Cybersécurité

Le rôle de l'erreur humaine en cybersécurité

Il n’y a pas une seule personne vivante qui ne fasse jamais d’erreurs. En fait, l’erreur fait partie intégrante de l’expérience humaine – c’est ainsi que nous grandissons et apprenons. Pourtant, en matière de cybersécurité, les erreurs humaines sont bien trop souvent négligées.

Selon une étude d’IBM, l’erreur humaine est la principale cause de 95 % des violations de la cybersécurité. En d’autres termes, si l’on parvenait à éliminer totalement l’erreur humaine, 19 cyber-violations sur 20 n’auraient peut-être pas eu lieu du tout !

Alors, pourquoi l’erreur humaine est-elle à l’origine de tant de violations, et pourquoi les solutions existantes n’ont-elles pas réussi à y remédier ? Examinons l’histoire de l’erreur humaine et ce que vous pouvez faire pour améliorer le comportement cybernétique des employés dans votre organisation.

Qu'est-ce que l'erreur humaine dans la sécurité informatique ?

Lorsque l’on parle d’erreur humaine dans le domaine de la cybersécurité, la signification de ce terme est légèrement différente de son utilisation en termes plus généraux.

Dans un contexte de sécurité, l’erreur humaine désigne les actions non intentionnelles – ou l’absence d’action – des employés et des utilisateurs qui provoquent, propagent ou permettent une violation de la sécurité.

Cela englobe un large éventail d’actions – du téléchargement d’une pièce jointe infectée par un logiciel malveillant à l’absence d’un mot de passe fort – ce qui explique en partie pourquoi il peut être si difficile d’y remédier.

Avec nos environnements de travail de plus en plus avancés et compliqués, nous utilisons un nombre croissant d’outils et de services – et nous avons des noms d’utilisateur, des mots de passe et d’autres choses à retenir pour chacun d’eux. Tout cela s’accumule, et lorsqu’ils ne disposent pas de solutions alternatives et sécurisées, les employés commencent à prendre des raccourcis pour se faciliter la vie.

Comme si cela ne suffisait pas pour que les utilisateurs finaux aient du mal à prendre les bonnes décisions, ils doivent également faire face à la menace constante des cybercriminels qui influencent leurs décisions. L’ingénierie sociale joue un rôle de plus en plus important dans tous les types de failles de sécurité. Elle est utilisée pour exploiter la capacité des employés à remettre des données ou des informations d’identification entre les mains d’acteurs malveillants sans qu’ils aient à écrire une seule ligne d’un programme malveillant ou d’un logiciel d’exploitation.

Types d’erreurs humaines

Si les possibilités d’erreur humaine en cybersécurité sont presque infinies, elles peuvent être classées en deux catégories : les erreurs basées sur les compétences et les erreurs basées sur les décisions. La différence entre les deux se résume essentiellement à la question de savoir si la personne disposait ou non des connaissances nécessaires pour effectuer l’action correcte.

Erreurs liées aux compétences

L’erreur humaine basée sur les compétences consiste en des dérapages et des oublis : de petites erreurs qui se produisent lors de l’exécution de tâches et d’activités familières. Dans ces scénarios, l’utilisateur final sait ce qu’il faut faire, mais ne le fait pas en raison d’un oubli, d’une erreur ou d’une négligence temporaire. Ces erreurs peuvent se produire parce que l’employé est fatigué, n’est pas attentif, est distrait ou a un bref trou de mémoire.

Erreurs basées sur la décision

On parle d’erreurs basées sur des décisions lorsqu’un utilisateur prend une décision erronée. Plusieurs facteurs peuvent entrer en ligne de compte : souvent, l’utilisateur n’a pas le niveau de connaissances nécessaire, ne dispose pas de suffisamment d’informations sur les circonstances spécifiques, ou ne se rend même pas compte qu’il prend une décision par son inaction.

Réduisez les erreurs humaines grâce à une formation efficace de sensibilisation à la sécurité.

Découvrez comment Inovency aide les entreprises à adopter un comportement sûr grâce à une formation de sensibilisation à la cybersécurité intelligemment adaptée- que vos employés vont adorer.

