> Sécurité > Formez vos utilisateurs à la sécurité, sacrebleu !

Formez vos utilisateurs à la sécurité, sacrebleu !

Sécurité - Par Loïc Duval - Publié le 30 septembre 2018
email

En matière de sécurité, une tradition orale veut que la plus importante faille de sécurité se situe entre la chaise et le clavier. Une règle rarement ouvertement clamée et encore moins écrite, histoire de ne froisser personne. Elle devrait pourtant l’être !

Formez vos utilisateurs à la sécurité, sacrebleu !

Que ce soit par malveillance, par maladresse, par inattention, mais, le plus souvent, simplement par manque de formation, les utilisateurs constituent bel et bien la plus vulnérable porte d’entrée vers le système d’information et ses secrets !

Une étude datée de 2016 de l’institut Ponemon précisait que 41% des TPE/PME ont été directement impactées par les négligences de leurs employés ou de leurs partenaires. Une autre étude plus récente de Clearswift révélait que 58% des menaces de sécurité provenaient de l’interne. Et les risques ne vont certainement pas en diminuant avec des collaborateurs de plus en plus ultra-connectés, mobiles et adeptes du télétravail. Dans son rapport de janvier 2018, le cabinet d’audit et de conseil Deloitte estime que 63% des incidents de sécurité dans l’entreprise proviennent des collaborateurs.

Des cibles irresponsables…

Évidemment, l’idée n’est ni de victimiser les collaborateurs, ni de les tenir responsables :
– Les utilisateurs sont des cibles privilégiées, elles doivent être conscientes des risques qu’elles font courir à l’entreprise par leur manque de rigueur, leur « je-m’en-foutisme », leur frivolité.
– De même blâmer l’utilisateur ne résout rien : lorsqu’un collaborateur clique sur un email contenant un lien ou un fichier infecté, c’est que l’entreprise est déjà dans le collimateur des cybercriminels et donc déjà attaquée. Cette ouverture d’email n’est que très rarement le début d’une attaque, mais simplement une phase parmi tout un cycle d’attaques.

Prévenir plutôt que guérir

Le rôle premier des équipes de sécurité d’une entreprise est de protéger le business, les informations, mais aussi les personnes. Les former fait partie intégrante de cette démarche de protection.

En un sens, un utilisateur averti en vaut deux. Il est bon de noter que la GDPR donne au DPO un rôle essentiel de formation et sensibilisation de l’ensemble des employés à la criticité des données privées. Cette volonté de former pour protéger la donnée privée doit être étendue à la protection de toutes les données et du système d’information. L’ensemble forme un tout cohérent. Et la GDPR est une bonne occasion de remettre les pratiques à plat…

Former les collaborateurs

Pour former les utilisateurs, plusieurs pistes sont à considérer. La plus pratiquée et la plus simple à mettre en œuvre n’est autre que l’e-learning. Il a l’avantage de respecter le rythme d’apprentissage et la charge de travail de chacun.

L’ANSSI (l’Agence Nationale pour la Sécurité des Systèmes d’Information) propose un excellent MOOC  « Secnumacademie.gouv.fr » qui vient d’être récompensé par deux prix lors de la seconde édition du « MOOC of the Year ». « Grâce à ce MOOC, les utilisateurs pourront apprendre et assimiler des notions de base de la sécurité des systèmes d’information (SSI) utiles au travail comme à la maison » affirme l’ANSSI.

Autre voie possible, les journées de formation prodiguées par des experts comme celle « Secure Essence » de Secusphere.

Dernière solution utile et pratique à considérer, le nouveau site gouvernemental « Cybermalveillance.gouv.fr » propose un kit de sensibilisation pour former les personnes aux risques d’Internet par le biais de leur entreprise. Les DSI peuvent obtenir ce kit au travers de l’URL :  https://www.cybermalveillance.gouv.fr/inscription-sensibilisation/

Répéter, et répéter encore…

Bien des entreprises prétendent avoir formé leurs utilisateurs. Malheureusement, elles ont souvent limité cette formation à une unique cession considérant que leurs employés étaient formés une fois pour toutes. Mais la sécurité n’est pas une destination. C’est un voyage perpétuel, et la formation des utilisateurs devrait être une pratique constante et récurrente, ne serait-ce que pour les confronter à la réalité toujours en mouvement des menaces du moment.

L’idée consiste finalement à patcher le savoir des utilisateurs aussi régulièrement que l’on est amené à patcher les serveurs et les systèmes.

Cela peut se faire en reproduisant les sessions de formation, en changeant les MOOCs e-learning mis à disposition, ou en diffusant des formations ludiques et multimédias régulièrement aux utilisateurs. Typiquement, l’ANSSI réalise par exemple des vidéos qui sont avant tout destinées aux IT, mais qui mériteraient d’être visionnées par tous les utilisateurs afin qu’eux-mêmes comprennent les risques, les tenants et les aboutissants et participent proactivement aux bonnes pratiques.

Rien n’interdit les responsables d’intégrer ces vidéos dans des portails d’autoformation que les collaborateurs sont d’une manière ou d’une autre « invités » à consulter tous les 3 ou 6 mois par exemple.

