L’évolution continue de la technologie nous facilite la vie et rend nos entreprises plus efficaces. Ça, c’est pour le côté positif. Le revers de la médaille c’est que l’omniprésence de la technologie augmente les risques de cybercriminalité.
Heureusement, partout dans le monde, des experts en cybersécurité ont conçu des solutions éprouvées pour barrer la route aux pirates, avec tout un arsenal allant des logiciels antivirus à l’authentification à deux facteurs. Mais malgré l’existence de ces outils, leur mise en place et l’adéquation de leur fonctionnement à ce que l’on exige d’eux dépendent des humains. La sécurité est à l’image des personnes qui l’appliquent, et de ce fait, les erreurs et les vulnérabilités sont normales.
Disons-le clairement : le facteur humain et notre efficacité en matière de cybersécurité disposent d’une bonne marge de progression. Passons en revue quelques-uns des problèmes et leurs solutions.
Qu'est-ce que le facteur humain ?
En tant qu'humains, nous sommes enclins à faire des erreurs, mais dans le domaine de la sécurité, une erreur mineure peut conduire à une violation majeure de données. Le problème est que cela arrive souvent. D’après certaines études, 46 % des piratages et incidents de cybersécurité résultent d'une négligence ou d'un manque de formation. Ce chiffre, surprenant au demeurant, pourrait n'être que la partie émergée de l'iceberg. On rapporte également que dans 40 % des entreprises dans le monde, les employés admettent ne rien signaler lorsqu’un incident de sécurité se produit.
Pourquoi les employés sont-ils responsables d’autant de violations de la sécurité ? Sont-ils paresseux ? Ou bien indifférents ? Si la réalité est plus nuancée, ces facteurs peuvent inconsciemment influer sur leur comportement.
Il est probable qu'ils ne mesurent tout simplement pas la gravité d'une cybermenace et de ses répercussions sur l'entreprise, voire sur leur emploi. Convoquez une réunion avec vos collaborateurs pour discuter de l'importance d’être vigilant et expliquez-leur quelles peuvent être les conséquences. D’après les chiffres de récents rapports, le coût moyen d'une violation de données en 2020 s’élève à 3,86 millions de dollars, hors préjudice pour votre réputation. Certaines entreprises pourraient ne pas s’en remettre. Si vous annoncez factuellement les choses à vos collaborateurs, ils feront plus attention.
Quant au fait qu'ils puissent être paresseux, il ne s’agit peut-être pas de mauvaise volonté, mais plutôt d’une méconnaissance des procédures de signalement des incidents. Mettez en place une adresse électronique générale ou une ligne téléphonique pour que vos salariés puissent signaler toute activité suspecte et transmettre facilement des captures d'écran à l'équipe informatique pour qu’elle puisse réagir immédiatement.
La formation, ingrédient clé de la cybersécurité
Ce que beaucoup peuvent considérer comme de l’indifférence peut en réalité provenir d’un manque de formation sur les escroqueries du moment et les signaux d’alerte. La formation du personnel est essentielle. C’est ce qui permet à vos collaborateurs de rester vigilants dans le cadre de leurs activités. Notre dépendance croissante à la technologie conduit à une évolution des cyberattaques. Si vos employés maîtrisent les fondamentaux, ils sauront débusquer les nouveaux pièges.
Dans certains cas, les employés savent ce qu'ils doivent faire, mais ils ignorent comment le faire dans les règles de l’art. Accompagnez-les sur l’utilisation des mots de passe. Invitez-les à utiliser un mot de passe qui utilise un mélange de lettres, de chiffres et de caractères spéciaux, plutôt qu’un mot de passe simple. Formez-les également à l'authentification à deux facteurs afin qu'ils bénéficient d'une couche de protection supplémentaire sur leurs ordinateurs professionnels et personnels, notamment dans le cadre du BYOD.
