Sécurité informatique : le facteur humain

Sécurité informatique :
le facteur humain

Sécurité informatique : le facteur humain

Ils savent ce qu’ils font et pourtant… Nous avons interviewé Timo Neumann, Expert en sécurité informatique auprès de l’Imprimerie fédérale allemande. Il nous parle du facteur humain et de ce que l’on peut faire pour contrer l’insécurité qu’il génère.

Ces dernières années, les cyberattaques contre les entreprises se sont multipliées – le  logiciel de rançon Wannacry n’est qu’un exemple parmi beaucoup d’autres. Les employés eux-mêmes et leur négligence (bien qu’involontaire la plupart du temps) sont souvent à l’origine des fuites de données. Timo Neumann, Expert en sécurité informatique auprès de l’Imprimerie fédérale allemande (Bundesdruckerei), explique comment cela arrive et pourquoi les informaticiens devraient travailler en plus étroite collaboration avec des psychologues.

Monsieur Neumann, quel rôle le comportement humain joue-t-il dans la protection des infrastructures informatiques contre toute utilisation abusive ?

L’étude sur la sécurité informatique dans le cadre de la numérisation* que nous avons menée avec l’association professionnelle BITKOM révèle que 100 % des entreprises interrogées utilisent des outils techniques importants comme des pares-feux, des anti-virus, etc. Mais simultanément, environ 50 % de toutes les entreprises voient un potentiel d’amélioration au niveau de l’organisation, en d’autres termes dans le comportement de leurs propres collaborateurs. Car dans la perspective de la sécurité informatique, chaque collaborateur représente tout d’abord une faille dans le système. Et c’est cette faille humaine qui est le plus souvent exploitée.

Les employés ne sont-ils pas pleinement conscients de l’importance de la sécurité informatique ?

Oui et non. L’étude nous apprend par exemple que 91 % des collaborateurs interrogés sont conscients qu’il ne faut pas utiliser les mêmes mots de passe plusieurs fois. 82 % savent aussi qu’ils devraient utiliser une combinaison de lettres, chiffres et caractères spéciaux. Mais la majorité des personnes interrogées ne le font pas. Il y a ici un delta évident entre ce que les gens savent et ce qu’ils mettent en pratique.

Les mots de passe sont un aspect de la sécurité informatique qui a beaucoup évolué ces dernières années. La règle « Plus un mot de passe est long et complexe, plus il faut de temps pour le découvrir et plus le système est sécurisé » est-elle encore d’actualité ?

Il est exact que pendant longtemps, les services en ligne américains recommandaient d’appliquer la règle « des mots de passe d’au moins huit caractères composés de lettres, chiffres et caractères spéciaux ». Mais même si l’on applique cette règle, on ne rend pas la vie plus compliquée aux hackeurs mais plutôt à soi-même, parce que le mot de passe est plus difficile à mémoriser. La sécurité d’un mot de passe dépend du contexte. Si l’on souhaite accéder à un service en ligne, l’opérateur peut sensiblement mieux en garantir la sécurité que le simple utilisateur. Il peut facilement détecter que des personnes non autorisées testent des mots de passe à de multiples reprises de manière à accéder aux comptes et est en mesure de couper court à ces tentatives. Cela fonctionne mieux qu’un mot de passe de vingt-sept caractères. Quant à l’accès hors ligne à des appareils ou des services, par exemple à son propre ordinateur, il faut évaluer les aspects de la sécurité tout à fait autrement. Dans ce cas, il peut être utile de stocker les données importantes dans un Cloud sécurisé.

Outre les mots de passe, quels sont les facteurs d’insécurité dans le domaine informatique, particulièrement au niveau des collaborateurs d’une entreprise ?

Il faudrait d’abord prendre conscience du fait que certaines personnes au sein de l’entreprise gèrent des données sensibles, et d’autres, des données qui le sont moins. Par exemple, un administrateur informatique en sait nettement plus sur le réseau de la société et d’éventuelles failles de sécurité, et a accès à nettement plus de données que les autres employés. Chaque entrepreneur devrait donc réfléchir aux groupes d’utilisateurs faisant partie du réseau de sa société, et à quelles informations et à quels services ceux-ci devraient avoir accès ou pas. Les accès devraient être limités en fonction de cette analyse. Le vol de données via des courriels falsifiés ou le hameçonnage constitue également une question importante. Les entreprises devraient sensibiliser régulièrement leur personnel et les amener à faire attention aux expéditeurs des courriels et à la nature des textes, liens, téléchargements et pièces jointes. Il faut également réfléchir à ce que deviennent les savoirs et les informations que les collaborateurs conservent lorsqu’ils quittent l’entreprise.

A votre avis, les entreprises sont-elles suffisamment sensibilisées à la question de la sécurité informatique ?

Grâce à l’étude « Sécurité informatique dans le cadre de la numérisation »*, nous savons que 54 % des entreprises interrogées ont rencontré un incident de sécurité au cours de 24 mois précédant l’enquête. Les entreprises sont sensibilisées à cette thématique, inévitablement. Mais la question est de savoir – et cela vaut aussi au niveau de chacun des collaborateurs – si les consignes de sécurité sont respectées. Au moins 60 % des entreprises interrogées prévoient d’investir de plus en plus dans la sécurité informatique ces prochaines années. Personnellement, je trouve dommage que beaucoup d’entreprises considèrent encore la sécurité informatique plus souvent comme un obstacle que comme une opportunité pour l’entreprise même. La sécurité informatique est pour moi une condition indispensable au succès de la numérisation de l’entreprise même.

Que peuvent faire les entreprises pour sensibiliser leurs collaborateurs et les rallier à la cybersécurité ?

On doit faire comprendre aux gens à quel point les données privées et professionnelles sont désormais liées, et qu’une attaque sur des données professionnelles peut aussi signifier une attaque sur les données privées qui y sont associées. Les employés qui ouvrent des courriels douteux sur l’ordinateur de société plutôt quà la maison sont nettement plus nombreux. Ils pensent que la sécurité informatique relève du ressort des experts IT et n’est pas de leur responsabilité. Ce n’est pas exact. On doit faire comprendre aux employés que chacun est co-responsable de la sécurité informatique. Par exemple, en organisant des ateliers où on leur montre ce qui peut se passer lors d’une attaque, tant au niveau informatique que sur le travail des collègues. Cela fonctionne très bien.

Dans quelles mesures un système et la sécurité de ce système sont-ils contrôlables ?

Il y aura toujours des failles. La sécurité informatique est un domaine en constante évolution. Par exemple, de nouvelles mises à jour de logiciels apparaissent chaque jour. Il faut investir dans une technologie de qualité ainsi que dans la formation des collaborateurs, renouveler et actualiser constamment les connaissances acquises. Les chefs d’entreprise devraient garder à l’esprit que le niveau de sécurité ne sera jamais absolu.

Les dommages causés par les cyberattaques se chiffrent à dix milliards d’euros par an. Dans un tel contexte, les investissements dans la cybersécurité sont une nécessité absolue pour les entreprises. Les experts du secteur estiment que ce sont les entreprises de taille moyenne qui restent encore insuffisamment protégées.

* Etude menée en Allemagne

Crime 4.0 : crime numérique

La complexité croissante des technologies de l'information et de la communication posent des défis majeurs à la sécurité informatique sur le lieu de travail. Téléchargez notre étude sur la thématique.

2018-03-05T12:25:22+00:00