CyberSécurité : l’utilisateur est-il vraiment le problème ou même la solution?
Cette période de début d’année est propice aux études rétrospectives sur l’année passée et notre domaine de la Cybersécurité n’en est pas exempt.
La tendance haussière sur le phishing et sur l’entrée des malwares par la messagerie, en s’appuyant sur un minimum de social engineering, amène ici ou là des commentaires du type « la principale vulnérabilité est humaine !».
Cette remarque assez classique des commentaires sur les réseaux sociaux, depuis de nombreuses années, est très symptomatique de ce type de prose, où en peu de mots on cherche la controverse.
N’est-il pas un peu facile de faire reposer la sécurité du système d’information sur l’utilisateur, quand on a échoué à prévenir le fait que ces emails atteignent ce fameux utilisateur ?
Il me paraît important de responsabiliser l’utilisateur et de faire en sorte qu’il fasse partie intégrante du processus global de sécurité, qu’on l’amène à prendre conscience des enjeux et des risques pour l’organisation. Mais ne devrions-nous pas le sensibiliser plutôt que le culpabiliser? Ne devrait-on pas voir l’utilisateur comme le dernier rempart quand les mesures technologiques mises en place ont échoué ?
Si l’utilisateur reçoit un email, qu’il clique sur un lien et que le malware se télécharge sur son poste et s’exécute, n’y a-t-il pas eu plusieurs chances pour une cybersécurité active d’empêcher cela au niveau de la messagerie, de l’accès à internet et sur le poste lui-même ?
Faisons plutôt en sorte que l’utilisateur, qui est assez sensibilisé et détecte une tentative de phishing, puisse aisément remonter cet incident au SOC et surtout soit remercié de sa contribution plutôt que de culpabiliser celui qui n’aura pas perçu cette menace et qui n’est pas plus à blâmer que les mesures de protections défaillantes.
Cela est peut être lié au fait que beaucoup d’organisations ont compris que la sécurité à 100% n’existe pas (bien entendu !) et que certaines technologies sur lesquelles on s’appuyait depuis des années, comme les anti-virus, ne sont plus suffisantes.
Mais cela s’est trop souvent traduit par « s’ils veulent entrer, ils le pourront… ». Et s’en est alors suivie une bascule des budgets sur la détection post-infection, la réaction et la remédiation.
Et attention, ne me faîtes pas dire ce que je n’ai pas dit, je ne minimise en rien l’importance du SOC et de ses activités pour une organisation. Ces secteurs de la cybersécurité sont essentiels mais ils ne doivent pas se développer au détriment des mesures de protections en amont, sinon c’est l’effet boule de neige assuré: plus d’incidents qui amènent plus de traitements, nécessitent plus de budget et plus de course derrière les attaquants et ensuite plus de reproches envers les utilisateurs…
Nous voyons, bien trop souvent, la balance des dépenses pencher vers la post-infection au détriment de la pré-infection traitée à minima.
Pourtant les dernières technologies s’appuyant sur le Machine Learning et le Deep Learning, lorsque qu’elles sont bien ciblées et entrainées, ont fait leurs preuves pour comprendre les intentions de l’expéditeur d’un email. Elles permettent également de détecter et donc bloquer plus efficacement les menaces connues mais aussi inconnues au sein d’un fichier ou lors de l’exécution sur un poste. Ou même de détecter en temps réels l’accès à une page de phishing pour empêcher l’utilisateur d’y entrer son mot de passe.
Finalement, si nous profitions de ce début d’année pour surtout prendre de bonnes résolutions, à la fois dans la bienveillance envers nos utilisateurs mais aussi afin de les protéger, eux, tout autant que le système d’information?