Nous avons réfléchi à la réintroduction du facteur humain au cœur de la cybersécurité.
Les 10 principes de la cybersécurité
Voici un rappel des 10 principes pour manager votre cyber sécurité :
- L’espionnage est vieux comme le monde, et donc il faut à la fois éviter la psychose et surtout rester humble dans ses prétentions. En effet, les directions générales ont maintenant compris qu’il n’existe pas de citadelle digitale imprenable. Il faut essayer de boxer dans sa catégorie. Il y a un adage assez répandu qui dit « Soit tu joues en première ligue … soit tu ne te vantes pas ! ». Pour 99% d’entre nous, on reste prudent et modeste dans son coin. Seuls les champions du digital, les GAFA, prétendent être les meilleurs dans leur catégorie et sont prêts à se faire challenger par des hackers qui pourraient leur montrer leurs failles. Ils ont, en effet, adhéré à une nouvelle organisation « hackerone » qui promet aux hackers ayant trouvé des failles parmi ses 122 membres des récompenses pouvant aller jusqu’à plusieurs millions de dollars. On organise en quelque sorte la profession avec des exercices de guerre blanche. « Trouver une faille dans mon système et je vous paye »… et ceci pas uniquement lors d’un test, mais en continu. Les acteurs n’étant pas des joueurs de la première ligue mais ayant des enjeux grandissants, pourront avoir recours aux services d’un acteur de milieu de tableau de la première ligue (typiquement Israélien comme nous l’a rappelé le FBI qui a fait appel à eux pour décrypter le iPhone du terroriste). Ils auront un délai de réaction légèrement moins bon, que les champions du GAFA, mais acceptable pour la menace.
- Avec les nouveaux objets connectés, vous créez des nouvelles vulnérabilités à colmater immédiatement.
- Votre cyber espace est un territoire à défendre. Il faut vraiment le prendre comme tel et savoir où mettre les défenses en fonction de la vulnérabilité.
- Donc il faut bien partir d’une analyse de risques pour décider du montant des efforts à allouer.
- Il ne faut pas avoir d’un côté des préoccupations d’ergonomie et d’usage, et de l’autre côté un gardien de la sécurité, chacun se retranchant derrière ses prérogatives. Il faut constamment trouver le meilleur compromis entre ergonomie et sécurité … et éventuellement faire arbitrer avec l’analyse des risques où l’on doit mettre le curseur.
- Vous vous embarquez dans une nouvelle aventure et ce n’est pas un colmatage occasionnel qu’il faut faire ; vous devez donc mettre en place un processus qui devient stratégique, qui peut nécessiter un responsable au niveau COMEX, il faut mais un Chief Information and Sécurité Officer (CISO).
- Tout ceci va certainement vous amener à repenser votre organisation pour mieux vous protéger avec une bonne partie des fonctions que vous allez externaliser auprès de prestataires plus experts que vous. Mais étant donné le caractère stratégique de la problématique, vous devez au minimum garder chez vous les compétences pour auditer de façon régulière ce que vous avez mis en place.
- Enfin vous savez pertinemment que ce sont vos employés qui vont créer des vulnérabilités en laissant des traces digitales un peu partout et en quelque sorte créer un « shadow IT » que vous ne contrôlez pas. Soyez réaliste et n’exigez de ré-internaliser que ce qui est fortement critique.
- On vous rappelle que cette politique doit se décliner aux quatre niveaux que sont les infrastructures et les normes, les process internes, les données et la formation des acteurs de l’entreprise. Rappelons que 95% des hacking commencent par un Phishing avec quelqu’un dans l’organisation qui a ouvert la pièce jointe.
- Pour finir, il paraît important en amont de vous lancer dans un exercice de classification de vos informations internes en essayant de mettre un maximum d’informations dans une catégorie « tout public » et un minimum autour de 5 % dans une catégorie « confidentiel ». Le mieux pour cette dernière catégorie est de ne pas le mettre dans l’informatique mais ce n’est pas toujours possible.
La distorsion entre la perception et la réalité
Le mirage de la sécurité assurée par l’entreprise est partagée par les dirigeants et les salariés.
Le jeu politique des dirigeants vis-à-vis des salariés accentue ce sentiment de sécurité.
Le problème est le suivant : la cybersécurité est d’autant plus d’origine humaine que les salariés ne se sentent pas concernés !
52% des meilleurs spécialistes mondiaux de la cybersécurité admettent que le principal risque est le social engineering (capacité à extorquer des identifiants, des mots de passe et des accès par téléphone et par email). Par ailleurs, 40% des meilleurs spécialistes mondiaux de la cybersécurité admettent que le second risque est d’origine interne derrière vos firewall : la menace interne de collaborateurs malveillants pour de nombreuses raisons (vengeance, appât du gain, difficultés personnelles).
Le 11ème principe de cybersécurité
La cybersécurité est un problème humain.
Plus précisément, la sécurité est un problème de vigilance collective.
Appel à témoignage
Nous vous invitons à nous rejoindre dans nos travaux pour partager votre expérience en la matière.
Thomas HERVOUET-KASMI et René GERVAIS-VARNIER, animateurs du Think Tank Cybersécurité – Novembre 2016