Aujourd’hui, ce sont plutôt les attaques provenant d’organisations criminelles professionnalisées qui vont chercher à exploiter simultanément les failles système et le facteur humain. Pour preuve, les opérations de phishing sont devenues de plus en plus élaborées : aucun impair syntaxique ou orthographique, un design graphique identique aux communications officielles et des mentions contextualisées parfois personnelles, souvent pertinentes, pour tromper la vigilance de l’utilisateur. Avec pour objectif de maximiser les résultats en un minimum de temps, ces attaques aboutissent bien souvent, les équipes sécurité étant insuffisamment préparées pour réagir avant que la menace ne réussisse à pénétrer le réseau informatique.

Le facteur humain et les 7 péchés capitaux

Bien que la recherche du sentiment de sécurité soit fortement liée à la nature humaine, cela peut s’avérer en total décalage dans le cadre de la cybersécurité ! Les cybercriminels le savent et exploitent désormais les 7 péchés capitaux dans leurs attaques : la peur, le stress, la convoitise, la paresse, l’orgueil… avec toujours pour objectif d’aller vite pour ne pas laisser le temps au sixième sens ou aux équipes informatiques de réagir.

Les victimes sont toujours démunies face à la sophistication des attaques et aux approches psychologiques utilisées. Après un clic dans un mail de phishing, un utilisateur peut recevoir un coup de téléphone, et le cybercriminel tenter de le manipuler en jouant sur la peur et la responsabilité : "si vous ne le faites pas, votre chef vous en tiendra responsable…" ou encore la cupidité : "Si vous m’aidez, vous en retirerez un grand bénéfice…".

La sécurité est un enjeu collectif 

Devant autant de sophistications et d’incertitudes, on ne peut plus douter que la sécurité soit réellement l’affaire de tous : des éditeurs de logiciels, des pouvoirs publics, de la direction générale, de la DSI et bien sûr des utilisateurs finaux ! Même si de nombreux outils de sécurité ont été mis en place dans l’organisation, il est vital que les utilisateurs se sentent également responsables. Mais le risque d’une politique de sécurité trop restrictive ou qui entrave les besoins des utilisateurs amène parfois à avoir des comportements de contournements, voire volontairement nuisibles (installation d’un VPN sur le poste, etc.), plutôt que d’encourager à réagir de la manière appropriée. C’est pourquoi il faut aujourd’hui engager un véritable changement de mentalités : la DSI ne doit plus vouloir bloquer ni occulter le facteur humain par la technologie, mais plutôt l’accompagner et le faire évoluer si elle veut le transformer en un maillon plus fort de sa chaîne de sécurité.

Ne plus considérer les utilisateurs comme un problème

Sensibiliser ne veut pas dire "spammer" les utilisateurs d’alertes de sécurité, de nouvelles règles ou de nouvelles contraintes. La DSI ne doit plus chercher à "maîtriser" le facteur humain ou à "faire peur" aux utilisateurs, mais plutôt à les impliquer davantage pour les responsabiliser. Pour cela, il est fondamental d’associer à la fois une réelle pédagogie sur les risques avec les bonnes pratiques en termes de réaction si l’on veut créer une prise de conscience.

Et c’est un projet que la DSI ne peut pas mener seule. En effet, cela exige d’engager une démarche d’évangélisation intégrée dans la communication globale de l’entreprise. La DSI aura donc besoin d’associer sa démarche à d’autres services de formation au sein de l’entreprise. Mais pour que cette nouvelle synergie interservices soit réellement efficace, il doit obligatoirement y avoir une implication de la direction générale dans la démarche. L’exemple doit venir d’en haut si l’on veut que la prise de conscience autour de la sécurité soit un vrai sujet dans l’entreprise !

Fort heureusement, les comportements changent : les pouvoirs publics s’engagent et renforcent les sanctions et les règles de protection des données personnelles, les éditeurs de logiciels investissent davantage dans la sécurité, les entreprises et collectivités publiques s’organisent… Pour relever ce nouveau défi de la cybersécurité, il faut mener des campagnes de sensibilisation innovantes tout en développant des outils de sécurité adaptés, aux interactions intelligentes avec les utilisateurs finaux.

Le tout tendant vers un objectif commun : réconcilier deux visions jusqu’ici en opposition, celle des équipes IT qui face aux impairs des utilisateurs finaux doivent constamment augmenter le niveau et la complexité des outils de protection et celle des utilisateurs confrontés à des menaces dont ils ne soupçonnent pas l’existence et face auxquelles ils sont vulnérables, mettant en péril la sécurité du SI.