« Les mathématiques sont impeccables, les ordinateurs faillibles, les réseaux médiocres et les gens pires que tout », écrivait Bruce Schneier
dans son ouvrage intitulé Secrets et mensonges, sécurité numérique dans un monde en réseau. Le moins que l’on puisse dire, c’est que l’expert en sécurité ne pratique pas la langue
de bois.
« Beaucoup d’entreprises ont compris que le maillon faible face aux nouveaux types d’attaques combinant technologie et exploitation de la naïveté
humaine (social engineering), étaient les utilisateurs. », commente Mauro Israël, RSSI chez Cyber Networks.
L’humain est bel et bien un des maillons faibles de la sécurité informatique. En dépit la surenchère technologique, le risque demeurera tant qu’elles
négligeront de sensibiliser et de former leurs employés. Les chiffres ne laissent pourtant pas de place au doute et devraient suffire à eux seuls à légitimer des projets allant en ce
sens.
La menace interne n’est en effet pas nouvelle. Déjà en 2001, Computer Security Institute (CSI) pointait du doigt l’utilisateur. Selon CSI, 60 % des attaques
provenaient de l’intérieur de l’entreprise. En 2006, ce chiffre était de 80 % d’après SmartLine, éditeur de logiciel spécialisé dans la sécurité informatique (lire l’article du 27/04/2006). Et 75 % des attaques venant de l’extérieur suivaient une
divulgation d’information.
Le gain d’opérations de formation auprès des salariés serait pourtant rapidement mesurable, au travers notamment d’une diminution du nombre d’incidents de
sécurité et parallèlement de leurs conséquences pour l’entreprise.
L’humain est le maillon faible de la sécurité
|
L’enjeu de la sensibilisation et de l’éducation des employés est de développer une culture sécurité au sein de l’entreprise, afin qu’ils puissent
contribuer à renforcer la sécurité du système d’information.
Les formations ont cependant un coût. Il convient de sensibiliser avant tout les utilisateurs les plus exposés. « Ceux qui ont des droits
administrateurs sur leur poste sont les premiers concernés », rappelle Mauro Israël.
Il dénombre ainsi quatre cibles particulièrement vulnérables : « les manageurs ou cadres de direction, les informaticiens, les assistantes de
direction et les responsables financiers. Ils disposent d’accès importants sur leur poste, voire sur le réseau, sans pour autant être nécessairement compétents ou sensibilisés aux
risques », poursuit-il.
Toutefois, comme le fait remarquer Nicolas Gaudillère, responsable SecurityServices chez Symantec : « tout le monde doit être sensibilisé à la sécurité en
entreprise ». Il souligne également que les cadres dirigeants, pourtant amenés à manipuler des données importantes, comptent souvent parmi les profils d’utilisateurs les plus difficiles à
atteindre.
Mais concrètement, comment former les utilisateurs et avec quels outils ? Nicolas Gaudillère et Mauro Israël détaillent quatre principaux
dispositifs.
« Il faut dessiner un programme de sensibilisation pour toucher et adresser les employés, puis communiquer pour l’imprimer dans l’organisation de la société.
Le programme doit bénéficier du support du management. C’est une démarche qui vient d’en haut », précise avant tout Nicolas Gaudillère.
1) Le e-learning
« Il peut s’agir de modules dédiés à la sécurité, intégrés dans des programmes de formation continue en entreprise. Ils peuvent être décomposés en
sous-rubriques, telles que la sécurité sur Internet, les mots de passe ou la téléphonie sur IP. », explique l’expert de Symantec.
« La sensibilisation doit être nourrie, c’est un processus continu »
(Nicolas Gaudillère – Symantec)
|
Pour Mauro Israël, le e-learning comprendra également : « un site Intranet dédié qui contient tous les slides utilisés lors de
présentations de groupe, la charte de sécurité, les bonnes pratiques, ainsi que des quizz pour vérifier l’assimilation des connaissances. »
« L’Intranet répond au besoin de fédérer l’information. Il pourra aussi accueillir des forums, afin de développer l’esprit communautaire autour des
problématiques de sécurité », complète Nicolas Gaudillère.
2) Les formations de groupe
Les formations sur site peuvent venir en appui du e-learning. Elles offrent les bénéfices d’une meilleure interactivité, un élément central dans
l’apprentissage. Ces journées de formation pourront comprendre : « des exemples concrets, soit du même secteur d’activité, soit de l’entreprise elle-même, comme des incidents
informatiques, des pannes, de mauvais usages du mail ou d’Internet », décrit Mauro Israël.
3) Des tests avant-après
Il s’agira de quizz, mais également de tests d’intrusion social engineering ou MICE (money – ideology – cœrcition
– ego) pour vérifier la vigilance des employés avant et après les opérations de sensibilisation et de formation. « Ce type de démarche présente l’avantage de pouvoir en mesurer
rapidement l’efficacité », explique le RSSI de Cyber Networks.
4) Live-hacking Une démonstration à travers un site Web reproduit à l’identique servira à organiser une attaque. Celle-ci sera
commentée et les erreurs à ne pas commettre, définies. Un live-hacking peut également consister en une attaque en social-engineering menée en direct.
Toutefois, quelle que soit la (ou les) solution(s) retenue(s) par l’entreprise, il ne faut pas oublier que toute formation finit tôt ou tard par s’éroder. De
plus, les méthodologies d’attaque et les technologies évoluent constamment. « La sensibilisation doit être nourrie, c’est un processus continu », conclut Nicolas Gaudillère.
|