article#2 - HUBADVISER

Remettre l’humain au cœur de la sécurité de l’information.

Simon DEMESSANCE

La sensibilisation et de la responsabilisation de l’ensemble des acteurs sont les leviers que tout dirigeant devrait mettre en œuvre pour améliorer la sécurité de son SI.

Toutes les études et statistiques le démontrent, l’humain est le maillon faible de la sécurité de l’information.
Il existe de nombreuses raisons à ce constat : négligence, automatisme, facilité ou méconnaissance.

La mise en œuvre de solutions uniquement techniques n’est pas viable pour répondre aux enjeux de sécurité.

Nous le savons l’acquisition de solutions logiciel, d’infrastructure pour sécuriser l’ensemble de son système d’information a un coût qui peut difficilement être supporté.
Des choix « par défaut » ou au « rabais » sont alors fait, mettant en avant des risques qui ne sont pas comblés.
Trops souvent les aspects humains ou organisationnels sont mis de côté.
Pourtant investir dans l’humain sera plus bénéfique et aura plus d’impact que des environnements techniques mal compris ou mal paramétrés.
Mais alors comment faire pour sensibiliser, et responsabiliser l’ensemble des acteurs au sein d’une entreprise ?

Pour cela, tout dirigeant doit pouvoir s’appuyer sur 3 axes de travail :

1 – La sensibilisation
2 – Le test
3 – La sécurité organisationnelle

Tour d’horizon de ces 3 axes qui se veulent simples et accessibles à mettre en place avec peu d’investissement.

1. La sensibilisation

La sensibilisation est le meilleur moyen d’impliquer l’ensemble des acteurs au sein d’une entreprise en matière de sécurité de l’information.

Alors, comment réaliser une sensibilisation efficace ? Celle-ci s’articule autour de 3 étapes :

- – S’informer : la première étape va être de commencer par s’informer sur l’actualité qui nous concerne : la sécurité de l’information. Pour cela, en tant que dirigeant, je me dois de consulter régulièrement les tendances en matière de sécurité, afin de comprendre les enjeux et les risques qui pourraient peser sur mon business.

1. - – Se former : ensuite je participe à des sessions de sensibilisation dédiées aux dirigeants sur la sécurité de l’information. Les CCI et autres organismes régionaux proposent fréquemment ce type de formation d’une heure à une demi-journée.
  1. 1. 1. – Transmettre : la dernière étape va être celle de partager les informations essentielles à l’ensemble des collaborateurs ou certains acteurs clés via le partage de contenu, d’actualité ou d’article.

Ces étapes sont essentielles pour démarrer ce processus de sensibilisation. Elles devront être ensuite transposées et appliquées aux acteurs clés de l’entreprise que sont le DSI, le RSSI ou le DPO.

De nombreux sites et formations sont proposés gratuitement :

– Sites institutionnels : ANSSI, Cybermalveillance.gouv.fr, CNIL,
– Sites spécialisés : CLUSIF, ZDNET, Le Monde Informatique, Global Security Mag
– Formations et MOOC : Mooc de l’ANSSI sur la cybersécurité, MOOC de la CNIL sur le RGPD
– Conférences dédiées : Les Assises de la sécurité (Monaco), le Forum International de la Cybersécurité (Lille).

2. Tester

91% des attaques ciblées débutent par du phishing. Ce chiffre est révélateur sur la première faille en sécurité de l’information : l’humain. Il est l’un des principaux vecteurs de la cybercriminalité.
Mais alors pourquoi un antivirus, un antispam ne suffirais pas à me protéger ? Tout simplement parce que les emails de phishing vont être de plus en plus élaborés et indétectables par les solutions de protection technique habituelle. L’humain sera le dernier rempart face à ce type d’attaque.

Alors comment sensibiliser et former mes collaborateurs face à du phishing ?

« Un homme averti en vaut deux », ce proverbe est au cœur de la sensibilisation.
Tant que l’on n’a pas été confronté à une situation celle-ci restera une simple idée.

