Failles de(s) sécurité(s), failles humaines : et si on traitait les deux ?

Une nouvelle étude de NTT Com Security estime qu’il faudrait neuf semaines à une entreprise pour se remettre d’une attaque et que cela lui coûterait 907 053 dollars en moyenne (soit 772 942€)…

[av_image src=’https://www.cyberprotect.fr/wp-content/uploads/2016/03/businessman-holds-social-network-495×400.jpg’ attachment=’6061′ attachment_size=’portfolio’ align=’center’ styling= » hover= » link= » target= » caption= » font_size= » appearance= » overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_heading heading=’Failles de(s) sécurité(s), failles humaines : et si on traitait les deux ?’ tag=’h3′ style= » size= » subheading_active= » subheading_size=’15’ padding=’10’ color= » custom_font= »][/av_heading]

[av_textblock size= » font_color= » color= »]
Une nouvelle étude de NTT Com Security estime qu’il faudrait neuf semaines à une entreprise pour se remettre d’une attaque et que cela lui coûterait 907 053 dollars en moyenne (soit 772 942€). Et ce, sans prendre en compte les dommages collatéraux (perte de clients, perte de confiance, perte de réputation…).

La sécurité informatique est donc nécessaire car elle met en place des moyens de contre-mesure pour réduire le risque.

Comme nous le présente le rapport Venafi de février 2016, les DSI reconnaissent investir plusieurs millions de dollars dans la superposition de mécanismes de défense.
[/av_textblock]

[av_heading tag=’h5′ padding=’10’ heading=’Mais la multiplication des systèmes de sécurité est-elle une stratégie efficace ? ‘ color= » style= » custom_font= » size= » subheading_active= » subheading_size=’15’ custom_class= »][/av_heading]

[av_textblock size= » font_color= » color= »]
Les raisons liées à ce choix de stratégie sont, d’une part, pour assurer une meilleure disponibilité du système d’information (SI) avec, par exemple, des équipements de répartition de charge qui vont réduire le temps d’indisponibilité d’une application. D’autre part, pour augmenter la sécurité avec une double barrière de firewall par exemple, qui va réduire la probabilité de pénétration du système.

Or, un système de sécurité peut comporter une faille ou une vulnérabilité, conséquence de bugs ou de dysfonctionnements logiciels par exemple. Ces erreurs, lorsqu’elles sont repérées, sont corrigées et mises à jour. Malheureusement, des hackers peuvent les avoir repérées avant (vulnérabilités « zero day »). Donc, si on superpose des systèmes de sécurité, on augmente les vulnérabilités et on augmente ainsi la probabilité qu’une menace vienne exploiter ces vulnérabilités. Par conséquent, le risque de perte du SI est plus important.

De plus, la principale cause de ces failles informatiques est l’humain : lorsqu’il développe, il peut faire preuve de négligence, d’inexpérience, il peut commettre des erreurs. Et la notion de développement de code sécurisé n’est pas encore entré dans les mœurs.

Le facteur humain est déjà présent dans la définition d’une politique de sécurité avec la mise en place, par exemple, de dispositifs de sécurité physique (porte avec badge) et logique (mot de passe système, authentification forte à 2 facteurs…) qui sont installés pour répondre aux besoins de l’entreprise et aux usages des utilisateurs. Mais face à la diversification et la multiplication des cybermenaces, le facteur humain n’est pas suffisamment pris en considération comme le montre le rapport de Proofpoint :

« La majorité des solutions de protection existantes se concentrent principalement sur les vulnérabilités des systèmes et des logiciels, et non sur les failles humaines. Cette étude démontre la nécessité pour les entreprises de mettre en place des stratégies de prévention et de défense face aux risques liés au facteur humain. »

Source : https://www.proofpoint.com/us/id/FR-Q215-Human-Factor-Whitepaper
[/av_textblock]

[av_heading tag=’h5′ padding=’10’ heading=’Les risques liés au facteur humain.’ color= » style= » custom_font= » size= » subheading_active= » subheading_size=’15’ custom_class= »][/av_heading]

[av_textblock size= » font_color= » color= »]
Nous abordons ici la problématique du comportement humain car c’est bien ce dernier qui est de plus en plus au centre des attentions. Nous ne parlons pas de comportements volontairement nuisibles mais bien de « malveillances » utilisant le comportement humain pour pouvoir s’installer, se propager et/ou voler des informations à l’insu de l’utilisateur.

Nous avons des exemples récents avec whatsapp (scareware affectant l’Amérique du Sud particulièrement) ou encore avec snapchat (campagne de faux emails qui avaient l’air de provenir du PDG de l’entreprise).

En 2013, Cyberprotect alertait déjà sur ces types de menaces : https://www.cyberprotect.fr/campagne-de-malvertising-retour-dexperience/

Finalement, l’enjeu majeur de la cybersécurité c’est le contrôle des vulnérabilités, des menaces et du facteur humain.
[/av_textblock]

[av_heading tag=’h5′ padding=’10’ heading=’ Comment répondre à cet enjeu ?’ color= » style= » custom_font= » size= » subheading_active= » subheading_size=’15’ custom_class= »][/av_heading]

[av_textblock size= » font_color= » color= »]
Par un audit permanent, une analyse des risques en temps réel.

Pour être pertinent, il est également nécessaire de prendre en compte l’analyse comportementale.

Cette analyse consiste à détecter des actions incohérentes/anormales par rapport au comportement qui semble normal de l’utilisateur. C’est aussi l’art de rechercher un écart, une déviance dans un flot d’information de communication toujours plus en plus important de jour en jour (Big Data).

Des services comme Cyberprotect permettent de répondre à cet enjeu.
[/av_textblock]

React