Les collaborateurs dans la chaine de sécurité des entreprises.

La crise sanitaire a durement frappé les entreprises et leur activité : une étude menée par Carbon Black révèle qu’entre mars et juin 2020, le télétravail aurait augmenté de 70%, et le nombre de cyberattaques aurait lui augmenté de 148%.

Dans ce contexte mêlant vie professionnelle et vie personnelle, il est parfois plus compliqué pour les collaborateurs de respecter les règles de sécurité établies par l’entreprise.

Longtemps considérés comme le “maillon faible” de la sécurité des entreprises, les collaborateurs sont finalement le premier rempart contre les cyberattaques visant une entreprise.

Et si il était temps pour les entreprises de ré-intégrer le facteur humain dans la prise en compte de la cybersécurité ?

L’ingénierie sociale

Michel Gérard, Président Directeur Général de Conscio Technologies affirme que 70 à 95% des infections sont “liées à des défauts de comportements utilisateurs”.

En effet, les cyberattaques sont de plus en plus élaborées. Il y a encore peu, il suffisait de vérifier la bonne orthographe d’un mail, son expéditeur, etc., afin de s’assurer de la véracité et de la sécurité d’un message.

Aujourd’hui, les cyber attaquants utilisent une nouvelle arme redoutable : l’ingénierie sociale.

L’ingénierie sociale est une technique de hackers visant à établir une relation de confiance avec son interlocuteur, dans le but de récupérer suffisamment de renseignements personnels (adresse email, adresse postale, numéro de téléphone, numéro de contrat ou de compte client) afin de perpétrer une attaque.

Jessica Clark, hackeuse éthique américaine et grande gagnante de l’un des challenges de la Defcon l’a bien prouvé. Dans cette vidéo (dès 1’20’’), Jessica Clark utilise les informations personnelles de la femme du journaliste qui l’interroge (à savoir, un simple numéro de portable) afin de joindre son opérateur téléphonique, de modifier son contrat, et également de changer le mot de passe du compte, excluant ainsi le véritable propriétaire de son propre contrat.

Cette technique d’attaque est très répandue, et utilise les faiblesses humaines pour arriver à ses fins, d’où la nécessité croissante de former et d’éduquer ses collaborateurs.

En lire plus sur le social engineering.

Des solutions logicielles insuffisantes ?

Nous pourrions alors penser : “oui, mais des logiciels et autres anti-virus existent pour nous protéger contre les cyberattaques”. Et en effet, les solutions logicielles permettent de sécuriser l’activité d’une entreprise, mais en partie seulement.

Prenons l’exemple des emails de phishing : certains sont facilement reconnaissables grâce aux fautes d’orthographe ou de grammaire, grâce aux URLs aux noms de domaines trompeurs, à un nom d’expéditeur suspect, ou à un message demandant de l’argent ou des données personnelles, etc. Cependant, les attaques de phishing sont aujourd’hui bien mieux élaborées, beaucoup plus travaillées et ainsi plus trompeuses.

Si de tels mails de phishing passent la barrière de l’anti-virus, le dernier rempart protecteur est donc le collaborateur, qui face à son écran, reçoit l’email trompeur. Il est alors nécessaire qu’il soit suffisamment formé pour se méfier, et pour être en mesure de reconnaitre la tentative d’attaque.

Pour ce qui est de l’ingénierie sociale, aucune solution logicielle, malheureusement, ne peut prémunir l’entreprise de ce type d’attaque. L’appel au Président en est une parfaite illustration : aucune solution logicielle ne permet de contrôler l’identité des personnes appelant les collaborateurs au téléphone. Ainsi, l’éducation des collaborateurs est primordiale.

Former ses collaborateurs à l’insécurité du numérique

En effet, les DSI et autres RSSI ne sont pas les seuls gardiens de la sécurité de l’entreprise. Une étude d’IBM démontre que plus de 90% des incidents de cybersécurité sont liés à l’erreur humaine.

Et selon une étude menée par Vitreous World en juillet 2020, 40% des responsables informatiques considèrent la formation des collaborateurs à la cybersécurité comme l’un des principaux défis des années à venir.

Les cyberattaques sont lourdes en conséquences : des conséquences sur la productivité de l’entreprise, sur sa réputation, sur la confiance de ses clients, mais également des conséquences financières.

