Wednesday 15 Aug 2018


Repenser les formations sur la « cybersécurité » : après la sensibilisation, place aux changements comportementaux


RONALD DE TEMMERMAN / Directeur opérationnel EMEA – GlobalSign            Le 08/02 à 15:15 

Les évolutions constatées ces dernières années dans le monde de la cybersécurité sont très encourageantes. Des entreprises de tous secteurs d’activité et toutes zones géographiques ont en effet pris conscience que la cybersécurité n’était plus une option. Pourtant il reste un maillon faible dans le dispositif : la sensibilisation.

Malgré tous les progrès constatés en termes de cybersécurité, le nombre d’attaques inquiétantes signalées chaque année n’a pas diminué. Ce serait plutôt le contraire. Pourquoi ? Nous pourrions avancer des dizaines de raisons…

Nous pourrions parler des malwares et autres vecteurs d’attaque qui évoluent sans cesse. Nous pourrions écrire sur les difficultés rencontrées par les forces de police pour appréhender des groupes criminels dont la notoriété s’étend au-delà de nos frontières.

Nous pourrions expliquer pourquoi, même avec un réseau techniquement évolué, on ne pourra jamais être préparé à faire face aux dernières menaces de type « zéro Day ». En réalité, aucune de ces pistes n’explique correctement le fond du problème.

Les théories classiques seraient-elles nocives pour une entreprise ?

Avant de poursuivre, ayons à l’esprit que les cyberattaques sont pratiquement toutes motivées par l’appât du gain. De la même manière, si attaquer une entreprise peut rapporter de l’argent, il est certain que quelqu’un s’en chargera.

D’après la croyance populaire, le meilleur moyen de défendre son entreprise contre ces attaques est de mettre en oeuvre une batterie de contrôles techniques afin d’empêcher tout accès non autorisé, de bloquer toute activité malveillante et d’identifier les attaques entrantes.

Mais il y a un problème. Si l’on étudie attentivement chaque violation signalée au cours des 10 dernières années, un point retient notre attention : l’utilisation quasi systématique des techniques d’hameçonnage (« phishing ») ou d’autres techniques d’ingénierie sociale à un moment de l’attaque.

Pourquoi ? Parce qu’en général, il est bien plus facile de tromper les gens que les machines. Si un malfaiteur est capable de piéger quelqu’un et de le contraindre à compromettre un réseau, l’entreprise aura beau avoir mis en place les contrôles techniques les plus perfectionnés, rien n’y changera. Une fois qu’un pirate s’est introduit sur un réseau à l’aide d’identifiants légitimes, on peut considérer que le plus dur est fait.

Si l’on pense qu’il existe quantité de contrôles techniques qui permettent d’atténuer l’impact d’un e-mail malveillant, on a raison. Mais, quel que soit le degré de sophistication des filtres antispam et dispositifs d’analyse de contenu, ils n’empêcheront jamais la totalité des e-mails malveillants d’atterrir dans la boîte de réception des utilisateurs. À partir de là, il faut bien se rendre à l’évidence : la technologie ne suffit pas.

La fin des formations de « sensibilisation »

Je serais tenté de dire que la dernière fois qu’un collaborateur d’entreprise a assisté à une formation de sensibilisation à la sécurité, cela ne lui a été d’aucune utilité. Soyons honnêtes, le niveau standard des formations de sensibilisation à la sécurité est plutôt faible, tous secteurs d’activité confondus.

Mais le problème ne concerne pas uniquement le niveau de formation. C’est tout le concept qui pose problème. Mieux sensibiliser les utilisateurs à la sécurité dans l’entreprise pourrait être un objectif sensé. Or, la démarche échoue régulièrement, faute de parvenir à réduire le risque cyber dans le monde réel.

Envisageons les choses ainsi. Nous savons tous que nous devrions manger plus de légumes et arrêter de fréquenter les fast-foods. Malgré cela, combien de fois faisons-nous les bons choix diététiques ? Pas si souvent, à en juger par l’augmentation de l’obésité.

Mais revenons à nos moutons. Pour que nos formations à la sécurité aient un impact conséquent sur la réduction du risque cyber, nous allons devoir changer radicalement d’angle d’attaque pour nous concentrer sur les comportements en matière de sécurité, et non sur la sensibilisation à la sécurité.

Dans la mesure où le phishing représente la plus grosse menace pour les entreprises à travers le monde, il existe un changement de comportement vis-à-vis de la sécurité qui pourrait bien faire la différence.

E-mails : changer les comportements

Pour le dire simplement, les e-mails d’hameçonnage sont conçus pour piéger les utilisateurs peu méfiants en les poussant à agir dans le sens voulu par le cybermalfaiteur. Pour lutter contre le phishing, nous allons devoir changer la façon dont les utilisateurs interagissent avec leurs e-mails.

Il faut savoir qu’en entreprise, un utilisateur reçoit chaque jour en moyenne plusieurs dizaines d’e-mails. Conséquence : la majorité des employés cherche à traiter les messages non lus le plus efficacement possible et part du principe que tout message qui atterrit dans sa boîte de réception est légitime. Chaque utilisateur instaure inconsciemment ses propres rituels de gestion de messagerie. Après plusieurs dizaines de milliers de répétitions, ces routines sont tellement ancrées qu’elles sont devenues des habitudes inconscientes.