Exemples d’erreurs humaines dans les entreprises

L’erreur humaine peut compromettre la sécurité de votre entreprise d’un nombre presque infini de façons différentes, mais certains types d’erreurs sont plus fréquents que d’autres. Jetons un coup d’œil à certaines de ces erreurs très courantes.

Livraison erronée

La mauvaise livraison – l’envoi de quelque chose à un mauvais destinataire – est une menace courante pour la sécurité des données des entreprises. Selon le rapport 2018 de Verizon sur les brèches, les erreurs de livraison étaient la cinquième cause la plus fréquente de toutes les brèches de cybersécurité. Comme de nombreuses personnes s’appuient sur des fonctionnalités telles que les suggestions automatiques dans leurs clients de messagerie, il est facile pour tout utilisateur d’envoyer accidentellement des informations confidentielles à la mauvaise personne s’il ne fait pas attention.

L’une des violations de données les plus graves causées par une erreur humaine est survenue lorsqu’un cabinet du NHS a révélé les adresses électroniques (et donc les noms) de plus de 800 patients qui s’étaient rendus dans des cliniques VIH. Comment l’erreur s’est-elle produite ? L’employé qui envoyait une notification par courrier électronique aux patients atteints du VIH a accidentellement entré leur adresse électronique dans le champ « à », plutôt que dans le champ « bcc », exposant ainsi leurs coordonnées les unes aux autres. Il s’agit d’un exemple classique d’erreur basée sur les compétences, car l’employé connaissait la bonne marche à suivre, mais n’a tout simplement pas pris soin de s’assurer qu’il faisait ce qu’il avait l’intention de faire.

Problèmes de mot de passe

Les humains et les mots de passe ne s’entendent tout simplement pas. Les faits présentés dans le rapport 2019 du Centre national de cybersécurité donnent une image désastreuse : 123456 reste le mot de passe le plus populaire au monde, et 45 % des personnes réutilisent le mot de passe de leur compte de messagerie principal sur d’autres services. En plus de ne pas créer de mots de passe forts et uniques, les utilisateurs non formés commettent de nombreuses autres erreurs de mot de passe, notamment en écrivant les mots de passe sur des post-it sur leur écran ou en les partageant avec leurs collègues.

Rattrapage

Les cybercriminels sont constamment à la recherche de nouveaux exploits dans les logiciels. Lorsque de tels exploits sont découverts, les développeurs de logiciels s’empressent de corriger la vulnérabilité et d’envoyer le correctif à tous les utilisateurs avant que les cybercriminels ne puissent compromettre davantage d’utilisateurs. C’est pourquoi il est essentiel que les utilisateurs installent les mises à jour de sécurité sur leurs ordinateurs dès qu’elles sont disponibles. Malheureusement, le plus souvent, les utilisateurs finaux retardent l’installation des mises à jour – et les résultats sont désastreux.

L’attaque de ransomware WannaCry de 2017 a touché des centaines de milliers d’ordinateurs dans le monde entier, coûtant aux entreprises et aux organisations des millions de dollars de dommages. Pourtant, l’exploit utilisé par l’attaque, surnommé « EternalBlue », a été patché par Microsoft des mois avant que les attaques n’aient lieu. Si les ordinateurs concernés avaient simplement téléchargé et installé la mise à jour de sécurité, ils n’auraient jamais été compromis.

Erreurs de sécurité physique et matériel

Si les violations de données sont le plus souvent attribuées à des cyberattaques, les entreprises sont également exposées à des menaces physiques. Les informations confidentielles et les justificatifs d’identité peuvent être volés ou consultés par des personnes non autorisées si elles accèdent à des locaux sécurisés.

Les erreurs de sécurité physique se présentent sous de nombreuses formes différentes, mais l’une des plus courantes consiste à laisser des documents sensibles sans surveillance sur les bureaux, dans les salles de réunion ou même sur les plateaux de sortie des imprimantes. Toute personne ayant accès aux locaux de l’entreprise peut alors prendre le document sans que personne ne s’aperçoive de sa disparition.

Une autre erreur très courante en matière de cybersécurité et de sécurité physique est le fait de permettre le talonnage. Le talonnage consiste à ce qu’une personne non autorisée suive quelqu’un à travers une porte ou une barrière sécurisée – généralement en marchant tout près derrière elle. De nombreux employés trouveront impoli de contester une personne qui les suit à travers une porte, ce qui garantit un taux de réussite élevé des tentatives de filature.

