Inovency

Cabinet de conseil des entreprises paris
technologies

La complexité des technologies de l’information a augmenté à un rythme exponentiel.

La volonté d’innovation a entraîné l’adoption rapide de nouvelles technologies et une évolution correspondante vers l’informatique en nuage, les logiciels libres et une approche microservice de l’architecture des applications.

En conséquence, les systèmes d’information modernes s’appuient désormais sur un ensemble ahurissant d’interdépendances hébergées dans des environnements physiques et virtuels au sein d’une infrastructure hybride et multicloud dynamique.

La cartographie des dépendances des applications (Application Mapping) est un processus informatique conçu pour aider les équipes d’exploitation et de développement à surmonter cette complexité. Mais qu’est-ce que l’Application Mapping exactement ? Pourquoi est-il important ? Et quels sont ses cas d’utilisation ?

Ce guide répond à ces questions en explorant les concepts clés de l’Application Mapping, ainsi que les éléments à prendre en compte pour choisir la bonne solution Application Mapping. Puis, plus loin dans l’article, nous examinons un certain nombre de bonnes pratiques qui peuvent faciliter le processus de mappage et prévenir les problèmes de dépendance.

Qu'est-ce que l'erreur humaine dans la sécurité informatique ?

Les environnements informatiques des entreprises modernes comprennent une architecture système de plus en plus complexe. Les applications et les composants matériels interagissent et dépendent de plus en plus les uns des autres pour fournir les fonctionnalités nécessaires aux activités de l’entreprise.

Ainsi, l’infrastructure et les applications informatiques évoluent au fur et à mesure que des lignes de code sont ajoutées, que les entreprises passent à l’échelle en intégrant des applications externes en mode SaaS (Software As A Service) et pour une base d’utilisateurs croissante, fonctionnant sur des environnements informatiques virtualisés ou basés sur le cloud.

Dans un tel contexte, la connaissance de ces interdépendances est essentielle pour comprendre le comportement de l’environnement informatique, qui touche de nombreux aspects opérationnels.

erreur humaine en cybersecurite

Les dépendances

Dans le contexte du développement d’applications, les dépendances sont les divers composants sur lesquels une application repose pour fonctionner comme prévu.

 

Les dépendances comprennent :

  • D’autres bases de code internes
  • Bibliothèques et cadres de travail
  • Logiciel propriétaire
  • Les fichiers et les systèmes de base de données
  • Le système d’exploitation sous-jacent
  • Serveurs et sous-réseaux
  • Conducteurs
  • Des versions spécifiques de langages de script
  • Dans cet article, nous allons donc aborder les concepts clés de l’application mapping, en examinant les points suivants :

                        Cartographie des applications

                        Comment cela fonctionne

                        Meilleures pratiques en matière de cartographie des dépendances des applications

Qu’est-ce que l’application mapping ?

L’application mapping est le processus qui consiste à découvrir et à identifier les interactions et les interdépendances entre les composants des applications et leur infrastructure matérielle sous-jacente. Pour que les applications fonctionnent de manière optimale, il est important de découvrir et de cartographier les dépendances sous-jacentes.
La technologie qui permet cette capacité est communément appelée « cartographie d’application », mais Application Discovery and Dependency Mapping (ADDM) est un autre terme pour la désigner.

Livraison erronée

La mauvaise livraison – l’envoi de quelque chose à un mauvais destinataire – est une menace courante pour la sécurité des données des entreprises. Selon le rapport 2018 de Verizon sur les brèches, les erreurs de livraison étaient la cinquième cause la plus fréquente de toutes les brèches de cybersécurité. Comme de nombreuses personnes s’appuient sur des fonctionnalités telles que les suggestions automatiques dans leurs clients de messagerie, il est facile pour tout utilisateur d’envoyer accidentellement des informations confidentielles à la mauvaise personne s’il ne fait pas attention.