Pour conditionner ses utilisateurs à changer leurs habitudes, la traditionnelle formation de sensibilisation à la sécurité mise en place chaque année ne sera d’aucune utilité. Il va plutôt falloir à l’entreprise intégrer sa formation dans le quotidien de ses utilisateurs.

Opération : Phish

Comment s’y prendre pour reprogrammer les habitudes des utilisateurs face à leur messagerie ? Tout simplement en imaginant des scénarios d’hameçonnage réalistes que l’entreprise enverra régulièrement à ses utilisateurs.

Notre propos est clair : nous invitons les entreprises à tendre une embuscade à ses utilisateurs en leur envoyant des e-mails de phishing ! Mais avant d’inonder délibérément leurs messageries d’e-mails savamment travaillés pour les piéger, voici quelques points importants à garder en tête. Pour commencer, ne pas se précipiter dans l’espoir d’obtenir des résultats rapides…

Pour une amélioration réelle et durable des comportements des utilisateurs en matière de sécurité des e-mails, l’entreprise va devoir respecter certains principes de base.

1) L’incontournable approbation de la direction

Les comportements de sécurité des employés ne vont pas s’améliorer d’un coup de baguette magique. Ce serait même plutôt le contraire, il va donc falloir faire preuve de constance et maintenir ses efforts dans la durée. Le RSSI devra certes noter d’importantes améliorations dans les premiers mois – progrès qui, faute de régularité, pourraient cependant rapidement s’évanouir.

Comment rester constant et régulier ? Il est essentiel de s’assurer d’avoir le soutien de sa hiérarchie, notamment sous la forme de financements approuvés sur le long terme. Pour assurer ses arrières, il faudra que le RSSI monte un dossier solide, suive attentivement le retour sur investissement du programme et présente régulièrement à la direction des rapports de performance clairs.

2) Pour réussir, miser sur la simplicité !

Si l’on pense qu’il s’agit de persuader les utilisateurs de supprimer les e-mails suspects, l’objet principal nous échappe. Le véritable objectif est d’inciter les utilisateurs à signaler chaque message suspect. Pourquoi ? Pour identifier d’autres messages similaires et les mettre en quarantaine, mais aussi pour renforcer les contrôles techniques de sécurité afin d’identifier, à l’avenir, les messages d’hameçonnage similaires et de créer une banque de contenus dans laquelle piocher pour concevoir plus facilement vos futurs scénarios de phishing.

Mais voilà, pour cela, l’entreprise doit simplifier au maximum sa procédure de reporting. Elle pourrait, à cet effet, ajouter un simple bouton du type « signaler un e-mail de phishing » dans le client de messagerie.

3) Formation aux points individuels de défaillance

Au moment de lancer son programme, l’entreprise remarquera que ses utilisateurs s’améliorent très vite. Précisons aussi qu’au début, ils se tromperont beaucoup.

Les échecs ne sont pas une mauvaise chose en soi. Chaque fois qu’un utilisateur identifie correctement une simulation d’hameçonnage, il n’apprend pas grand-chose ; il montre juste à l’entreprise ce qu’il sait faire.

Mais chaque fois que l’un des utilisateurs échoue à une simulation d’hameçonnage, il faudrait qu’il soit immédiatement redirigé vers la page de formation en ligne correspondante. Il pourrait ainsi comprendre le type d’e-mail de phishing qui vient de le piéger afin de se former et de mieux identifier les pièges similaires qu’il pourrait rencontrer par la suite.

Pour que ces leçons soient intégrées, l’entreprise devrait également retester les utilisateurs dans la semaine qui suit leur échec à la simulation. Si certains utilisateurs échouent régulièrement, il peut être intéressant de leur proposer un suivi individuel.

La persévérance : facteur de succès n° 1

Comme on l’aura sans doute compris, le programme de sensibilisation au hameçonnage décrit plus haut n’a absolument rien à voir avec le programme annuel standard de sensibilisation à la sécurité. Au lieu d’entasser les utilisateurs dans une salle de classe étouffante une fois par an, l’entreprise a plus intérêt à leur proposer une formation de haut calibre, avec des mises en situation réalistes et l’occasion pour eux de participer activement à la sécurité de leur entreprise.

Cependant, ce processus n’est jamais complètement terminé. Si une entreprise décide subitement de mettre ce programme aux oubliettes, elle notera rapidement qu’après quelques mois, les utilisateurs auront repris leurs vieilles habitudes.

Autre point à prendre en compte : même si les utilisateurs deviennent des pros et arrivent à identifier les e-mails d’hameçonnage, l’entreprise ne sera jamais complètement à l’abri d’une erreur. Les gens ne sont pas des machines, et même si l’entreprise peut très certainement espérer atteindre un taux de succès de 98 ou 99 %, elle n’aura jamais la certitude que la totalité des e-mails de phishing sera identifiée et signalée.

De ce fait, il ne nous viendrait pas à l’idée de proposer aux entreprises de remplacer des contrôles de sécurité poussés et une équipe d’intervention sur incident hautement professionnelle et qualifiée par ce type de programme.

Il n’a jamais été question de choisir l’une ou l’autre de ces solutions. Bien au contraire : si l’on est réellement engagé dans une démarche de protection de son entreprise contre la menace que représente le phishing, l’on va devoir associer des équipes bien formées avec une force de formation correctement dimensionnée.

 

Design par Kromogen