Sur les erreurs liées au matériel, nous retrouvons souvent les documents confidentiels laissés dans des clefs USB non cryptées. Ou encore le transfert de documents ou de logiciels corrompus à partir d »une clef vers l’ordinateur sans que l’utilisateur s’en apreçoive. Il est esentiel d’être vigilant quant au télachargement de logiciels et au stockage/transfert de fichiers à partir d’une clé USB. Pensez à analyser et nettoyer régulièrement vos clés USB.

Quels sont les facteurs à l’origine de l’erreur humaine ?

Il existe une grande variété de facteurs qui interviennent dans l’erreur humaine, mais la plupart d’entre eux se résument à ces trois facteurs : l’opportunité, l’environnement et le manque de sensibilisation.

Opportunité

L’erreur humaine ne peut se produire que lorsqu’il existe des possibilités de la commettre. Cela peut sembler évident, mais le fait est que plus il y a d’occasions de faire une erreur, plus il y a de chances qu’une erreur soit commise à un moment donné.

Environnement

De nombreux facteurs environnementaux peuvent accroître le risque d’erreurs en cybersécurité.

L’environnement physique d’un lieu de travail peut contribuer de manière significative au nombre d’erreurs qui se produisent. N’importe quel ouvrier de chantier pourra vous dire que les erreurs sont plus fréquentes lorsqu’il fait chaud ou froid – ces considérations s’appliquent également aux bureaux. Si la bonne température du bureau est un élément important, l’intimité, le niveau sonore et la posture sont autant d’éléments qui peuvent contribuer à un environnement plus propice aux erreurs.

La culture joue également un rôle important dans les considérations environnementales. Souvent, les utilisateurs finaux savent ce qu’il faut faire, mais ne le font pas parce qu’il y a une façon plus simple de faire les choses ou parce qu’ils ne pensent tout simplement pas que c’est important. Dans une culture où la cybersécurité est toujours reléguée au second plan, les erreurs deviennent de plus en plus courantes.

Manque de sensibilisation

Une grande partie de l’erreur humaine résulte du fait que les utilisateurs finaux ne savent tout simplement pas quelle est la bonne marche à suivre en cybersécurité. Par exemple, les utilisateurs qui ne sont pas conscients du risque d’hameçonnage sont beaucoup plus susceptibles de se laisser prendre au piège, et une personne qui ne connaît pas les risques des réseaux Wi-Fi publics se fera rapidement voler ses informations d’identification. Le manque de connaissances n’est presque jamais la faute de l’utilisateur, mais l’entreprise doit y remédier afin de s’assurer que les utilisateurs finaux disposent des connaissances et des compétences nécessaires pour assurer leur propre sécurité et celle de l’entreprise.

Comment prévenir l’erreur humaine dans votre entreprise ?

L’erreur humaine ne peut se produire que lorsqu’il y a une possibilité de le faire, et il est donc essentiel d’éliminer autant que possible les possibilités d’erreur. Dans le même temps, les utilisateurs finaux continueront à commettre des erreurs s’ils ne savent pas quelles sont les actions correctes et quels sont les risques. Pour combler cette lacune, il est essentiel d’aborder l’erreur humaine des deux côtés afin de créer une défense complète pour votre organisation.

Réduire les opportunités

Modifier vos pratiques, routines et technologies de travail pour réduire systématiquement les risques d’erreur est la meilleure façon de commencer vos efforts d’atténuation. Bien que la manière d’y parvenir dépende des activités et des environnements spécifiques de votre entreprise, il existe des lignes directrices communes pour atténuer les risques d’erreur humaine.

Contrôle des privilèges : veillez à ce que vos utilisateurs n’aient accès qu’aux données et fonctionnalités dont ils ont besoin pour remplir leur rôle. Cela réduit la quantité d’informations qui seront exposées, même si l’utilisateur commet une erreur qui conduit à une violation.

Gestion des mots de passe : les erreurs liées aux mots de passe étant l’un des principaux risques d’erreur humaine, éloigner vos utilisateurs des mots de passe peut contribuer à réduire les risques. Les applications de gestion des mots de passe permettent à vos utilisateurs de créer et de stocker des mots de passe forts sans avoir à s’en souvenir ou à risquer de les écrire sur des post-it. Vous devriez également rendre obligatoire l’utilisation de l’authentification à deux facteurs dans toute votre entreprise pour ajouter une couche supplémentaire de protection à vos comptes.

