|
|
|
|
Sécurité : 4 actions pour sensibiliser les utilisateurs |
Les technologies, même les plus éprouvées, ne garantissent pas l'imperméabilité du système d'information. Des démarches structurées de formation et de sensibilisation des utilisateurs doivent être conduites.
(03/07/2006) |
|
"Les mathématiques sont impeccables, les ordinateurs faillibles, les réseaux médiocres et les gens pires que tout", écrivait Bruce Schneier dans son ouvrage intitulé Secrets et mensonges, sécurité numérique dans un monde en réseau. Le moins que l'on puisse dire, c'est que l'expert en sécurité ne pratique pas la langue de bois.
"Beaucoup d'entreprises ont compris que le maillon faible face aux nouveaux types d'attaques combinant technologie et exploitation de la naïveté humaine (social engineering), étaient les utilisateurs.", commente Mauro Israël, RSSI chez Cyber Networks.
L'humain est bel et bien un des maillons faibles de la sécurité informatique. En dépit la surenchère technologique, le risque demeurera tant qu'elles négligeront de sensibiliser et de former leurs employés. Les chiffres ne laissent pourtant pas de place au doute et devraient suffire à eux seuls à légitimer des projets allant en ce sens.
La menace interne n'est en effet pas nouvelle. Déjà en 2001, Computer Security Institute (CSI) pointait du doigt l'utilisateur. Selon CSI, 60 % des attaques provenaient de l'intérieur de l'entreprise. En 2006, ce chiffre était de 80 % d'après SmartLine, éditeur de logiciel spécialisé dans la sécurité informatique (lire l'article du 27/04/2006). Et 75 % des attaques venant de l'extérieur suivaient une divulgation d'information.
Le gain d'opérations de formation auprès des salariés serait pourtant rapidement mesurable, au travers notamment d'une diminution du nombre d'incidents de sécurité et parallèlement de leurs conséquences pour l'entreprise.
L'humain est le maillon faible de la sécurité |
L'enjeu de la sensibilisation et de l'éducation des employés est de développer une culture sécurité au sein de l'entreprise, afin qu'ils puissent contribuer à renforcer la sécurité du système d'information.
Les formations ont cependant un coût. Il convient de sensibiliser avant tout les utilisateurs les plus exposés. "Ceux qui ont des droits administrateurs sur leur poste sont les premiers concernés", rappelle Mauro Israël.
Il dénombre ainsi quatre cibles particulièrement vulnérables : "les manageurs ou cadres de direction, les informaticiens, les assistantes de direction et les responsables financiers. Ils disposent d'accès importants sur leur poste, voire sur le réseau, sans pour autant être nécessairement compétents ou sensibilisés aux risques", poursuit-il.
Toutefois, comme le fait remarquer Nicolas Gaudillère, responsable SecurityServices chez Symantec : "tout le monde doit être sensibilisé à la sécurité en entreprise". Il souligne également que les cadres dirigeants, pourtant amenés à manipuler des données importantes, comptent souvent parmi les profils d'utilisateurs les plus difficiles à atteindre.
Mais concrètement, comment former les utilisateurs et avec quels outils ? Nicolas Gaudillère et Mauro Israël détaillent quatre principaux dispositifs.
"Il faut dessiner un programme de sensibilisation pour toucher et adresser les employés, puis communiquer pour l'imprimer dans l'organisation de la société. Le programme doit bénéficier du support du management. C'est une démarche qui vient d'en haut", précise avant tout Nicolas Gaudillère.
1) Le e-learning
"Il peut s'agir de modules dédiés à la sécurité, intégrés dans des programmes de formation continue en entreprise. Ils peuvent être décomposés en sous-rubriques, telles que la sécurité sur Internet, les mots de passe ou la téléphonie sur IP.", explique l'expert de Symantec.
"La sensibilisation doit être nourrie, c'est un processus continu"
(Nicolas Gaudillère -
Symantec) |
Pour Mauro Israël, le e-learning comprendra également : "un site Intranet dédié qui contient tous les slides utilisés lors de présentations de groupe, la charte de sécurité, les bonnes pratiques, ainsi que des quizz pour vérifier l'assimilation des connaissances."
"L'Intranet répond au besoin de fédérer l'information. Il pourra aussi accueillir des forums, afin de développer l'esprit communautaire autour des problématiques de sécurité", complète Nicolas Gaudillère.
2) Les formations de groupe
Les formations sur site peuvent venir en appui du e-learning. Elles offrent les bénéfices d'une meilleure interactivité, un élément central dans l'apprentissage. Ces journées de formation pourront comprendre : "des exemples concrets, soit du même secteur d'activité, soit de l'entreprise elle-même, comme des incidents informatiques, des pannes, de mauvais usages du mail ou d'Internet", décrit Mauro Israël.
3) Des tests avant-après
Il s'agira de quizz, mais également de tests d'intrusion social engineering ou MICE (money - ideology - crcition - ego) pour vérifier la vigilance des employés avant et après les opérations de sensibilisation et de formation. "Ce type de démarche présente l'avantage de pouvoir en mesurer rapidement l'efficacité", explique le RSSI de Cyber Networks.
4) Live-hacking
Une démonstration à travers un site Web reproduit à l'identique servira à organiser une attaque. Celle-ci sera commentée et les erreurs à ne pas commettre, définies. Un live-hacking peut également consister en une attaque en social-engineering menée en direct.
Toutefois, quelle que soit la (ou les) solution(s) retenue(s) par l'entreprise, il ne faut pas oublier que toute formation finit tôt ou tard par s'éroder. De plus, les méthodologies d'attaque et les technologies évoluent constamment. "La sensibilisation doit être nourrie, c'est un processus continu", conclut Nicolas Gaudillère.
|
|
|