Sensibilisation ou mesures techniques : plaidoyer pour les salariés et agents

Sensibilisation ou mesures techniques : plaidoyer pour les salariés et agents

La cybersécurité est devenue un enjeu majeur pour toutes les entreprises. Chaque semaine, une nouvelle attaque par ransomware, une nouvelle fuite de données, ou une compromission de messagerie fait la Une de la presse. Souvent, le discours est le même : « l’employé a cliqué », « il n’a pas reconnu l’e-mail frauduleux », « il manquait de vigilance », « il travaillait dans le train ». Si l’importance de la responsabilisation des salariés est indiscutable, il est aussi temps de remettre les pendules à l’heure : l’entreprise ne peut pas se dédouaner de ses responsabilités de protection de ses systèmes sous prétexte d’erreurs humaines.

La sensibilisation : une brique, peut-être la dernière, pas une muraille

Commençons par l’évidence : oui, les salariés doivent être sensibilisés. Il est essentiel que chaque collaborateur comprenne les risques liés au phishing[1], aux pièces jointes douteuses et les enjeux de la protection de leurs informations d’authentification. Il est vital qu’il sache comment réagir en cas de doute, et à qui remonter une suspicion d’évènement de sécurité.

Mais croire que la formation seule suffit à protéger son organisation est une facilité dangereuse. En réalité, même un collaborateur bien formé peut se faire piéger. Parce que les attaques deviennent plus sophistiquées, plus personnalisées, plus insidieuses. Parce qu’en situation de stress, de fatigue ou de surcharge cognitive, la vigilance diminue. Cette situation est courante et doit être prise en considération dans la mise en œuvre des barrières techniques de l’organisation.

Alors non, une cyberattaque réussie ne doit pas automatiquement être imputée à un salarié imprudent dont « le manque de vigilance » aurait été exploité. Il faut aussi – et surtout – se poser la question : l’organisation avait-elle mis en place les barrières et protections appropriées ?

Phishing : la faute du salarié ou de l’infrastructure ?

Prenons l’exemple du phishing, souvent pointé du doigt pour sa simplicité d’usage et son efficacité. En cas de succès d’une tentative d’usurpation, il peut être aisé de diriger la faute vers le salarié ciblé, mais l’organisation avait-elle :

• Déployé et configuré correctement les outils permettant de vérifier l’origine et l’intégrité du contenu du mail avant de le diriger vers son collaborateur (SPF, DKIM et DMARC) ?
• Mis en place des filtres d’analyse d’e-mails capables de détecter les tentatives de phishing connues ou suspectes ?
• Déployé un moteur d’analyse d’URL pour sandboxer les liens malveillants avant même que l’utilisateur ne les ouvre ?
• Segmenté les accès réseau pour limiter les possibilités de l’attaquant en cas de compromission ?

Si elle n’a pas mis en place ces protections, alors l’organisation porte sa part de responsabilité car elle n’a pas pris les précautions raisonnables pour éviter une attaque.

Il est important de rappeler aux salariés leurs obligations en termes de contribution à la sécurité de leur organisation. Cependant, la sécurité d’un entrepôt ne serait pas confiée à un agent sans lui donner de caméras, d’alarme, ni de consignes claires. Alors pourquoi confier la sécurité numérique à des utilisateurs sans leur fournir les protections adéquates ?

Il demeure important de préciser que la jurisprudence actuelle positionne rarement la responsabilité pénale de la réalisation d’une cyberattaque ciblant le salarié. Les conséquences d’un manquement pour le collaborateur relèvent plutôt des processus de discipline internes.

La posture de sécurité doit être défensive et proactive

Il ne s’agit pas de choisir entre formation et technologie, mais de comprendre qu’une stratégie de cybersécurité efficace repose sur la combinaison intelligente des deux. Une organisation mature sur le plan cyber :

• automatise la détection et la réponse aux incidents ;
• cloisonne ses systèmes critiques ;
• applique des mises à jour de sécurité en temps voulu ;

Mieux encore, elle considère la sensibilisation comme un complément (par exemple : utilisation de mots de passe robustes) à ses défenses techniques. La formation des collaborateurs doit être un levier permettant à ces derniers d’être contributeurs, par leur utilisation appropriée des systèmes, à la posture de sécurité globale de leur organisation. A l’inverse, à force de les désigner comme les maillons faibles de la sécurité, on accroit la probabilité qu’ils finissent par se désengager ou par dissimuler leurs erreurs ou constats d’évènement de sécurité au lieu de les signaler, ce qui porterai préjudice à l’organisation ainsi qu’aux collaborateurs auxquels ce manque de communication pourrait être reproché.

En conclusion : Responsabiliser les utilisateurs ne permet pas aux organisations de se dédouaner de leur devoir de protection

Les salariés d’une organisation doivent être sensibilisés, entraînés, responsabilisés, l’humain reste un des premiers vecteurs d’attaque et constitue donc l’un des premiers remparts à celles-ci. Cependant, cette défense doit s’inscrire dans une politique globale, conciliant gouvernance et solutions techniques.

L’organisation a le devoir de mettre en œuvre des mesures de sécurité à l’état de l’art. Cela ne garantit pas une sécurité absolue – rien ne le fait – mais cela permet de confier au collaborateurs les armes pour lui permettre de contribuer à la sécurité de son organisation et non d’en être un « maillon faible ».

Sensibilisation, oui. Mais accompagnée, outillée, et intégrée dans une posture de sécurité cohérente. Sinon, le but poursuivi s’apparente à un transfert de responsabilité.

Et vous, votre organisation mise-t-elle sur la sensibilisation comme un élément parmi d’autre de sa sécurité… ou s’appuie-t-elle aussi sur la culpabilisation ?