Cybersécurité : que fait-on après la sensibilisation ?
Plutôt que de laisser l’utilisateur dans une posture défensive, voire passive, pourquoi ne pas en faire un relais de la fonction sécurité de l’information, véritable vigie à l’affut des menaces ?
L’adage veut que la première vulnérabilité de l’entreprise se trouve entre la chaise et la souris. Le fait est que le facteur humain joue un rôle clé. Mais il est ambivalent. Plutôt que d’appréhender l’utilisateur final sous l’angle du maillon faible, de plus en plus d’organisations l’envisagent comme une première ligne de défense. Cela passe par la sensibilisation, la formation, mais aussi par la mise en place d’outils et de processus adaptés à la collecte des signaux observés et remontés par ce nouveau front de la cybersécurité.
A priori, le sujet peut paraître simple. Mais Jérôme Saiz, consultant, qui animait une table à ce propos lors des Assises de la Sécurité, la semaine dernière à Monaco, a pu mesurer à quel point il est en fait clivant, selon ses propres termes : à cinq jours de la table ronde, il lui a fallu chercher de nouveaux participants. Dans certains cas, le fameux point Godwin a même pu sembler particulièrement proche, avec l’évocation des « heures les plus sombres de notre histoire » à l’idée de faire des utilisateurs les yeux et les oreilles de la sécurité de l’information.
Stéphane Tournade, RSSI des laboratoires Servier, Nicolas Vielliard, responsable de l’espace RSSI du Clusif, Kevin Heydon, directeur sécurité de l’information du groupe L’Occitane, et Fabien Malbranque, RSSI du ministère des Affaires Sociales, ont toutefois accepté de participer à débat qui s’est finalement avéré peu houleux et particulièrement constructif.
Quel niveau de sensibilisation requis ?
La première question consiste naturellement à savoir quel niveau de sensibilisation doit être atteint pour pouvoir commencer à s’appuyer sur les utilisateurs dans le cadre de sa stratégie de sécurité. Et pour Nicolas Vielliard et Kevin Heydon, il n’est pas nécessaire de placer la barre particulièrement haut : « il faut juste qu’ils soient en mesure de déceler », et cela passe notamment par une bonne appréhension des enjeux.
Mais Fabien Malbranque s’interroge : l’efficacité des campagnes de sensibilisation est-elle bien et suffisamment mesurée ? Cette question trouve son origine dans un constat : « à chaque fois que l’on fait un exercice de phishing, 30 % des utilisateurs cliquent. Lors du dernier, nous avons même récupéré des identifiants de connexion sur un faux site Web monté pour l’occasion ». Alors comme il l’évoque – et il n’est pas le seul, le Cercle des femmes de la cybersécurité (Cefsys) milite également en ce sens – peut-être faut-il commencer au plus tôt la sensibilisation, à l’école.
Mais dans la pratique, Stéphane Tournade reconnaît lui-même pouvoir se faire piéger par des campagnes toujours plus sophistiquées. Alors son approche consister à cibler la sensibilisation. Et de prendre l’exemple du risque d’arnaque au président : « on essaie d’embarquer les utilisateurs les plus concernés, comme les comptables, les directeurs financiers », jusqu’à les sensibiliser dans leurs séminaires. Résultat ? « En quatre ans, nous avons été victimes de seulement deux arnaques au président, pour un total de 13 000 euros ».
Un circuit de signalement court
Mais la sensibilisation ciblée n’est pas le seul secret de cette réussite : celle-ci doit aussi à l’organisation de la gestion des signalements. Au sein des laboratoires Servier, c’est ainsi un circuit court de remontée des signalements qui a été mis en place : « à la moindre suspicion, c’est un transfert de l’e-mail non pas vers le ticketing du support, mais vers les équipes de sécurité opérationnelle ».
Et pour Kevin Heydon, c’est effectivement là un point clé : « le circuit court est un facteur de proximité avec une équipe bien identifiée, l’équipe sécurité ». Il relève que cela suppose « qu’elle soit vue comme un facilitateur » et, surtout, qu’elle soit très rapide à répondre, « pas forcément avec tout le détail tout de suite, mais au moins confirmer une prise en charge ».
Et si cela peut contribuer à créer la confiance, à encourager les contributeurs à recommencer, il faut aller au-delà et rassurer, même lorsque le signalement s’avère être un faux positif. Là, il faut savoir dire : « la prochaine fois, n’hésite pas à faire de nouveau appel à nous ; non, tu ne nous a pas dérangés, nous avons fait notre métier, grâce à toi ».
Eviter toute forme de stigmatisation
Et pour entretenir la confiance, il convient aussi de ne pas stigmatiser ceux qui ont bien involontairement cliqué, par exemple, sur un lien malveillant : « ça peut arriver à tout le monde », rappelle Nicolas Vielliard. Fabien Malbranque renchérit : pour éviter la stigmatisation, il faut par exemple s’organiser avec les équipes support pour pouvoir fournir rapidement une machine de remplacer à un utilisateur dont le poste aurait été compromis. Sinon, « on prend une fois le PC, et on n’obtient plus jamais de signalement… l’utilisateur s’en va prendre un café, et affirme ‘c’est pas moi’ ».
Et sa réflexion va plus loin : « aujourd’hui, dans l’entreprise ou l’administration, on a souvent des approches individualistes, avec des primes accordées sur la base des performances individuelles ». Mais pour réussir l’amélioration de la posture de sécurité, pour amener les utilisateurs à en être les acteurs, ça ne fonctionne pas : « il faut une stratégie de groupe, montrer un objectif et emmener tout le monde vers cet objectif ». Alors pour lui, on dépasse là la « stratégie technique » pour toucher à la « stratégie managériale ».
Kevin Heydon n’est pas sur une autre ligne. Et de prendre l’exemple des entreprises qui jouent la carte des primes collectives lorsqu’il n’y a pas eu d’accident de travail dans les usines : « c’est la même logique ; on part du principe que tout le monde aurait pu alerter sur ce qui peut être une source d’accident ».
Organiser remontée et traitement des signalements
Et puis la confiance repose aussi sur d’autres facteurs, comme par exemple assurer qu’il n’y aura de sur-réaction, ni rien susceptible de mettre en porte-à-faux les auteurs de signalements – certains peuvent souhaiter rester parfaitement anonymes –, surtout en cas de faux-positif sur des soupçons de menace interne. Et cela participe aussi du respect « du besoin d’en connaître », que ne manque pas de rappeler Fabien Malbranque : « on en veut pas mettre au courant l’indélicat concernés… »
Une fois que l’approche est bien encadrée d’un point de vue managérial, reste la question, est pas des moindres, de la gestion des signalements : « c’est bien de mettre en place un mécanisme de remontée d’incidents, mais il faut aussi s’organiser pour traiter, sinon c’est comme une chasse d’eau qui se remplit et finit par déborder ».
Et là, tous les participants semblent d’accord pour souligner l’importance de casser les silos, jusqu’à chercher à travailler avec les personnes chargées de la sécurité physique : le local d’une baie de brassage forcé peut constituer un signalement important… Mais pour Kevin Heydon, en fait, ne pas savoir tout traiter n’est pas forcément pénalisant, au moins au début : « cela permet déjà de quantifier », de savoir de quoi l’on parle.
Quant aux outils à utiliser pour remonter les incidents, ils n’apparaissent finalement pas si importants… Application mobile ? Slack ? E-mail ? « Ils ont déjà WhatsApp », ironise Fabien Malbranque.