La communauté de la cybersécurité se concentre généralement sur la technologie pour traiter les questions et les problèmes de sécurité, en négligeant « l'élément humain », alerte le National Institute of Standards and Technology (NIST).
Ce faisant, elle reprend les propos d’une de ses expertes, Julie Haney (*), auteur d’un article récent sur le sujet (cliquer ici), « les professionnels de la cybersécurité ne peuvent et ne doivent pas ignorer l'apport humain, mais au contraire le prendre en compte de manière significative et adéquate ».
Prends garde à ton TSL v 1.0, ton DNS est fragilisé, gaffe au SQL, ton AD va prendre un golden Ticket via MimiKatz, tout est patché ?
« Les spécialistes de la cybersécurité sont souvent des professionnels compétents et dévoués qui rendent d'immenses services en nous protégeant des cybermenaces. Mais malgré leurs intentions les plus nobles, la forte dépendance de leur communauté à l'égard de la technologie pour résoudre les problèmes de sécurité peut les décourager de prendre en compte de manière adéquate l'élément humain, qui joue un rôle majeur dans une sécurité efficace et utilisable ». Ce qu'il faut, suggère M. Haney, c'est un « changement d'attitude » en matière de cybersécurité. Nous parlons aux utilisateurs dans une langue qu'ils ne comprennent pas, nous les accablons et les rabaissons, mais nous attendons toujours d'eux qu'ils soient d'excellents praticiens de la sécurité. Parfois même, nous utilisons la sémantique comme un instrument de pouvoir. À vaincre sans péril, on triomphe sans gloire qui confond Pro domo et Pro bono. D’aucuns vont jusqu’à dire que certains se copient les uns les autres au nom d’intérêt particuliers. C’est le Pro bonobo !
Idées fausses sur la cybersécurité
Tous les professionnels de la sécurité ne considèrent pas la cybersécurité de manière holistique et stratégique cantonnés qu’ils sont à des considérations techniques. Bon nombre d'équipes ont tendance à ignorer l'élément humain de la sécurité. Les mauvaises langues prétendant que l’élément humain ne constitue pas un marché alors que les outils peuvent construire des rentes (antivirus par exemple). Les idées fausses demeurent donc « répandues » au sein de la communauté :
- Supposer que les utilisateurs ne savent rien. Bien que les gens commettent des erreurs, le fait de rabaisser les utilisateurs peut entraîner une relation malsaine entre les utilisateurs et les professionnels de la cybersécurité, du type "nous contre eux". Une solution potentielle consiste à établir des relations positives avec les utilisateurs tout en leur donnant les moyens d'être des partenaires actifs et compétents en matière de cybersécurité.
- Ne pas adapter les communications au public. Les professionnels de la sécurité utilisent souvent un jargon technique qui réduit l'engagement du public, et ils ne parviennent pas toujours à adapter les cours de manière à ce que les utilisateurs se sentent concernés dans leur vie quotidienne.
- Créer involontairement des menaces internes en raison d'une mauvaise ergonomie. Les utilisateurs qui sont déjà poussés à bout par des contraintes de temps ou d'autres distractions peuvent involontairement devenir eux-mêmes des menaces, car ils deviennent enclins à prendre de mauvaises décisions.
- Trop de sécurité. Bien que l'utilisation systématique des outils les plus sûrs disponibles semble sage en principe, certains utilisateurs peuvent trouver la complexité qui en résulte étouffante pour leur travail quotidien, ce qui les conduit à enfreindre plus fréquemment les politiques de sécurité.
- Dépendre de mesures punitives ou de messages négatifs pour inciter les utilisateurs à se conformer. Offrir des incitations positives aux employés qui réagissent de manière appropriée aux menaces peut améliorer les attitudes à l'égard de la sécurité, tout comme l'adoption d'une approche collaborative avec les utilisateurs en difficulté.
- Ne pas prendre en compte les mesures d'efficacité centrées sur l'utilisateur. Il est utile de considérer les mesures concrètes comme des identificateurs de symptômes, tels que les appels au service d'assistance qui révèlent les points douloureux des utilisateurs et les incidents tels que les clics de phishing qui peuvent montrer où les utilisateurs ont besoin de plus de soutien.
Un pour tous, tous pour un
« Haney termine en affirmant que « les professionnels de la cybersécurité ne peuvent pas espérer que les utilisateurs se sentent en sécurité, ces « experts verticaux » ils ne peuvent pas non plus résoudre seuls les défis actuels en matière de cybersécurité. La cybersécurité est un effort collectif qui nécessite l'engagement de tous les membres d'une organisation ». Y a plus qu’à.
(*) Julie Haney mène des recherches sur l'élément humain de la cybersécurité, y compris la facilité d'utilisation l'utilisation et l'adoption de solutions de cybersécurité, les pratiques de travail des professionnels de la cybersécurité et les perceptions de la vie privée et de la cybersécurité, de la vie privée et de la cybersécurité. Avant de rejoindre le NIST en 2018, Julie a passé plus de 20 ans à travailler au sein du ministère américain de la Défense en tant que directrice technique de la cybersécurité, où elle a mené des évaluations de la vulnérabilité, rédigé des documents d'usage courant sur les questions de sécurité et de sécurité. Elle est titulaire d'un doctorat en informatique centrée sur l'homme de l'université du Maryland, Baltimore County, d'une maîtrise en informatique de l'université du Maryland et d'une licence en* informatique de l'université Loyola du Maryland.
Pause exceptionnelle de votre newsletter
En cuisine avec le Dr Dominique Dupagne
[VIDÉO] Recette d'été : la chakchouka
Florie Sullerot, présidente de l’Isnar-IMG : « Il y a encore beaucoup de zones de flou dans cette maquette de médecine générale »
Covid : un autre virus et la génétique pourraient expliquer des différences immunitaires, selon une étude publiée dans Nature