Lancez des campagnes de simulation de phishing et confronter ainsi vos collaborateurs. Les résultats obtenus seront le meilleur moyen de sensibiliser par l’exemple.
Pour être le plus efficace, ces campagnes de phishing devront ensuite être suivies par des formations pour expliquer à vos collaborateurs comment éviter les pièges.

Vous pouvez également créer des quizz ou scénarios afin de mettre les collaborateurs face à des risques maitrisés et en cohérence avec leurs activités métiers (exemple : simulation de ransomware, demande de mot de passe partagé).

Exemples de fournisseurs :

– Avantdecliquer.com

– Mailinblack.com

– Oeilpouroeilcreations.fr

3. Sécurité organisationnelle

Définition :

Ce sont les API qui permettent à vos applications de communiquer entre elles, elles jouent le rôle de passerelle entre vos différents logiciels.

Par exemple, c’est grâce à une API qu’une commande est enregistrée dans votre logiciel de facturation quand un produit est acheté sur votre site internet.

Alors comment gérer l’utilisation des réseaux sociaux ? l’envoi d’emails privés depuis la messagerie professionnelle ? l’utilisation des téléphones portables ? la gestion du BYOD ?

Mais également comment garantir une continuité de service en cas de panne majeur ? La mise en œuvre de redondance est-elle suffisante pour pallier aux besoins de disponibilité ?

Pour nous aider, il faut s’appuyer sur la norme ISO27001 qui va nous apporter plusieurs éléments de réponse. Cette norme spécifie des exigences relatives aux systèmes de management de la sécurité des informations (SMSI).
Ces exigences peuvent être reprises quel que soit la taille d’une entreprise, son cœur d’activité dès lors qu’elle traite des données tels que des données financières, des documents de propriété intellectuelle, les données relatives au personnel, des données de clients ou des informations confiées par des tiers.

Voici un panel d’exemples de mesures organisationnelles que toute entreprise devrait mettre en place pour sécurité son système d’information :

• Nommer un RSSI ou un référent sécurité et surtout lui donner les moyens humain et financier de réaliser ses missions. Faire appel à un service ou un consultant externe est une solution (exemple : RSSI à temps partagé).
• Créer une charte informatique : elle permet de responsabiliser et sensibiliser l’ensemble des collaborateurs. Car elle intègre les règles, les droits et les devoirs dans le cadre de l’utilisation du système d’information. Et ceci à un niveau juridique, donc une protection pour toutes les parties prenantes.
• Classifier ses données et ses accès : les données sont devenues l’or noir du XXIe siècle. L’ouverture au cloud et au Saas augmente le risque de fuites et donc met en péril vos activités. Mettre en place une protection centrée sur les données et leurs accessibilités permet de réduire ces risques. Ces protections passent par la classification des données afin qu’une donnée ne doit être accessible qu’aux personnes autorisés.
• Définir une politique de sauvegarde : formaliser par écrit ce qui doit être sauvegardé, à quelle fréquence, sous quel format et quelle durée ? Vérifier son application est essentielle pour garantir la pérennité de vos données.
• Réaliser un PRA/PCA : la mise en œuvre d’un plan de reprise ou de continuité d’activité sera votre solution de secours pour palier à tous risques sur vos activités. Un PRA est un ensemble de procédures (techniques, organisationnelles, sécurité) qui va permet à votre entreprise de prévoir par anticipation, les mécanismes pour reconstruire et remettre en route votre système d’information en cas de sinistre important ou d’incident critique.

Pour résumé, les solutions techniques pour vous protégez des attaques ne sont pas suffisantes et ne couvrent pas les risques internes intentionnels ou non. Les erreurs humaines existent mais elles peuvent être réduites par la sensibilisation et la responsabilisation de chacun des maillons de la chaine.
N’hésitez pas à faire appel à des entreprises spécialisées pour vous conseiller et vous accompagner dans cette démarche.

Pour cela, vous pouvez consulter les entreprises labélisées « France Cyber »

– https://www.francecybersecurity.fr/
– gage de qualité par l’ANSSI.