Cybersécurité : le maillon le plus faible… c’est l’utilisateur !
2022
Aussi loin que je remonte dans mon expérience professionnelle dans l’IT, la cybersécurité a toujours été au cœur de mon métier. Parce qu’au travers de toutes les solutions que les divers intégrateurs pour lesquels j’ai travaillé pouvaient proposer pour délivrer des services IT à leurs clients au travers de projets d’infrastructure datacenter, réseau ou téléphonie, se trouvait toujours cette composante supplémentaire.
Et cette composante sécurité a toujours représenté une part non négligeable du coût supporté par les organisations.
Imaginez simplement la redondance que vous mettez autour de chaque élément hardware de votre datacenter. Imaginez toutes les couches logicielles supplémentaires qui sont consacrées quasiment uniquement à la sécurité sur chaque appareil, serveur, VM, service cloud, etc. sans oublier l’éventuelle surcouche pour consolider et gérer toutes ces solutions, logger les événements, les corréler, etc.
Quelle proportion de ces surcoûts est, en réalité, destinée à simplement éviter que des catastrophes ne se produisent à cause de simples erreurs (involontaires) des utilisateurs finaux eux-mêmes ? Je ne serais pas étonné que cette proportion, différente dans chaque organisation, soit très élevée chez chacun d’eux.
Mais nous ne pouvons pas jeter la pierre aux utilisateurs finaux. Nous savons tous que chaque jour qui passe, ils sont soumis à plus de tentatives d’attaques, elles-mêmes de plus en plus sophistiquées. La plupart des tentatives les plus évidentes n’arrivent même plus à leurs boîtes mail. (Malheureusement pour moi, si j’étais réellement l’héritier d’un prince, je passerais aujourd’hui à côté d’une montagne d’or et de diamant.) Nous savons maintenant tous reconnaître ces bêtises mais ce stade a été dépassé depuis longtemps.
Au fur et à mesure que les attaques vers les utilisateurs deviennent plus compliquées à détecter, au fur et à mesure que nous leur offrons aussi de plus en plus d’outil pour leur faire gagner en flexibilité, nous mettons parallèlement aussi en place des solutions hardware et software de sécurité de plus en plus élaborées. Elles sont nécessaires, bien entendu, mais ne devrions-nous pas dans le même temps se préoccuper tout simplement de former ces utilisateurs au caractère dangereux de leurs outils de travail ?
Nous formons certains employés à utiliser une échelle, à soulever une charge, à s’asseoir correctement, parfois avec la même méthodologie (une séance tous les combien de temps ?) nous sensibilisons aux dangers que l’utilisation d’une boîte mail ou d’un navigateur internet peut induire. Or, la technologie de l’échelle, du levage de charge et de la chaise sont, convenons-en, assez stables. Alors que nous constatons au quotidien que de nouvelles attaques se font jour, ayant pour cible l’utilisateur, qui est bien le maillon le plus faible de la sécurité de l’organisation.
Et si l’alternative à cette relative passivité, c’était de mettre en place de véritables « firewalls humains » ?
Et si des solutions existaient déjà? (spoiler : c’est le cas et ce ne sont pas des implants électroniques)
Et si ce n’était pas compliqué à mettre en œuvre ? Et si ça n’avait pas un coût exorbitant ?
Si nous en parlions ?