En cyberdéfense, très souvent les entreprises sont ciblées à travers les individus. Le phishing reste plus efficace que jamais et le chantage par mail — « j’ai piraté votre webcam, j’ai des images gênantes de vous » — continue de faire des milliers de victimes.
La campagne European Cyber Security Month (ECSM)qui est organisée chaque année depuis 2012 par l’Agence européenne chargée de la sécurité des réseaux et de l’information (AESRI) avait pour slogan en 2020 « Think before you click ». C’est un excellent résumé de la place du facteur humain dans la gestion du risque informatique qui évoque quelques bonnes pratiques dont on ne fait jamais assez l’apologie, particulièrement dans le contexte actuel de recours massif au télétravail.
Les outils et la méthode
Pour se prémunir, il faut évidemment construire des remparts technologiques : il devient impératif de déployer des outils d’EDR (Endpoint Detection and Response) sur tous les postes de travail, tablettes et smartphones de l’entreprise, notamment ceux des plus hauts niveaux de la hiérarchie, et de les associer à une démarche « zero trust ».Complémentaire de l’anti-malware traditionnel, l’outil d’EDRsurveille le fonctionnement d’un terminal afin d’analyser son comportement dans le contexte global du système d’information et de remédier, le cas échéant, aux actions jugées douteuses. Il s’intègre à votre SIEM (Security Information and Event Management) en offrant de la visibilité sur les appareils.
Mais la technologie ne peut pas tout, et la sensibilisation et la formation des utilisateurs aux risques sont plus que jamais nécessaires.
Le facteur humain
Souvent, les collaborateurs n’ont pas conscience de la sensibilité des données avec lesquelles ils travaillent. Par exemple, les informations personnelles — identité, adresse mail, numéro de téléphone, …— des clients, prospects, partenaires, etc., sont un actif majeur de l’entreprise. Pourtant, elles sont parfois stockées dans une feuille Excel et échangées entre services par mail ou messagerie instantanée !
Pour pallier cela, l’entreprise doit donner du sens et de la valeur à la sécurité. Une piste possible est de rendre les formations plus attractives pour les salariés —pourquoi pas en les personnalisant ? Quelle que soit la méthode, on ne perd jamais à investir dans la formation et la sensibilisation. Le meilleur atout du cybercriminel est le collaborateur qui, quel que soit son niveau hiérarchique, pense que « cela n’arrive qu’aux autres ». Tout le défi pour le formateur est d’arriver à instaurer une posture par défaut de défiance.
En temps de crise sanitaire
A priori, la crise sanitaire et ses conséquences sur l’organisation du travail et de l’accès aux ressources n’ont pas fondamentalement remis en question les bonnes pratiques en matière de cybersécurité. En tout cas il est trop tôt pour tirer des conclusions. On peut cependant faire quelques constats.
Le principal effet de l’épidémie en cours a été d’accélérer subitement la fragmentation des lieux de travail et donc de bouleverser la notion de périmètre qui est historiquement au cœur des stratégies de cyberdéfense. Ce périmètre est de plus en plus complexe à définir et avec le COVID, il a brutalement éclaté. Les lieux et les temps de travail sont de moins en moins strictement définis. En conséquence il est plus complexe pour les systèmes de protection de détecter un comportement inhabituel et donc une possible tentative d’intrusion. Une partie de la responsabilité est reportée sur les personnes, isolées, qui doivent être des acteurs plus vigilants et doivent être informées et formées en conséquence.
Le COVID implique donc une actualisation de la formation des employés et une certaine redéfinition des risques qui prenne en compte le fait que les individus sont plus isolés.
Ne pas sous-estimer l’importance de l’autorité publique
Un dernier atout important en matière de lutte contre la cybermalveillance est l’aide apportée par l’autorité publique. En France, le portail gouvernemental cybermalveillance.gouv.fr est une très bonne source d’information, et l’ANSSI fait un excellent travail de prévention et d’accompagnement. On peut en dire autant d’Europol au niveau européen.
Enfin, la réglementation et le débat public restent des facteurs de premier plan pour sensibiliser les entreprises. Ainsi, aux États-Unis, le débat s’est ouvert sur la légalité du paiement des rançons depuis que l’OFAC (Office of Foreign Access Control) a rappelé que, dans certains cas, les sociétés qui acceptent de céder au chantage des groupes cybercriminels peuvent également être sanctionnées par les autorités.
Par Romain Willmann, Consultant sécurité chez IBM France