L’idée selon laquelle ce sont les personnes qui sont le maillon faible vient d’une culture de la sécurité traditionnellement fondée sur la technologie. De nombreuses organisations investissent massivement dans les programmes de cybersécurité, en premier lieu dans la technologie. A l’instar de la technologie, les personnes stockent, traitent et transfèrent elles aussi des informations, tandis qu’en tant que professionnels de la sécurité, nous n’investissons pas suffisamment dans les « correctifs » à apporter à la partie humaine du processus. Comme n’importe quel système d’exploitation, nous continuons donc d’actualiser en permanence notre « pare-feu » humain. Si les personnes sont le maillon faible, c’est parce que nous n’avons pas suffisamment travaillé à les sécuriser. 

Mais les choses semblent évoluer dans le bon sens. Si l’humain est considéré comme le maillon faible, ce n’est pas parce que les personnes sont stupides ou ne sont pas intéressées par la sécurité, mais parce qu’elles ne bénéficient pas de la formation et du soutien adéquats. Oui, les personnes doivent assumer des responsabilités, mais elles doivent également pouvoir compter sur l’éducation et la technologie pour les aider. Si l’on enseigne aux collaborateurs les raisons pour lesquelles la sécurité est importante, pour eux-mêmes et pour leur employeur, s’ils comprennent de quelle manière ils peuvent mieux se protéger eux-mêmes, la plupart vont faire « ce qu’ils peuvent ».

L’histoire d’un cyberhéros

On se souvient du cyber-braquage de la Banque du Bangladesh, qui avait fait perdre à celle-ci 80 millions de dollars dans le cadre d’opérations malveillantes. Les médias avaient alors pointé du doigt les lacunes de la banque en termes de sécurité technique. Cependant, une grande partie des transactions avaient réellement été bloquées, à la fois automatiquement et manuellement. L’une de ces actions manuelles émanait d’une banque de routage. Le héros de cet épisode : un analyste qui, ayant découvert une faute de frappe dans l’une des transactions du pirate, a invité la banque à demander des précisions complémentaires, empêchant ainsi les 80 millions de dollars de se transformer en un milliard. Cet analyste est un cyberhéros, une personne qui a fait « ce qu’elle pouvait ».

Investir dans la sécurité axée sur les personnes

La plupart des organisations sont correctement protégées contre la malveillance logicielle et les menaces techniques, mais peu sont protégées contre la « malveillance humaine » telle que la curiosité, l’ignorance et l’épuisement mental résultant de l’exposition à un excès d’informations. En atteignant un équilibre entre l’infrastructure technologique et une approche de la sécurité axée sur les personnes, les professionnels de la sécurité seront mieux armés pour gérer les risques auxquels leur organisation doit faire face. Quand on s’y prend bien, il est possible de passer de la simple gestion du risque à  la création d’une puissante armée de cyberhéros.

Pour changer et sécuriser le comportement humain, il est nécessaire d’investir dans ce dernier comme on le ferait dans n’importe quelle autre partie d’un programme de sécurité. Habituellement, les équipes de sécurité expertes en technologie s’efforcent aussi de recruter des compétences et des aptitudes complémentaires dans la communication, la gestion du changement, la théorie de l’apprentissage et la modélisation du comportement. Le résultat ? Le personnel est davantage enclin à prendre des mesures de sécurité plus strictes, une démarche positive dans un environnement où le cyber-risque va croissant.

Pour constituer une main-d’oeuvre sensibilisée aux questions de sécurité dans votre organisation, concentrez-vous sur des pratiques de sécurité clés que les personnes peuvent facilement appliquer. Rendez-les faciles à comprendre et à  mettre en oeuvre. Même si la sensibilisation et la formation sont importantes, il est également essentiel de trouver des moyens de promouvoir les bonnes pratiques en matière de sécurité et d’instaurer une culture de la cybersécurité. A cet effet, la mise en place de bonnes pratiques étayées par une communication cohérente, associées à la technologie et aux processus adéquats, est une option à  envisager. L’objectif est de changer le comportement en matière de sécurité.

La technologie évoluera, les menaces continueront d’aller et de venir, mais l’homme représentera la constante dans l’équation. L’investissement dans l’engagement effectif des employés et l’instauration d’une culture de la sécurité sont des investissements rentables dans tout programme de sécurité.

Ce texte est écrit par Veerle Peeters, Manager en Technology Consulting: Cyber chez PwC Belgium.