Face à la recrudescence des attaques par hameçonnage ciblé, les entreprises se voient de plus en plus contraintes de limiter les risques liés à l’erreur humaine ou à la malveillance interne. C’est ainsi qu’une nouvelle tendance émerge dans les outils de cybersécurité : l’analyse du risque humain.
L’augmentation exponentielle des tentatives d’hameçonnage ciblé et les récentes affaires de brèches provoquées par des employés, malveillants ou inconscients, ont attiré l’attention sur les employés comme maillon faible des chaînes de cyberprotection mises en place par les entreprises. Ce n’est pas nouveau de considérer les employés comme des victimes potentielles d’escroqueries.
Celles-ci essayent tant bien que mal de former, d’informer et de sensibiliser leurs employés aux gestes sécuritaires, mais c’est sans succès, si l’on considère le nombre, en augmentation, des attaques réussies. Et bien que la confiance reste la norme entre une entreprise et ses employés, il est légitime pour elles de se poser la question de savoir s’il est approprié pour une entreprise de surveiller le comportement de ses salariés pour détecter les conduites à risque.
Détecter les comportements à risque des employés
C’est la tendance qui émerge depuis peu et dont le but est de développer des applications permettant de détecter les comportements à risque des employés. Bitdefender, l’éditeur de solutions de cybersécurité, a annoncé récemment l’ajout d’une extension à son EDR GravityZone baptisée Human Risk Analytics. Selon l’éditeur, Human Risk Analytics « apporte une couche de sécurité additionnelle, portant sur le maillon le plus faible de la chaîne de défense de l’entreprise : l’élément humain ».
Le module Human Risk Analytics analyse les actions des utilisateurs et d’identifie les comportements qui représentent un risque de sécurité, pour l’entreprise et pour l’utilisateur lui-même. « Ainsi le moteur d’analyse des risques gagne en efficacité et l’entreprise dispose d’une vue détaillée sur sa posture de sécurité réelle, y compris les comportements des employés, habituellement difficiles à visualiser », explique le communiqué de Bitdefender. Les responsables de la sécurité visualisent ensuite des de Scores de risques, leur permettant d’identifier les systèmes et les utilisateurs les plus exposés, et de prendre des mesures précises pour les atténuer, sans que ces mesures restrictives ne soient imposées à l’ensemble de l’entreprise, systèmes et utilisateurs.
L’humain devient un facteur de risque comme les autres
« Nous délivrons aux entreprises les outils leur permettant de comprendre en détail leur exposition aux risques et de stopper les menaces avancées susceptibles de les affecter à tous les niveaux : les endpoints, le réseau, le cloud – et l’humain », expliquait lors du lancement Andrei Pisau, Sr. Director of Product Management chez Bitdefender Enterprise Solutions. En somme, l’humain devient un facteur de risque comme les terminaux, les applications ou les réseaux.
Il y a toutefois des cas dans lesquels ces outils d’analyse du risque humain s’avèreront impuissants. Car les ruses des cybermalfaiteurs sont multiples et, en s’en donnant le temps et les moyens, ils peuvent tromper la vigilance des employés. Durant les récentes attaques visant des magistrats et des avocats du tribunal de Paris, les courriels d’hameçonnage reçus étaient signés de correspondants légitimes, mais étaient en réalité envoyés par les cybermalfaiteurs.
La confiance aveugle est derrière nous
Ces derniers ayant au préalable subtilisé des échanges, ils se sont inspirés de ceux-ci pour construire leurs messages d’hameçonnage. On ne peut donc pas incriminer un employé ayant ouvert un courriel qui coche toutes les cases lui donnant une légitimité certaine : origine connue, objet contenant un intitulé déjà usité précédé par un « RE : », sujet en accord avec les affaires traitées, signature d’un correspondant habituel, etc.
Nous laisserons aux spécialistes du droit le débat sur la surveillance des employés, que ne manqueront pas de soulever ces outils d’analyse du risque humain. Disons simplement que le temps de la confiance aveugle est peut-être révolu, précipité par l’urgence de sécuriser les actifs de l’entreprise face à des attaques incessantes et qui peuvent mettre son existence en péril.