L’une des violations de données les plus graves causées par une erreur humaine est survenue lorsqu’un cabinet du NHS a révélé les adresses électroniques (et donc les noms) de plus de 800 patients qui s’étaient rendus dans des cliniques VIH. Comment l’erreur s’est-elle produite ? L’employé qui envoyait une notification par courrier électronique aux patients atteints du VIH a accidentellement entré leur adresse électronique dans le champ « à », plutôt que dans le champ « bcc », exposant ainsi leurs coordonnées les unes aux autres. Il s’agit d’un exemple classique d’erreur basée sur les compétences, car l’employé connaissait la bonne marche à suivre, mais n’a tout simplement pas pris soin de s’assurer qu’il faisait ce qu’il avait l’intention de faire.

violations de données

Problèmes de mot de passe

Les humains et les mots de passe ne s’entendent tout simplement pas. Les faits présentés dans le rapport 2019 du Centre national de cybersécurité donnent une image désastreuse : 123456 reste le mot de passe le plus populaire au monde, et 45 % des personnes réutilisent le mot de passe de leur compte de messagerie principal sur d’autres services. En plus de ne pas créer de mots de passe forts et uniques, les utilisateurs non formés commettent de nombreuses autres erreurs de mot de passe, notamment en écrivant les mots de passe sur des post-it sur leur écran ou en les partageant avec leurs collègues.

Rattrapage

Les cybercriminels sont constamment à la recherche de nouveaux exploits dans les logiciels. Lorsque de tels exploits sont découverts, les développeurs de logiciels s’empressent de corriger la vulnérabilité et d’envoyer le correctif à tous les utilisateurs avant que les cybercriminels ne puissent compromettre davantage d’utilisateurs. C’est pourquoi il est essentiel que les utilisateurs installent les mises à jour de sécurité sur leurs ordinateurs dès qu’elles sont disponibles. Malheureusement, le plus souvent, les utilisateurs finaux retardent l’installation des mises à jour – et les résultats sont désastreux.

L’attaque de ransomware WannaCry de 2017 a touché des centaines de milliers d’ordinateurs dans le monde entier, coûtant aux entreprises et aux organisations des millions de dollars de dommages. Pourtant, l’exploit utilisé par l’attaque, surnommé « EternalBlue », a été patché par Microsoft des mois avant que les attaques n’aient lieu. Si les ordinateurs concernés avaient simplement téléchargé et installé la mise à jour de sécurité, ils n’auraient jamais été compromis.

Erreurs de sécurité physique et matériel

Si les violations de données sont le plus souvent attribuées à des cyberattaques, les entreprises sont également exposées à des menaces physiques. Les informations confidentielles et les justificatifs d’identité peuvent être volés ou consultés par des personnes non autorisées si elles accèdent à des locaux sécurisés.

Les erreurs de sécurité physique se présentent sous de nombreuses formes différentes, mais l’une des plus courantes consiste à laisser des documents sensibles sans surveillance sur les bureaux, dans les salles de réunion ou même sur les plateaux de sortie des imprimantes. Toute personne ayant accès aux locaux de l’entreprise peut alors prendre le document sans que personne ne s’aperçoive de sa disparition.

Une autre erreur très courante en matière de cybersécurité et de sécurité physique est le fait de permettre le talonnage. Le talonnage consiste à ce qu’une personne non autorisée suive quelqu’un à travers une porte ou une barrière sécurisée – généralement en marchant tout près derrière elle. De nombreux employés trouveront impoli de contester une personne qui les suit à travers une porte, ce qui garantit un taux de réussite élevé des tentatives de filature.

Sur les erreurs liées au matériel, nous retrouvons souvent les documents confidentiels laissés dans des clefs USB non cryptées. Ou encore le transfert de documents ou de logiciels corrompus à partir d »une clef vers l’ordinateur sans que l’utilisateur s’en apreçoive. Il est esentiel d’être vigilant quant au télachargement de logiciels et au stockage/transfert de fichiers à partir d’une clé USB. Pensez à analyser et nettoyer régulièrement vos clés USB. 

 

Quels sont les facteurs à l’origine de l’erreur humaine ?