Vous consacrerez idéalement une grande partie de cette formation aux attaques par ingénierie sociale qui représentent environ 98 % de toutes les intrusions. Les ruses déployées par les pirates informatiques se fondent sur l’exploitation des émotions ou de la curiosité humaine, le but étant d’ouvrir une brèche pour pénétrer dans nos systèmes. N’oubliez donc pas d’avertir vos employés sur ces menaces fréquentes pour leur éviter de se faire prendre au piège. Rappelez-leur en quoi consistent les attaques par ingénierie sociale comme l’appâtage (baiting) pour les inciter à se méfier. Et enjoignez-les à ne pas connecter une clé USB abandonnée, même s’ils la trouvent dans l’enceinte de l’entreprise. Invitez-les plutôt à la rapporter aux RH.
Autre menace courante : l’hameçonnage (phishing). Dans ce type d’escroquerie, les pirates envoient des e-mails frauduleux qui semblent provenir d'un organisme officiel, comme le fisc ou une personne des RH, voire le PDG de l’entreprise. Dans les bureaux, beaucoup d’employés reçoivent plusieurs centaines d’e-mails par jour. Une personne pressée a tôt fait de cliquer accidentellement sur un lien malveillant ou une pièce jointe infectée dans un message. Or, le simple fait de cliquer suffit à ouvrir la porte à ces hackers malveillants qui n’ont ensuite qu’à s’emparer des données de l’entreprise.
À l’issue de la formation et une fois que vos employés savent reconnaître les signes d’une attaque, faites-leur signer un document exigeant qu’ils signalent les cybermenaces dont ils pourraient être témoins aux personnes appropriées.
Conseils pour l'utilisation des appareils personnels
L’année 2020 et le COVID-19 nous auront au moins enseigné une chose : le passage au télétravail s’est opéré plus facilement qu'on ne le pensait. Aujourd'hui, dans de nombreuses entreprises, l’ensemble du personnel travaille à distance depuis son domicile avec, bien souvent, son propre équipement — ce qui génère un risque de nouvelles erreurs humaines. En plus des menaces abordées en formation, précisons qu’un téléphone mobile ou une tablette se perdent ou s’égarent facilement. Problème : en cas de vol des données, c’est la personne que l'on blâmera.
Votre entreprise doit donc commencer par réglementer l'utilisation des appareils personnels dans le cadre professionnel. Si le BYOD (Bring Your Own Device) est interdit, inscrivez-le dans le marbre et faites signer un document à tous vos collaborateurs — document que vous conserverez en cas de non-respect de l’accord. Si l’utilisation d’appareils et/ou mobiles personnels est autorisée, tous doivent être dotés des mesures de sécurité nécessaires (protection des mots de passe et chiffrement des données, par exemple), et pouvoir être supervisés par la direction des systèmes d’information.
Au risque de perte des terminaux mobiles s’ajoute le risque de compromission des données mobiles par des pirates qui mettent en place dans les lieux publics de faux réseaux wifi présentant une apparence d’authenticité. Une fois la personne connectée au faux réseau, l'accès à ses données sensibles n’est plus qu’un jeu d’enfant. Si vos collaborateurs doivent travailler dans des lieux publics, fixez des règles strictes et rapides à mettre en place, en imposant par exemple l’obligation de travailler hors ligne dans les lieux publics ou d’utiliser un réseau privé virtuel.
Ce n’est un secret pour personne : les pirates informatiques sont très malins et trouvent toujours de nouvelles ruses pour se faufiler dans nos systèmes. En formant votre personnel afin de réduire le risque d'erreur humaine, votre entreprise pourra limiter les points de rupture potentiels et continuer à se développer.
NB : Cet article a été rédigé par un contributeur externe en vue d’offrir à nos lecteurs une plus grande variété de contenus. Les opinions qui y sont exprimées sont uniquement celles de l’auteur et ne reflètent pas nécessairement la position de GlobalSign.