Et surtout, plus de mots de passe écrits sur un post it !!

Changez votre culture

Une culture axée sur la sécurité est essentielle pour réduire les erreurs humaines. Dans une culture de la sécurité, la cybersécurité est prise en compte dans chaque décision et action, et les utilisateurs finaux sont activement à l’affût des problèmes de sécurité et en discutent lorsqu’ils les rencontrent.

Il y a un certain nombre de choses que vous pouvez faire pour aider à construire une culture de la sécurité dans votre organisation.

Encouragez la discussion. L’un des meilleurs moyens de s’assurer que la sécurité reste au premier plan est de faire en sorte que les gens en parlent. Proposez des sujets de discussion autour de la sécurité – et assurez-vous qu’ils sont en rapport avec les activités professionnelles quotidiennes de vos utilisateurs finaux afin qu’ils soient plus enclins à s’engager. Cela les aidera à voir ce qu’ils peuvent faire personnellement pour contribuer au maintien de la sécurité de votre organisation.

Faites en sorte qu’il soit facile de poser des questions. Dans le cadre du processus d’apprentissage, vos utilisateurs finaux se retrouveront probablement dans des situations où ils ne sont pas certains des implications en matière de sécurité. Dans ces situations, vous préférez qu’ils vous demandent à vous ou à une autre personne compétente plutôt que de deviner et de risquer de faire le mauvais choix par eux-mêmes. Veillez à ce que quelqu’un soit toujours disponible pour répondre aux questions des utilisateurs finaux de manière amicale, et récompensez les utilisateurs qui posent de bonnes questions.

Utilisez des affiches et des rappels. Les affiches et les conseils de sécurité sont de petits rappels qui permettent de s’assurer que vos utilisateurs finaux pensent à la sécurité tout au long de leur journée de travail. Une affiche contenant des informations sur les mots de passe forts permettra, par exemple, aux utilisateurs de voir facilement quelles sont les exigences pour assurer la sécurité des comptes de l’entreprise.

Remédier au manque de connaissances par la formation

S’il est essentiel de réduire les possibilités d’erreur, vous devez également aborder les causes d’erreur sous un angle humain. En informant vos employés sur les bases de la sécurité et les meilleures pratiques, vous leur permettez de prendre de meilleures décisions, de garder la sécurité à l’esprit et de demander des conseils supplémentaires lorsqu’ils ne sont pas sûrs des conséquences d’une certaine action.

Former les employés sur tous les sujets de sécurité essentiels : l’erreur humaine pouvant se manifester de très nombreuses façons différentes, il est essentiel de former les employés à un niveau de base sur tous les sujets de sécurité qu’ils peuvent rencontrer dans leurs activités professionnelles quotidiennes. L’utilisation du courrier électronique, d’Internet et des médias sociaux, ainsi que la formation au phishing et aux logiciels malveillants ne sont que quelques-uns des sujets que la formation doit couvrir.

L’être humain n’est pas forcément le maillon faible.

Nous avons commencé cet article par une statistique effrayante sur le nombre de violations causées par l’erreur humaine – mais il y a une autre façon de voir cette statistique. Si 95 % des violations sont causées par l’erreur humaine, le fait de prendre même les plus petites mesures pour réduire l’erreur humaine peut créer des gains énormes en matière de sécurité.

L’atténuation de l’erreur humaine doit être envisagée sous deux angles : la réduction des possibilités et l’éducation des utilisateurs. Moins il y a d’occasions de commettre des erreurs, moins vos utilisateurs seront testés sur leurs connaissances – et plus vos utilisateurs ont de connaissances, moins ils sont susceptibles de commettre une erreur même s’ils en ont l’occasion.

L’approche que nous promouvons chez Inovency vous encourage à voir votre risque humain sous un angle différent, pragmatique et adapté à votre activité. Alors que les utilisateurs finaux non formés peuvent être le maillon faible de la sécurité de votre organisation, les bons outils et la bonne formation vous permettent de leur donner les moyens de devenir votre première ligne de défense contre toute attaque ou violation, protégeant ainsi votre entreprise à long terme.