Aleksandr Bedrin - Fotolia

Faire des utilisateurs les yeux et les oreilles de la fonction sécurité

L’importance de la sensibilisation des utilisateurs aux questions de sécurité informatique apparaît bien admise. Mais quelle voie emprunter au-delà ? Ce sera l’objet d’une table ronde aux Assises de la Sécurité.

La question de la sensibilisation des utilisateurs à la sécurité informatique n’est pas un sujet nouveau. L’agence européenne pour la sécurité des réseaux et de l’information (Enisa) s’apprête à organiser pour la septième année consécutive le mois de la cybersécurité. Début 2013, le Royaume-Uni lançait de son côté un vaste programme de sensibilisation visant principalement les consommateurs et les PME. Quelques mois plus tard, Palo Luka, alors CTO d’Eset, estimait que la sensibilisation des utilisateurs était essentielle. C’était un peu plus d’un an après que PwC ait souligné la valeur des programmes ad hoc.

A fil des ans, les initiatives se sont multipliées, comme celles de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), avec son guide d’hygiène de base, ou tout récemment son MOOC, ou du Cigref, fin 2015. Et c’est sans compter avec le développement de plateformes dédiées, comme celle de Conscio.

De vrais efforts de sensibilisation

Toutefois, début 2016, selon une étude réalisée par Wavestone et Conscio, la sensibilisation apparaissait comme un chantier à peine entamé. Quelques mois plus tard, une étude de l’institut Ponemon pour Experian concluait à l’insuffisance des efforts de sensibilisation. Et pourtant, selon une étude Redshift pour Palo Alto Networks, cela fonctionne et aide les utilisateurs à adopter des postures plus prudentes.  

Pour Jérôme Saiz, fondateur et CEO d’Opfor Intelligence, qui animera une table ronde, aux prochaines Assises de la Sécurité, sur la place de l’utilisateur dans la stratégie de cybersécurité, un cap a aujourd’hui été franchi : « la situation est bien meilleure aujourd’hui qu’il cinq ou six ans. De gros progrès ont été faits dans l’éducation des utilisateurs ».

Et de nombreux éléments sont là pour lui donner raison. L’édition 2016 de l’étude TechTarget sur les priorités des investissements IT montrait que les entreprises prenaient de plus en plus au sérieux la sensibilisation des utilisateurs finaux. Une étude de l’institut Ponemon pour IBM confirmait cette tendance en début d’année. Une autre, d’Osterman Research pour Malwarebytes l’a encore fait tout récemment.

Mais comment aller au-delà ?

Mais voilà, les attaquants ne sont pas restés les bras croisés. Si le hameçonnage continue de constituer une importante menace, c’est bien que les cyber-délinquants ont affiné leurs pratiques. Alors pour Jérôme Saiz, il est aujourd’hui temps de franchir une nouvelle étape, d’aller « plus loin dans la relation entre la fonction sécurité de l’entreprise, et les utilisateurs ».

Son idée ? « Les utilisateurs pourraient être les yeux et les oreilles de la fonction sécurisé, de manière très distribuée au sein de l’entreprise. L’étape suivante, ce n’est pas la communication de masse, mais quelque chose de plus collaboratif ».

L’idée rappelle des approches de la sécurité collective dans le monde physique comme qui consiste à demander aux voyageurs de signaler les bagages laissés sans surveillance : « effectivement », relève Jérôme Saiz qui entend en fait débattre de la manière « d’encadrer et d’industrialiser » la démarche. Car « une fois que l’on a sensibilisé les utilisateurs à la détection d’anomalies, encore faut-il se donner les moyens de gérer les alertes correspondantes ».

Alors certes, la vigilance est une chose qui peut s’émousser. Mais la sensibilisation, en continu, peut aider. En outre, la relation de subordination qui lie l’employé à son employeur peut constituer un contexte propice au maintien de cette vigilance, estime Jérôme Saiz.

L’enjeu de l’industrialisation

D’une certaine façon, certains se sont déjà engagés dans cette voie. Et l’on pense par exemple à Dropbox, qui utilise un chatbot pour interroger ses utilisateurs dont les activités ont généré des alertes.

Et c’est bien là tout le sujet, pour Jérôme Saiz : « quoi mettre en place pour que ce soit légal, pour que cela puisse s’appliquer à grande échelle, pour que ce soit utile et pour en retirer des décisions et des actions ? » Et de faire un parallèle avec des applications citoyennes « mises en place par certaines communes, pour faire remonter rapidement les incidents observés sur la voirie, notamment ». Des outils d’ITSM et de service desk pourraient également s’insérer dans une telle approche.

Mais Jérôme Saiz s’intéresse aussi aux applications de rondiers, inscrivant sa réflexion dans une démarche globale, intégrant sécurité informatique et sûreté, où les utilisateurs sont en définitive impliqués, sans pour autant s’en rendre pleinement compte.

Se pose ensuite la question de la gestion des « incidents » remontés, de leur normalisation, et de leur traitement, « pour que l’étage suivant, d’analyse, puisse faire le lien entre une ouverture de session utilisateur pendant la nuit, et une effraction ». Là, encore, dans une logique d’approche globale de la sécurité. Et qui n’a rien d’utopique : à l’occasion de l’édition 2013 des Assises de la Sécurité, Volkswagen témoignait de sa stratégie de gestion consolidée des accès physiques et logiques.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close