De nombreux DSI et RSSI adoptent l’approche “Zero Trust”, qui comme son nom l’indique consiste à ne jamais faire confiance à personne seulement sur la base d’un login, d’un nom utilisateur ou d’un appareil utilisé. Un login peut être usurpé, un nom d’utilisateur également, et un appareil peut avoir été volé. Ainsi les utilisateurs sont invités à constamment vérifier la véracité du message ou de l’expéditeur par différents systèmes d’authentification multi-facteur ou par leurs habitudes de travail.

Cette approche a été évoquée dans les années 2010, par John Kindervag, Principal Analyst chez Forrester, qui explique que “la confiance” est la vulnérabilité fondamentale de tout système numérique. Elle démontre bien l’importance et la place centrale de l’utilisateur, du collaborateur dans la chaine de sécurité de l’entreprise.

Les cybercriminels connaissent et exploitent bien les failles humaines. Franck Guicquel, responsable des partenariats pour cybermalveillance.gouv.fr parle des “7 péchés capitaux” tels que le stress, la peur, la convoitise ou l’envie. Il est nécessaire de former les collaborateurs aux différentes techniques utilisées par les hackers afin de leur faire connaître les réalités des menaces numériques.

Un collaborateur sensibilisé sera un collaborateur plus prudent, sur ses gardes, et conscient des enjeux et des conséquences que son inattention peut causer.

Ainsi, les enjeux de cybersécurité sont aujourd’hui entre les mains des collaborateurs de l’entreprise. Ils sont à la fois le premier rempart contre les cyberattaques, mais également le dernier à être en mesure de réagir, lorsque les solutions logicielles, imparfaites, ont laissé passer la menace.

90% des attaques sont imputables aux comportement des collaborateurs. À cet effet, la formation et la sensibilisation des employés est un élément incontournable et indispensable pour la sécurité des entreprises de demain.

Selon un ebook d’Olfeo (source 1), trois aspects sont à prendre en compte lors de la mise en place d’actions de sensibilisation :

• La récurrence : une véritable stratégie de sensibilisation est continue.

• L’adaptation aux différents interlocuteurs : il est nécessaire de s’adresser aux collaborateurs en fonction de leur niveau d’expertise, de leurs connaissances, de leur profil utilisateur. Une étude récente de Trend Micro a mis en avant quatre profils utilisateurs illustrant les différents comportements des collaborateurs en matière de cybersécurité : les consciencieux, les craintifs, les ignorants et les téméraires. Chaque profil est caractérisé par ses habitudes, ses appréhensions, et ainsi par les risques auxquels ils sont exposés. Le coaching permet cette sensibilisation contextuelle.

• Donner envie sans être anxiogène : donner envie, intéresser, et impliquer les collaborateurs, afin qu'ils deviennent acteurs de la cybersécurité.

Ainsi, si les collaborateurs sont un maillon essentiel de la chaine de sécurité des entreprises, la formation de ces derniers est nécessaire. Une formation adaptée, continue, flexible, et personnalisée, afin de créer des habitudes et des pratiques de travail sécurisées et sécurisantes.

Cependant, la formation des collaborateurs aux bonnes pratiques de cybersécurité reste de la responsabilité des entreprises.

Sources :

• Olféo, Ebook, "Facteur humain : prochain maillon fort de la cybersécurité"

• IT Social, "Cybersécurité au travail : les collaborateurs comme premier rempart", 10/11/2020

• IT Social, "Employés et cybersécurité : un tandem irréconciliable ?", 14/01/2021

• IT For Business, "Il faut remettre l’Humain au cœur de la cybersécurité", 28/01/2020

• Global Sign, "Qu’est-ce que l’ingénierie sociale ? Jouer sur la confiance"

Vous avez apprécié cet article de blog ?

Retrouvez plus de contenus en rapport avec la cybersécurité et la conformité réglementaire au RGPD sur le blog de CyberSecura !

Découvrez nos prestations de sensibilisation et formation

des salariés !

Nous avons besoin de vos réponses !

En répondant à cette enquête, vous nous permettez de mieux comprendre vos interactions avec notre site ainsi que vos potentiel besoins.

Vos réponses sont anonymes, et à moins que vous ne demandiez à être re-contacté(e) par nos équipes, aucune information personnelle ne vous est demandée !

Merci pour vos réponses !

Vous souhaitez être informé(e) de nos actualités, et recevoir nos derniers articles de blog directement dans votre boite mail ? Abonnez-vous à notre newsletter mensuelle !

Vous souhaitez discuter de vos difficultés, de vos besoins, de nos offres ? Demandez à être contacté, gratuitement et sans engagement, par l'un de nos expert en cybersécurité !