Mettre à l’épreuve

Il ne suffit pas de former les utilisateurs. Il faut aussi s’assurer que les concepts enseignés ont bien été intégrés et sont mis en application. Il est donc important de les mettre à l’épreuve à travers des jeux de rôle et des tests. Certains services en ligne peuvent d’ailleurs vous y aider.

C’est notamment le cas de « PhishMe.com ». Le service permet de mettre à l’épreuve vos employés en simulant une campagne de phishing pour diffuser des ransomwares ou voler des identifiants.

Plusieurs scénarios d’attaque peuvent être ainsi simulés et analysés avec pour les administrateurs une vision du nombre d’employés qui se sont laissés piéger. « KnowBe4.com » est un autre site permettant lui aussi de mettre à l’épreuve vos utilisateurs.

Au travail, chez soi et à l’hôtel

Enfin, même des utilisateurs bien entraînés peuvent adopter des comportements différents dans des contextes différents. C’est pourquoi il est important de rappeler que les règles de sécurité et de respect de la vie privée enseignées dans l’entreprise doivent s’appliquer même en dehors des murs de l’entreprise, notamment lorsque les collaborateurs travaillent depuis une chambre d’hôtel ou un café, mais aussi une fois qu’ils sont de retour chez eux. Ils doivent intégrer que les bonnes habitudes acquises s’appliquent à tout instant et en tout lieu…

Bref, il est grand temps pour les entreprises de toutes tailles de ne plus considérer l’utilisateur comme une vulnérabilité, mais comme la dernière ligne de défense de leur système d’information…

Téléchargez cette ressource

Guide de technologies hautes performances pour les défis IT complexes

Guide de technologies hautes performances pour les défis IT complexes

Méticuleusement conçues pour satisfaire les demandes en augmentation constante de puissance, performances et vitesse supplémentaires, découvrez, dans ce guide, comment les nouvelles stations de travail de bureau Lenovo ThinkStation co-conçues avec Aston Martin peuvent facilement traiter les charges de travail les plus intenses de tous les secteurs.

Répéter, et répéter encore…

Bien des entreprises prétendent avoir formé leurs utilisateurs. Malheureusement, elles ont souvent limité cette formation à une unique cession considérant que leurs employés étaient formés une fois pour toutes. Mais la sécurité n’est pas une destination. C’est un voyage perpétuel, et la formation des utilisateurs devrait être une pratique constante et récurrente, ne serait-ce que pour les confronter à la réalité toujours en mouvement des menaces du moment.

L’idée consiste finalement à patcher le savoir des utilisateurs aussi régulièrement que l’on est amené à patcher les serveurs et les systèmes.

Cela peut se faire en reproduisant les sessions de formation, en changeant les MOOCs e-learning mis à disposition, ou en diffusant des formations ludiques et multimédias régulièrement aux utilisateurs. Typiquement, l’ANSSI réalise par exemple des vidéos qui sont avant tout destinées aux IT, mais qui mériteraient d’être visionnées par tous les utilisateurs afin qu’eux-mêmes comprennent les risques, les tenants et les aboutissants et participent proactivement aux bonnes pratiques.

Rien n’interdit les responsables d’intégrer ces vidéos dans des portails d’autoformation que les collaborateurs sont d’une manière ou d’une autre « invités » à consulter tous les 3 ou 6 mois par exemple.

 

Mettre à l’épreuve

Il ne suffit pas de former les utilisateurs. Il faut aussi s’assurer que les concepts enseignés ont bien été intégrés et sont mis en application. Il est donc important de les mettre à l’épreuve à travers des jeux de rôle et des tests. Certains services en ligne peuvent d’ailleurs vous y aider.

C’est notamment le cas de « PhishMe.com ». Le service permet de mettre à l’épreuve vos employés en simulant une campagne de phishing pour diffuser des ransomwares ou voler des identifiants.

Plusieurs scénarios d’attaque peuvent être ainsi simulés et analysés avec pour les administrateurs une vision du nombre d’employés qui se sont laissés piéger. « KnowBe4.com » est un autre site permettant lui aussi de mettre à l’épreuve vos utilisateurs.

 

Au travail, chez soi et à l’hôtel

Enfin, même des utilisateurs bien entraînés peuvent adopter des comportements différents dans des contextes différents. C’est pourquoi il est important de rappeler que les règles de sécurité et de respect de la vie privée enseignées dans l’entreprise doivent s’appliquer même en dehors des murs de l’entreprise, notamment lorsque les collaborateurs travaillent depuis une chambre d’hôtel ou un café, mais aussi une fois qu’ils sont de retour chez eux. Ils doivent intégrer que les bonnes habitudes acquises s’appliquent à tout instant et en tout lieu…

Bref, il est grand temps pour les entreprises de toutes tailles de ne plus considérer l’utilisateur comme une vulnérabilité, mais comme la dernière ligne de défense de leur système d’information…

Sécurité - Par Loïc Duval - Publié le 30 septembre 2018

A lire aussi sur le site

Revue Smart DSI

La Revue du Décideur IT