Cybersécurité AGIR, FORMER, SENSIBILISER au sein des organisations
#cyberforme Avez -vous déjà désactivé un Humain par erreur ? Que celui qui n’a jamais pêché jette la première pierre : musclez vos collaborateurs c’est muscler votre organisation face aux risques Cyber.
Le prochain chantier sera la restructuration des hotline d’organisations où le niveau d’expertise doit être relevé drastiquement.
Personne au monde n’a jamais fait d’erreurs.
En fait, c’est même un des fondamentaux qui permet à chacune et chacun de se bâtir une expérience – nous grandissons nous apprenons nous tentons de ne pas reproduire les mêmes erreurs et pourtant nous continuerons d’en faire, fort heureusement.
Dans le domaine de la #cybersécurité, les erreurs humaines ont bien longtemps été ignorées.
Une étude d’ IBM, indique que la faille humaine serait la cause principale de 95% des failles de cybersécurité.
Rêvons un peu si cette faille humaine était supprimée, 19 pénétrations de système sur 20 n’auraient peut-être pas eu lieu!
Alors, pourquoi l’erreur humaine est-elle à l’origine de tant de brèches et pourquoi il est tant difficile d’y remédier ? Que pouvons-nous faire pour améliorer le cyber comportement des collaborateurs dans nos organisations ?
- Se tromper est humain persister peut s’avérer dangereux = ABC de l’erreur humaine en matière de cybersécurité
C’est tous les jours Noël : Il était une fois Pierre qui reçoit un email lui annonçant qu’il vient de gagner un voyage aux caraïbes pour lui et toute sa famille. Ce mail l‘invite à cliquer sur le lien pour récupérer son lot.
Il clique. Il saisit toutes ses informations dont ses coordonnées bancaires . Pierre reçoit bien un mail de confirmation.
Et hop le clic de trop, il a téléchargé un virus qui a envahi le système de son entreprise et quelques mois après son compte en banque fait état de nombreuses transactions avec un préjudice de plusieurs milliers d’euros.
Illustration parfaite de l’erreur humaine, Pierre a cliqué il a cédé à la tentation, à la joie d’être l’heureux gagnant. Pierre a ouvert les portes du système d’information de son entreprise aux virus. Son entreprise et lui sont des cybervictimes. Le virus s’est propagé, le système d’information de son entreprise bloqué, l’entreprise mise en danger et une demande de rançon est arrivé.
L’erreur humaine se traduit par des actions involontaires – ou l’inaction – de la part des collaborateurs qui provoquent, propagent ou permettent qu’une faille de sécurité se produise. L’issue peut être fatale pour une entreprise et avoir des compétences en ressources humaines.
Illustrations (non exhaustives): – du téléchargement d’une pièce jointe infectée par un malware à la non-utilisation d’un mot de passe complexe , d’un clic trop rapide dans un courriel –
Ces actions ont en commun l’action humaine involontaire.
Avec nos environnements de travail et nos usages numériques toujours plus avancés et compliqués, nous utilisons un nombre croissant d’outils et de services au quotidien à titre professionnel et/ou personnels –
Nous gérons des noms d’utilisateur et des mots de passe pour les différents services et comme tout être humain nous cédons facilement à la facilité comme utiliser le même mot de passe et identifiant pour grand nombre de service que nous utilisons.
Se faciliter la vie peut donc revêtir un grand risque si le couple identifiant/mot de passe est corrompu, tous les accès peuvent être récupérer par des personnes malveillantes : accès bancaire, gestion des services … et ce pouvant aller jusqu’à l’usurpation d’identité..
Face au cybermenaces tous les collaborateurs doivent donc être impliqués, sensibilisés et formés.
Comme si cela ne suffisait pas, les collaborateurs doivent également faire face à la menace constante des cybercriminels qui affectent leur prise de décision. Parlons maintenant de l’ingénierie sociale.
L’ingénierie sociale est une technique de manipulation utilisée par les cybercriminels pour inciter les gens à partager des informations confidentielles.
L’ingénierie sociale prend de plus en plus d’ampleur dans tous les types de failles de sécurité. Elle est un outil pour exploiter la capacité des collaborateurs à transmettre des données ou des informations directement aux personnes malveillantes sans nul besoin d’ écrire une seule ligne d’un programme malveillant .
Une forme nouvelle d’espionnage économique ou d’ingérence économique.
- Sensibiliser, former, impliquer : L’erreur involontaire est humaine
Un collaborateur formé, bien renseigné est en cyberforme. Il pourra éviter certaine forme de tentation ( décryptage des emails, savoir lire un objet, une url,…) et les erreurs liées aux décisions.
Permettre ainsi au collaborateur d’acquérir les compétences nécessaires et indispensables pour éviter et faire le bon choix.
Montée en compétences
Pour pallier à l’erreur humaine due aux compétences il est donc nécessaire de former et de combler les lacunes : de petites erreurs un clic trop rapide sur un lien, un téléchargement sans vérification anti virale qui se produisent lors de nos usages numériques dans nos activités professionnelles ou personnelles ou parfois même un simple manque d’attention temporaire.
Parfois le collaborateur sait ce qu’il faut faire, mais ne le fait pas en raison d’une maladresse, d’une erreur ou d’une oubli temporaire.
Il est donc important de mener des actions de formation et d’envisager même des évolutions organisationnelles .
Les décisions
Étroitement liée aux compétences :un collaborateur qui prend les bonnes décisions est un collaborateur bien sensibiliser, bien former. La formation, la sensibilisation est donc au cœur de la bonne prise de décision.
Réduire l’erreur humaine grâce à une formation en démarche d’amélioration continue efficace en matière de sensibilisation à la sécurité.
LA CULTURE ZERO DEFAUT du Pentagone :
Synthèse :
Les cyberattaques se multiplient et elles réussissent, comme le savent trop bien de nombreuses organisations victimes. La plupart du temps l’origine de la cyberattaque n’est pas le mauvais choix des technologies de sécurité́, mais bien la faille humaine commise par les administrateurs et les utilisateurs de tout profil au sein de l’organisation.
LA CULTURE ZERO DEFAUT
Devenir une organisation hautement fiable, à l’instar du Pentagone.
Celle-ci a effectué des progrès considérables pour empêcher les attaques contre ses systèmes et contenir rapidement les quelques intrusions qui se produisent. Le plus important est de créer une culture « zéro défaut », comme celle que l’amiral Hyman Rickover a mise en œuvre dans la marine nucléaire américaine.
Les SIX PRINCIPES de l’amiral Hyman Rickover
- l’intégrité,
- la maîtrise du sujet,
- le respect des procédures,
- le travail en binôme,
- une attitude de questionnement et
- des règles de communication formelles.