Si vous êtes un professionnel de la sécurité, vous savez déjà que l’erreur humaine est le plus gros problème pour la sécurité des entreprises ; environ 95 % des failles de sécurité sont dues à une erreur humaine.
Les attaques de pirates et le cyberespionnage font la une des journaux, mais le véritable danger pour les organisations, qu’il s’agisse d’entreprises financières ou de détaillants, est la feuille de calcul laissée par hasard sur un ordinateur personnel non sécurisé, le mot de passe sur une note autocollante, le courriel cliqué qui n’aurait pas dû être ouvert.
Le problème est de savoir ce qu’il faut faire de l’erreur humaine. Au moins jusqu’à ce que l’intelligence artificielle progresse un peu plus, les humains manipulent les données sensibles des entreprises. Il n’existe pas de solution parfaite à ce problème inhérent.
Il existe toutefois des techniques pour minimiser les risques de sécurité liés à l’erreur humaine. Voici cinq conseils que nous recommandons pour réduire le risque de cybersécurité lié aux humains.
Conseil n° 1 : Organisez des jeux de stratégie en matière de cybersécurité
La formation des employés à la sécurité est un point de départ évident pour les entreprises qui se soucient de la sécurité. Mais beaucoup d’entreprises font des présentations ennuyeuses lors de l’intégration des employés et s’en tiennent là, ou ajoutent quelques séminaires sur la sécurité imposés par l’entreprise.
Mais tout le monde sait que cela ne fonctionne pas très bien. Une meilleure façon d’éduquer les employés à la sécurité est de les faire participer à des jeux de stratégie de cybersécurité parrainés par l’entreprise.
Le concept est à la fois amusant et élégant : au lieu des présentations ennuyeuses sur la sécurité, organisez régulièrement un jeu de stratégie à l’échelle de l’entreprise où certains employés sont chargés de voler des données de l’entreprise et d’autres de les sécuriser. Vous pouvez également inclure certains membres de votre équipe de sécurité informatique dans chaque camp, en tant que chefs d’équipe qui peuvent guider les employés moins soucieux de sécurité.
Ces jeux de stratégie peuvent considérablement améliorer la sensibilisation des employés à la cybersécurité – et peut-être même vous aider à découvrir quelques failles de sécurité, humaines ou autres, dans le processus.
Conseil n° 2 : Classez les données en fonction de leur sensibilité, puis verrouillez-les.
Une grande partie du risque de cybersécurité d’une organisation provient du comportement apparemment innocent d’un employé, comme la copie de fichiers qui devraient vraiment être sous clé. Cela se produit généralement parce que les entreprises n’ont pas évalué l’ampleur de l’empreinte de leurs données et n’ont pas établi de catégories de sensibilité qui peuvent automatiquement informer la gestion des droits.
Le deuxième conseil pour éviter l’erreur humaine est donc de faire un inventaire complet des données de votre entreprise, puis d’établir un système de classification de la sensibilité pour appliquer facilement et automatiquement la gestion des droits appropriée aux données de chaque catégorie.
La gestion des droits combinée à l’automatisation est un élément clé pour minimiser l’erreur humaine, mais elle ne fonctionne bien que lorsque les organisations disposent d’une classification claire des données qui peut être introduite dans les systèmes de contrôle d’accès.
Conseil n° 3 : Automatiser la surveillance des fichiers
Même les systèmes de contrôle d’accès bien développés souffrent de deux problèmes qui se nourrissent de l’erreur humaine : des données sensibles peuvent être copiées ou photographiées sur des systèmes informatiques personnels non sécurisés dans le cours normal des activités, et de nouveaux documents sont créés en permanence par les employés, qui peuvent être de nature sensible mais échappent au radar du service de cybersécurité.
Un moyen d’éviter presque entièrement ces problèmes consiste à utiliser des solutions de surveillance automatisée des fichiers qui analysent les appareils des employés pour détecter la création et le déplacement de données d’entreprise. Ces solutions devraient signaler les données d’entreprise qui apparaissent dans un fichier Word sur l’ordinateur personnel d’un employé à la maison, ainsi que les documents sensibles qui migrent innocemment vers le Google Drive d’un employé dans le cours normal des affaires.
Le suivi des ressources de données de l’entreprise par le biais d’une surveillance en temps réel permet d’éviter les erreurs humaines accidentelles avant qu’elles ne deviennent un problème.
Conseil n° 4 : Envisagez des solutions de sécurité basées sur l’analyse comportementale
Les gens prennent parfois de mauvaises décisions, surtout lorsqu’ils travaillent à domicile et essaient de terminer une tâche avant le dîner, comme le font tant de travailleurs en ce moment pendant la pandémie. Il peut s’agir d’ouvrir un courriel qu’ils ne devraient pas ouvrir, s’exposant ainsi, ainsi que les données de l’entreprise, à une attaque de phishing. Il peut s’agir d’essayer d’accéder à des ressources qu’ils ne devraient pas utiliser. Il peut s’agir de copier et coller des données qui ne devraient pas l’être, dans le but d’en faire plus. Les choses arrivent.
Si l’éducation à la cybersécurité et la surveillance des fichiers peuvent aider à résoudre ces problèmes, une troisième couche de défense contre l’erreur humaine consiste à surveiller l’activité des employés à l’aide de solutions de surveillance du comportement basées sur l’intelligence artificielle, qui peuvent signaler les comportements à risque dès qu’ils se produisent.
Il existe de nombreuses solutions, dont certaines fonctionnent également avec les employés à distance. Ces solutions sont souvent une arme secrète qui aide les professionnels de la sécurité informatique à dormir plus tranquillement la nuit au lieu de s’inquiéter des innombrables façons dont les employés exposent l’entreprise à des risques.
Conseil n° 5 : Appliquez l’authentification multifactorielle partout où se trouvent les données
Nous savons tous que les mots de passe ne sont pas sûrs. Ils sont réutilisés, partagés et parfois volés. Toutes ces erreurs humaines peuvent rapidement entraîner des problèmes de sécurité importants.
Ce n’est pas pour rien que des entreprises telles qu’Apple ont pratiquement supprimé les mots de passe et opté pour la numérisation du visage et l’identification multifactorielle ( AMF ) : cela fonctionne et réduit considérablement les erreurs humaines liées à la sécurité des connexions.
De nombreux professionnels de la sécurité ont déjà mis en place une authentification multifactorielle pour protéger certains systèmes, comme les portails de connexion des clients. Mais un conseil de pro pour combattre l’erreur humaine autour des connexions au système est de renforcer tous les systèmes de données de l’entreprise avec l’AMF.
Il existe plusieurs outils sur le marché qui peuvent fournir cette application AMF, dont certains ont l’avantage de réduire la friction de connexion des employés grâce à un mot de passe moins intrusif.
L’erreur humaine n’est pas prête de disparaître. Toutefois, grâce aux cinq conseils ci-dessus, vous pouvez réduire considérablement la fréquence de ces erreurs humaines et les dommages qu’elles causent à la sécurité.
