L'un des meilleurs orateurs que j'ai entendu récemment dans le domaine de la cybersécurité avait un diplôme avancé en sciences sociales plutôt qu'en technologie. Comme on pouvait s'y attendre, les experts en sécurité voient de plus en plus la menace de approche sociale dans l'exploitation du facteur humain de la sécurité. La sécurisation de vos systèmes et des données sensibles qu'ils contiennent (qu'il s'agisse de données financières, d'informations personnellement identifiables (IPI) ou d'atures) nécessite une formation et l'adhésion de l'ensemble de votre organisation. La sécurité des données va bien au-delà de votre service informatique et des garanties qu'ils peuvent mettre en place.
Si vous avez barricadé toutes les portes et verrouillé les fenêtres de votre maison, mais que quelqu'un donne les clés au cambrioleur, alors toutes ces mesures de sécurité ont-elles vraiment servies à quelque chose ? Votre réseau peut être configuré avec un serveur proxy qui empêche les utilisateurs d'accéder accidentellement à des sites Web malveillants. Peut-être que quelqu'un dans votre département financier reçoit alors un e-mail du type "J'ai fourni une facture sécurisée pour le paiement. Cliquez sur le lien ci-dessous pour accéder à cette facture sécurisée. Votre connexion par n'importe quel fournisseur de messagerie vous accordera l'accès nécessaire." Évidemment, il s'agit d'un courriel d'hameçonnage avec un lien vers un site Web pour voler les identifiants de connexion. Votre serveur proxy va les empêcher d'accéder à ce site, donc vous êtes parfaitement protégé, non ? Mais, attendez une minute ! Supposons qu'il travaille à partir de son domicile ce jour-là et qu'il accède à sa messagerie. Lorsqu'il clique sur ce lien, il n'y a pas de serveur proxy à son domicile ou de règles de sécurité sur son ordinateur pour bloquer l'accès. Il passera à l'étape suivante pour entrer son identifiant et mot de passe, en donnant à quelqu'un les clés numériques pour au moins une de vos portes.
Même s'il existe de bonnes pratiques pour les normes de sécurité qui sont mises en place, et que vous avez investi dans des logiciels de sécurité robustes, il est essentiel de s'assurer que les utilisateurs respectent ces normes. Les utilisateurs partagent-ils des identifiants de connexion avec certains systèmes pour des raisons de facilité ? Les utilisateurs écrivent-ils leurs mots de passe sur des post-it parce qu'il est trop difficile de se souvenir de tous ces mots de passe qui changent tous les mois ? Les utilisateurs suivent-ils une formation sur la façon de gérer en toute sécurité les données sensibles, par exemple en n'incluant pas ces données dans des courriels ou en les stockant sur leur disque dur local ? (Ils sont bien formés sur ce point, non ?)
Vos systèmes sont sécurisés à la mesure de ce que sont vos utilisateurs. Parfois, j'ai entendu des commentaires comme, "Vous pouvez patcher un serveur, mais vous ne pouvez pas patcher la bêtise." Ce type de commentaire fataliste n'est pas particulièrement utile. Les utilisateurs au sein de votre organisation seront généralement au niveau des attentes que vous leur avez fixées. Si vous abordez la cybersécurité en partant du principe que le respect des normes par les utilisateurs est une cause perdue, alors ils ne seront inévitablement pas à la hauteur de ces normes. Si vous mettez en place une formation, de l'encouragement et de l'optimisme pour vos équipes, vos chances de sécuriser avec succès vos systèmes seront considérablement accrues. Bien sûr, avoir des normes et des pratiques informatiques solides fournira un deuxième niveau de défense lorsque des erreurs sont commises, comme le clic accidentel d'un lien hypertexte malveillant. Nous sommes tous humains après tout, donc c'est formidable d'avoir ces filets de sécurité en place. Mais la sécurité du système exige vraiment une approche à facettes multiples et doit être une initiative organisationnelle.