Quatre erreurs humaines qui affectent la sécurité des données

Les récentes réglementations plus strictes en matière de protection des données ont obligé les entreprises à placer la sécurité en tête de leurs priorités. Cependant, la plupart manquent toujours d’une forte culture de cybersécurité parmi leurs employés.

D’ailleurs, une étude d'Osterman Research indique que moins de la moitié des organisations (42 %) forment leurs employés au Règlement Général sur la Protection des Données (RGPD), malgré son entrée en vigueur il y a plus de six mois. Le manque de formation augmente les risques d’erreurs humaines conduisant aux fuites de données. Heureusement, il existe aujourd’hui des outils et techniques permettant de limiter ces risques et leurs conséquences. Voici les erreurs les plus courantes commises par les utilisateurs, et les mesures préventives que les entreprises peuvent – et doivent – prendre avant de réels dommages.

#1. Mordre à l’hameçon

Le phishing (ou hameçonnage) sont des attaques dans lesquelles l’arnaqueur envoie des emails malveillants semblant émaner de sources fiables, afin de pousser les victimes à révéler des informations personnelles. Selon la dernière étude conduite par OpinionWay pour Le Club des Experts de la Sécurité de l’Information et du Numérique (CESIN), 73 % des entreprises françaises auraient subi une attaque de phishing ou de spear-phishing au cours des 12 derniers mois ; et 50 % auraient été victimes d’arnaques au président, pour laquelle le pirate informatique se fait passer pour le dirigeant de l’organisation, incitant les employés à cliquer sur les liens.

Afin de pallier le risque de clics sur des liens frauduleux, l’entreprise ne doit pas se contenter de partager les règles de sécurité avec son employé seulement au moment de son embauche, mais doit mettre en place une culture organisationnelle centrée sur la cybersécurité. En termes de formation, opter pour un format de courtes vidéos recréant des situations de la vie réelle, montrant concrètement le fonctionnement des techniques d’ingénierie sociale, impactera davantage les collaborateurs et sera mieux accueilli que des formations, considérées comme chronophages et rébarbatives.

Cela n’empêchera pas pour autant certains individus d’agir de manière irresponsable face à un email de phishing. C’est pourquoi il est également utile de faire des simulations de phishing réguliers pour tester l’efficacité de la formation sur les employés et évaluer ceux les plus susceptibles de tomber dans le piège, afin de leur apporter un accompagnement individualisé. Enfin, la mise en place d’outils anti-spams et de filtres d’emails contribuera à limiter les risques.

#2. Laisser des personnes non autorisées utiliser des terminaux professionnels

Il arrive également fréquemment que les employés laissent leurs amis et membres de leurs familles utiliser leurs appareils professionnels. Or, cela constitue un risque important pour l’organisation, puisque ces proches peuvent accéder à des données sensibles, telles que des données bancaires ou clients. Pire encore, ils pourraient télécharger accidentellement des malwares pouvant accéder aux données de l’entreprise, aux applications cloud et au stockage.

Pour éviter ces situations, les entreprises doivent impérativement intégrer une stratégie de cybersécurité exhaustive applicable à l’ensemble des employés, et encourager les managers à renforcer les bonnes pratiques au sein de leurs équipes. Il est également important que les organisations mettent en place des contrôles de sécurité adaptés sur les terminaux et systèmes, qu’elles s’assurent que l’ensemble des appareils et applications sont protégés par des mots de passe forts, et bénéficient de l’authentification à deux facteurs.

#3. Avoir de mauvaises pratiques de mot de passe

L’un des écueils les plus récurrents chez les utilisateurs est, par souci de simplicité, la réutilisation des mots de passe pour se connecter à différents comptes et l’absence de gestionnaires de mots de passe. Il s’agit d’une pratique aussi répandue que risquée car, une fois qu’un compte est compromis, le pirate informatique peut accéder à tous les autres et les informations qu’ils contiennent. D’autres pratiques peuvent mettre l’utilisateur à risque, notamment l’utilisation de mots de passe trop simples et évidents - comme 12345 -, ne pas les changer régulièrement, les sauvegarder à des endroits faciles d’accès sur l’ordinateur, ou encore les partager avec autrui. Des erreurs qui augmentent les risques de failles, et permettent à un hacker de mettre facilement la main sur les identifiants.

Les équipes IT peuvent alors organiser des sessions de formation exclusivement consacrées aux mots de passe, puis recourir à des messages automatiques qui s’affichent sur les écrans des utilisateurs à la connexion, afin de répéter les points clés mis en avant lors de la formation. Elles peuvent aussi utiliser un logiciel de gestion de mots de passe qui génère et récupère des identifiants complexes et les stocke dans une base de données chiffrée. Il est également conseillé d'utiliser un outil d'expiration de mot de passe, qui rappelle automatiquement aux utilisateurs de changer leurs mots de passe avant leur expiration.

#4. Mal gérer des comptes à privilèges

Les professionnels de l'informatique peuvent également commettre des erreurs qui coûtent cher aux entreprises. Les comptes dotés de privilèges élevés, tels que les comptes d'administrateur, sont puissants, mais les contrôles de sécurité empêchant leur utilisation abusive sont souvent inadéquats. Nos recherches indiquent que seulement 38 % des entreprises mettent à jour une fois par trimestre les mots de passe des administrateurs; les autres ne le font qu'une fois par an, voire plus rarement. Sans sécurisation et mises à jour régulières des identifiants des comptes à privilèges, les attaquants peuvent les identifier plus facilement et accéder au réseau de l'entreprise. Ils peuvent ensuite utiliser les informations d'identification de l'administrateur pour contourner les contrôles d'accès aux ressources et systèmes pour atteindre les données sensibles.

Il serait donc de mise d’appliquer le principe du moindre privilège à tous les comptes et systèmes. Ainsi, au lieu d’accorder des droits d’administration à plusieurs comptes, il suffira d’augmenter les privilèges en fonction des besoins pour des applications et des tâches spécifiques, uniquement sur une période donnée. Enfin, il est nécessaire d’établir des comptes distincts parmi les membres de l’équipe IT ; les comptes admin doivent en effet être utilisés uniquement pour gérer des parties spécifiques de l'infrastructure.

En réalité, même si une entreprise dispose de systèmes de cyberdéfense performants, les utilisateurs commettent encore des erreurs. Par exemple, une attaque de phishing sophistiquée peut entraîner la diffusion de logiciels malveillants sur le réseau, un administrateur peut accorder des autorisations excessives à une personne, ou des mots de passe simples peuvent être déchiffrés. Par conséquent, les organisations doivent améliorer leurs capacités de détection des comportements utilisateurs afin de pouvoir réagir rapidement aux événements suspects ou inhabituels. Cela passe entre autres par l’identification rapide de pics d'activités suspectes, telles que de multiples tentatives de modifications et d'accès infructueuses, ou encore un nombre significatif de modifications de fichiers.

En prenant le cyber-risque au sérieux, les organisations ont le pouvoir de minimiser les risques de violations de données et les dommages qui en découlent. Pour y parvenir, elles doivent mettre en place des programmes de formation efficaces pour les employés et déployer des technologies de sécurisation de leurs données les plus sensibles, où qu’elles se trouvent.