Opinion | Comment développer une stratégie de cybersécurité centrée sur l’humain ?

Mais alors, d’où vient ce décalage entre investissements et efficacité réelle de la protection ? La réponse saute aux yeux en analysant les budgets IT : 90 % des dépenses actuelles servent à se protéger contre 10 % des attaques. Les menaces évoluent en permanence, mais les dépenses en sécurité ne suivent pas les tendances. La plupart des outils de sécurité et de conformité concernent la protection périmétrique, le endpoint management et le patching de vulnérabilités. Or les cybercriminels ne ciblent plus uniquement les vulnérabilités techniques, ils ciblent désormais également les individus.

Les cybercriminels misent en effet aujourd’hui et plus que jamais sur la nature humaine et la confiance des individus. Ils leur tendent des pièges pour les inciter à cliquer sur un lien frauduleux ou ouvrir une pièce jointe malveillante. Les consommateurs tombent chaque jour dans des arnaques impliquant de fausses promotions. Les collaborateurs d’entreprise sont également de plus en plus ciblés par des cyber escrocs parvenant à duper leur vigilance en usurpant l’identité d’un supérieur hiérarchique pour leur faire virer des sommes d’argent sur des comptes pirates.

Dans ce contexte, les solutions traditionnelles ne font plus le poids. La transformation digitale des organisations, avec la migration des données vers le cloud, ajoute un niveau de complexité supplémentaire au challenge de la cybersécurité. Les technologies traditionnelles ne garantissent pas le niveau d’intelligence nécessaire pour organiser des actions préventives contre les nouvelles menaces avancées.

Alors quelle est la meilleure stratégie de riposte ? Le plan de bataille consiste désormais à élaborer une stratégie de sécurité qui protège les individus, plutôt que la technologie qu’ils utilisent.

Protéger le canal email, premier vecteur d’attaques

Plus de 90 % des attaques ciblées se font par email. L’intrusion par ce canal donne aux cybercriminels un accès privilégié à des données personnelles et des ressources stratégiques. Une stratégie de protection à plusieurs niveaux est donc recommandée, pour détecter les nouvelles attaques email, qu’il s’agisse de malware ou d’usurpation d’identité, et agir dès que la menace est avérée.

L’automatisation, via la mise en place de règles de mises en quarantaine ou de suppression automatique est également un précieux allié pour bloquer les emails malveillants avant qu’ils ne fassent des dégâts.

Détecter les comptes de réseaux sociaux et applications mobiles non officiels

Avec une augmentation de 400 % des attaques en un an (entre Q2 2017 et Q2 2018), les réseaux sociaux sont devenus le dernier canal à la mode pour pirater les marques. S’il peut sembler a priori ardu de détecter des communications frauduleuses sur des comptes non officiels, en dehors de tout contrôle et de toute protection, il existe heureusement des outils qui permettent de scanner les réseaux sociaux en continu et d’alerter une entreprise si un compte utilisant des attributs de sa marque est détecté.

Côté mobile, ce sont les applications qui sont principalement visées. Alors que les consommateurs pensent télécharger des applications dignes de toute confiance, plus de 16 000 développeurs à travers le monde s’échinent à créer des applications frauduleuses qui ressemblent à s’y méprendre aux versions officielles, mais qui servent en réalité à voler des données et à envoyer des informations sur des serveurs inconnus. Pour ne pas se faire piéger, il est possible de mettre en place un système permettant d’évaluer le risque potentiel associé à une application et d’empêcher purement le téléchargement d’une application jugée frauduleuse.

Former les utilisateurs

Les solutions de sécurité déployées doivent intégrer de la manière la plus fluide possible l’environnement de travail des utilisateurs. La sécurité ne doit pas se faire au détriment de l’ergonomie et de la productivité. Cela passe par des mesures de sécurité personnalisées, en fonction du risque que représente chaque utilisateur : à quelle fréquence est-il ciblé personnellement ? À quel type de données et de ressources a-t-il accès ? Est-il rigoureux vis-à-vis des procédures de sécurité ?

En fonction du risque associé à un utilisateur, une formation personnalisée s’impose, pour l’aider à détecter et signaler les emails frauduleux. Simuler de fausses attaques de phishing (orchestrées en réalité par les équipes de sécurité de l’entreprise) est probablement la méthode la plus efficace pour évaluer la capacité d’un utilisateur à se faire piéger, et lui proposer un programme de formation en adéquation avec ses connaissances.

Et après ?

La cybersécurité requiert aussi et surtout une certaine agilité. Les cybercriminels sont eux champions en la matière. Ils s’adaptent en permanence, profitent d’une faille pour l’exploiter au maximum et changent rapidement de stratégie pour atteindre autrement leur cible en cas d’échec. Ce qui est en revanche constant, c’est leur capacité à viser en priorité l’humain, et plus seulement la technologie.

Pour combattre les attaques centrées sur l’humain, il faut des solutions centrées sur l’humain. Vous ne pourrez pas changer la nature humaine, alors autant faire avec et protéger à la base, tous les points d’accès stratégiques de votre organisation !