersécurité sont à prendre en compte, à commencer par le facteur humain, combiné avec le développement d’outils technologiques basés sur le machine learning et l’intelligence artificielle.

Hyper-connectivité et risque de phishing

Protéger un nombre restreint de personnes et d’appareils des menaces ne reflète plus la réalité du paysage de la cybersécurité aujourd’hui. Au contraire, le volume et le type d’appareils (smartphones, tablettes, ordinateurs portables, enceintes ou encore téléviseurs) connectés à internet ne cessent d’augmenter, et devraient même atteindre les 20 milliards cette année à travers le monde selon Gartner.

De plus, les ordinateurs portables, les tablettes et les smartphones font souvent l’objet d’un usage hybride, c’est-à-dire que leur portabilité et leur connectivité permettent un déploiement à la fois dans les sphères professionnelle et personnelle. Les smartphones sont particulièrement concernés par ce double usage, les utilisateurs connectant par exemple sur leurs téléphones leurs boîtes mail privée et professionnelle, ou encore des applications de messagerie instantanée personnelles. Il n’est donc pas difficile de comprendre à quel point cette fluidité complique la sécurité des appareils et augmente le risque d’erreur humaine.

Par ailleurs, le phishing est le type d’attaque le plus courant, causant plus de 90 % des fuites de données. Il est particulièrement efficace dans le cadre du double usage d’un appareil : en étant victime d’une tentative de phishing sur son téléphone personnel, un employé peut compromettre le réseau tout entier de son entreprise. Ces arnaques jouent avec le facteur émotionnel des destinataires et parient sur le réflexe bien souvent instinctif de la part de la victime qui préférera agir dans l’urgence plutôt que de prendre du recul et de questionner la fiabilité et la légitimité de l’email frauduleux reçu.

Certaines régulations récentes comme le Règlement général sur la protection des données (RGPD), entré en application en mai 2018, ont souligné l’importance de la vigilance et de la protection des informations confidentielles. Bien que la couverture médiatique tende aujourd’hui à mieux sensibiliser les utilisateurs face aux arnaques en ligne, les victimes sont toujours aussi nombreuses. Il apparaît donc comme évident que de nouvelles initiatives doivent voir le jour.

Les organisations ne donnent pas toujours la priorité à la formation des employés sur ce sujet et il est important que les mentalités changent. Sensibiliser les collaborateurs et créer des pare-feu ou firewalls humains pourraient bien faire la différence entre un environnement de travail sécurisé et un autre vulnérable.

Construire la défense

Former l’ensemble des collaborateurs afin de mettre en place un firewall humain devrait devenir une condition sine qua non des protocoles de cybersécurité de toutes les organisations : la sécurité informatique au sein des entreprises s’applique à tous, et chaque employé est autant exposé qu’un autre à une cyberattaque. De ce fait, la sensibilisation aux cyber-risques doit être complète et concerner chaque acteur d’une organisation, peu importe son ancienneté ou son rang dans la hiérarchie.

Il pourrait paraître simple d’organiser un séminaire ou d’inviter chaque employé à suivre un webinaire, mais la nature dématérialisée des cyber-risques et la technicité des questions informatiques rend parfois la didactique de ces sujets obscure et difficile à comprendre. Mais d’autres approches plus concrètes et ludiques existent.

Une technique souvent utilisée par les services informatiques est l’envoi de faux emails de phishing aux employés. Ils sont conçus comme de vraies tentatives d’attaque et proposent des offres intéressantes, comme des réductions d’impôt ou des congés gratuits. Cette simulation permettra au service informatique de savoir qui ouvre l’email et va jusqu’à fournir des informations. Dans un second temps, l’équipe en charge de la sécurité révélera le « piège », donnera un aperçu des résultats et attirera l’attention des destinataires sur l’importance de ce test. Ceux qui se seront fait piéger feront l’objet d’une sensibilisation plus importante face aux cyber-risques.

Ces tests peuvent être variés et effectués périodiquement pour s’assurer que les employés reconnaissent tous les signes d’avertissement potentiels. La formation des employés de cette manière peut sembler légère mais elle constitue un outil clair et efficace dans le cadre d’un programme plus large de sensibilisation à la cybersécurité. Un pare-feu humain se constituera au fur et à mesure que les employés apprendront à reconnaître les signes et à signaler automatiquement les emails suspects au service informatique, ce qui rendra beaucoup plus difficile le passage des pirates.

Embrasser les nouvelles technologies

Si un firewall humain représente un moyen de défense important, l’organisation la plus sophistiquée et la mieux formée ne pourrait prétendre à une cyberdéfense satisfaisante sans l’aide des nouvelles technologies, telles que le machine learning ou l’intelligence artificielle.
Ces outils peuvent en effet analyser les schémas de trafic sur le réseau, étudier les contenus des emails et les confronter avec une base comparative de données malveillantes. Ils sont ainsi en mesure de détecter les menaces et de lancer des protocoles de protection plus rapidement, ce qu’un être humain ferait en beaucoup plus de temps.

Aucune organisation n’est complètement protégée contre les attaques et les cybercriminels chercheront toujours à exploiter la moindre vulnérabilité. Les entreprises doivent mettre en priorité à la fois des firewalls humains et des outils virtuels dans leurs budgets et leurs protocoles de formation et de sensibilisation. De plus, les technologies se développent et s’adaptent rapidement : les organisations qui ont compris l’importance de rester à la pointe de ces avancées et qui ont formé leur personnel ont les meilleures chances de se défendre contre les cyberattaques.


Auteur
En savoir plus 
spécialiste de la sécurité
NETSCOUT
Philippe Alcoy est spécialiste de la sécurité chez NETSCOUT
En savoir plus 

Livres blancs A la Une