Il existe une grande variété de facteurs qui interviennent dans l’erreur humaine, mais la plupart d’entre eux se résument à ces trois facteurs : l’opportunité, l’environnement et le manque de sensibilisation.

Opportunité

L’erreur humaine ne peut se produire que lorsqu’il existe des possibilités de la commettre. Cela peut sembler évident, mais le fait est que plus il y a d’occasions de faire une erreur, plus il y a de chances qu’une erreur soit commise à un moment donné.

Environnement

De nombreux facteurs environnementaux peuvent accroître le risque d’erreurs en cybersécurité.

L’environnement physique d’un lieu de travail peut contribuer de manière significative au nombre d’erreurs qui se produisent. N’importe quel ouvrier de chantier pourra vous dire que les erreurs sont plus fréquentes lorsqu’il fait chaud ou froid – ces considérations s’appliquent également aux bureaux. Si la bonne température du bureau est un élément important, l’intimité, le niveau sonore et la posture sont autant d’éléments qui peuvent contribuer à un environnement plus propice aux erreurs.

La culture joue également un rôle important dans les considérations environnementales. Souvent, les utilisateurs finaux savent ce qu’il faut faire, mais ne le font pas parce qu’il y a une façon plus simple de faire les choses ou parce qu’ils ne pensent tout simplement pas que c’est important. Dans une culture où la cybersécurité est toujours reléguée au second plan, les erreurs deviennent de plus en plus courantes.

culture de cybersecurite

Manque de sensibilisation

Une grande partie de l’erreur humaine résulte du fait que les utilisateurs finaux ne savent tout simplement pas quelle est la bonne marche à suivre en cybersécurité. Par exemple, les utilisateurs qui ne sont pas conscients du risque d’hameçonnage sont beaucoup plus susceptibles de se laisser prendre au piège, et une personne qui ne connaît pas les risques des réseaux Wi-Fi publics se fera rapidement voler ses informations d’identification. Le manque de connaissances n’est presque jamais la faute de l’utilisateur, mais l’entreprise doit y remédier afin de s’assurer que les utilisateurs finaux disposent des connaissances et des compétences nécessaires pour assurer leur propre sécurité et celle de l’entreprise.

Comment prévenir l’erreur humaine dans votre entreprise ?

L’erreur humaine ne peut se produire que lorsqu’il y a une possibilité de le faire, et il est donc essentiel d’éliminer autant que possible les possibilités d’erreur. Dans le même temps, les utilisateurs finaux continueront à commettre des erreurs s’ils ne savent pas quelles sont les actions correctes et quels sont les risques. Pour combler cette lacune, il est essentiel d’aborder l’erreur humaine des deux côtés afin de créer une défense complète pour votre organisation.

Réduire les opportunités

Modifier vos pratiques, routines et technologies de travail pour réduire systématiquement les risques d’erreur est la meilleure façon de commencer vos efforts d’atténuation. Bien que la manière d’y parvenir dépende des activités et des environnements spécifiques de votre entreprise, il existe des lignes directrices communes pour atténuer les risques d’erreur humaine.

Contrôle des privilèges : veillez à ce que vos utilisateurs n’aient accès qu’aux données et fonctionnalités dont ils ont besoin pour remplir leur rôle. Cela réduit la quantité d’informations qui seront exposées, même si l’utilisateur commet une erreur qui conduit à une violation.

Gestion des mots de passe : les erreurs liées aux mots de passe étant l’un des principaux risques d’erreur humaine, éloigner vos utilisateurs des mots de passe peut contribuer à réduire les risques. Les applications de gestion des mots de passe permettent à vos utilisateurs de créer et de stocker des mots de passe forts sans avoir à s’en souvenir ou à risquer de les écrire sur des post-it. Vous devriez également rendre obligatoire l’utilisation de l’authentification à deux facteurs dans toute votre entreprise pour ajouter une couche supplémentaire de protection à vos comptes.

Et surtout, plus de mots de passe écrits sur un post it !!

