C’est une question qui me tient particulièrement à cœur car nous empilons des couches d’outils (EDR, WAF, SIEM, MFA, etc.) avec des budgets en croissance constante. Pourtant les incidents de sécurité continuent et on constate que plus de 80% ont une origine humaine (phishing, erreurs de configuration, mauvais usages, etc…).
Nous pouvons logiquement nous poser la question de l’efficacité de ces outils. Il est très simple d’avoir des chiffres illustrant l’impact d’un incident mais plus compliqué d’évaluer l’impact qu’aurait pu avoir une attaque déjouée par un de ces fameux outils. Bref, le fameux ROI que nous aimerions tous pouvoir montrer mais qui n'existe pas. Et lorsqu’on analyse l’origine d'un incident, on trouve très vite quelqu’un qui n’a pas regardé une console, cliqué sur le mauvais lien, mal configuré un équipement, oublié un patch, ect… L'humain, le fameux "maillon faible".
Si je fais l’analogie avec la banque, pour limiter les braquages nous avons mis en place des outils de sécurité et des processus, puis largement communiqué sur ceux-ci. Face à un scénario précis, une mesure a été mis en place dans laquelle l’humain n’intervient plus.
Ex : Le personnel n’a plus directement accès aux liquidités tout est automatisé dans des DAB. L'humain n'est plus un levier pour l'attaquant.
Se retourner vers l’humain et stigmatiser son erreur est un constat d’échec partiel des organisations. "Nos outils ne suffisent pas, donc on responsabilise les utilisateurs". Face à la technologie (et l’IA) utilisée par les attaquants, la réponse doit être technologique. L'attaquant est augmenté, le défenseur doit l'être également.
Cependant il est « simple » de se protéger contre des attaques connues qui vont employer des techniques, des outils ou exploiter des vulnérabilités connues, mais plus difficile contre les techniques inconnues et la manipulation en générale.
Lorsqu’un RSSI met en place une culture sécurité dans une organisation il amène les collaborateurs à avoir des réflexes (signaler une anomalie, appliquer les bonnes pratiques, éviter les comportements à risque, identifier des actions suspectes, …) et c'est en agissant activement et de manière intelligente que l'humain participe à l'amélioration continue du système de défense.
L'outil magique qui protègerait à 100% des organisations n’existe pas. L'évolution des systèmes d'information vers le cloud et l'ouverture importante vers l'extérieur qu'il est difficile de le maîtriser totalement et en permanance. Le niveau de sécurité de nos outils et processus doit augmenter et s’adapter à la menace et aux techniques de nos attaquants.
Gardons en tête que la technologie ne nous protège que partiellement. Partageons ce discours de vérité en l’expliquant à nos collaborateurs et nos dirigeants pour renforcer leur posture cybersécurité. Ils ne sont pas le maillon faible de l’organisation mais l’intelligence opérationnelle qui permet une meilleure vigilance et de mettre en place un vrai cycle d'amélioration continue.
Respectons-les ! Entrainons-les ! Écoutons-les ! Impliquons-les.