Changez votre culture

Une culture axée sur la sécurité est essentielle pour réduire les erreurs humaines. Dans une culture de la sécurité, la cybersécurité est prise en compte dans chaque décision et action, et les utilisateurs finaux sont activement à l’affût des problèmes de sécurité et en discutent lorsqu’ils les rencontrent.

Il y a un certain nombre de choses que vous pouvez faire pour aider à construire une culture de la sécurité dans votre organisation.

Encouragez la discussion. L’un des meilleurs moyens de s’assurer que la sécurité reste au premier plan est de faire en sorte que les gens en parlent. Proposez des sujets de discussion autour de la sécurité – et assurez-vous qu’ils sont en rapport avec les activités professionnelles quotidiennes de vos utilisateurs finaux afin qu’ils soient plus enclins à s’engager. Cela les aidera à voir ce qu’ils peuvent faire personnellement pour contribuer au maintien de la sécurité de votre organisation.

Faites en sorte qu’il soit facile de poser des questions. Dans le cadre du processus d’apprentissage, vos utilisateurs finaux se retrouveront probablement dans des situations où ils ne sont pas certains des implications en matière de sécurité. Dans ces situations, vous préférez qu’ils vous demandent à vous ou à une autre personne compétente plutôt que de deviner et de risquer de faire le mauvais choix par eux-mêmes. Veillez à ce que quelqu’un soit toujours disponible pour répondre aux questions des utilisateurs finaux de manière amicale, et récompensez les utilisateurs qui posent de bonnes questions.

Utilisez des affiches et des rappels. Les affiches et les conseils de sécurité sont de petits rappels qui permettent de s’assurer que vos utilisateurs finaux pensent à la sécurité tout au long de leur journée de travail. Une affiche contenant des informations sur les mots de passe forts permettra, par exemple, aux utilisateurs de voir facilement quelles sont les exigences pour assurer la sécurité des comptes de l’entreprise.

Remédier au manque de connaissances par la formation

S’il est essentiel de réduire les possibilités d’erreur, vous devez également aborder les causes d’erreur sous un angle humain. En informant vos employés sur les bases de la sécurité et les meilleures pratiques, vous leur permettez de prendre de meilleures décisions, de garder la sécurité à l’esprit et de demander des conseils supplémentaires lorsqu’ils ne sont pas sûrs des conséquences d’une certaine action.

Former les employés sur tous les sujets de sécurité essentiels : l’erreur humaine pouvant se manifester de très nombreuses façons différentes, il est essentiel de former les employés à un niveau de base sur tous les sujets de sécurité qu’ils peuvent rencontrer dans leurs activités professionnelles quotidiennes. L’utilisation du courrier électronique, d’Internet et des médias sociaux, ainsi que la formation au phishing et aux logiciels malveillants ne sont que quelques-uns des sujets que la formation doit couvrir.

formation en cybersécurité

L’être humain n’est pas forcément le maillon faible.

Nous avons commencé cet article par une statistique effrayante sur le nombre de violations causées par l’erreur humaine – mais il y a une autre façon de voir cette statistique. Si 95 % des violations sont causées par l’erreur humaine, le fait de prendre même les plus petites mesures pour réduire l’erreur humaine peut créer des gains énormes en matière de sécurité.

L’atténuation de l’erreur humaine doit être envisagée sous deux angles : la réduction des possibilités et l’éducation des utilisateurs. Moins il y a d’occasions de commettre des erreurs, moins vos utilisateurs seront testés sur leurs connaissances – et plus vos utilisateurs ont de connaissances, moins ils sont susceptibles de commettre une erreur même s’ils en ont l’occasion.

L’approche que nous promouvons chez Inovency vous encourage à voir votre risque humain sous un angle différent, pragmatique et adapté à votre activité. Alors que les utilisateurs finaux non formés peuvent être le maillon faible de la sécurité de votre organisation, les bons outils et la bonne formation vous permettent de leur donner les moyens de devenir votre première ligne de défense contre toute attaque ou violation, protégeant ainsi votre entreprise à long terme.