ClickCease Est-il possible de réparer le maillon le plus faible de la cybersécurité ?

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Est-il possible de réparer le maillon le plus faible de la cybersécurité ?

Joao Correia

1er novembre 2022 - Évangéliste technique

Le monde de la technologie est plein de grandes promesses, y compris en matière de cybersécurité. Pensez-y : combien de fois avez-vous entendu la promesse d'une solution simple et rapide qui résoudra tous vos problèmes de cybersécurité en un clic de doigt ?

Nous l'avons tous déjà entendu à maintes reprises : la promesse d'une solution miracle pour résoudre tous les problèmes de cybersécurité.

Il peut s'agir d'une solution basée sur l'IA, d'un nouvel outil de gestion... et il est toujours accompagné de cette promesse intransigeante. Mais voilà le hic : ces outils ne répondent jamais aux attentes démesurées qu'ils suscitent, car l'un des plus grands défis en matière de cybersécurité ne peut être résolu simplement en y injectant davantage de technologie.

De quoi parlons-nous ? Nous faisons référence à l'élément humain de la cybersécurité. Il s'agit d'un élément clé de la cybersécurité qui peut, d'un (mauvais) clic de doigt, rendre tous vos outils magiques de cybersécurité complètement inefficaces.

Les pare-feu périmétriques, la MFA et autres sont autant d'outils utiles qui atténuent ce facteur humain. Néanmoins, dans sa capacité à provoquer une catastrophe, le comportement humain règne en maître, même sur les outils de cybersécurité les plus sophistiqués.

Rien de tout cela ne vous surprendra

Le fait que l'homme soit un point faible de la cybersécurité n'est une nouveauté pour personne. Curieusement, les incidents du monde réel nous ramènent sans cesse au même thème de l'ingénierie sociale. 

Rockstar Games et Uber ne sont que deux exemples récents d'entreprises qui se croyaient probablement à l'abri de l'ingénierie sociale.

Malheureusement, malgré l'utilisation intensive de solutions de cybersécurité, les deux entreprises ont récemment été victimes d'une attaque de cybersécurité parce qu'un employé a été amené à faire quelque chose qui serait résolument contraire aux politiques de cybersécurité de l'entreprise.

Il suffit de regarder de près ces attaques réussies pour se demander si la personne qui a ouvert la porte a déjà entendu parler des meilleures pratiques en matière de cybersécurité.

Aucune des deux attaques n'était particulièrement compliquée. Dans les deux cas, il s'agissait d'une simple stratégie d'ingénierie sociale. Quelque chose comme ça : "Bob, je suis du service informatique. J'ai besoin de lancer rapidement un outil et j'ai besoin que vous cliquiez sur ce lien pour que je puisse réparer quelque chose de routinier sur votre PC."

Quand apprendrons-nous... ?

Il y a vingt ans, l'ingénierie sociale était un outil majeur pour les cybercriminels - et elle l'est toujours. C'est presque comme si nous n'avions rien appris sur l'ingénierie sociale au cours des dernières décennies.

On pourrait dire qu'il est prévisible que les personnes qui travaillent dans des organisations telles que des ministères ou des entreprises de vente au détail se laissent prendre à ce genre de ruse. Cependant, les personnes travaillant dans les plus grandes entreprises technologiques du monde devraient être plus à l'abri de l'ingénierie sociale.

Pourtant, ce sont deux entreprises technologiques géantes, dont les employés sont parmi les plus intelligents au monde, qui se sont laissées prendre au piège d'une attaque par ingénierie sociale. On pourrait penser que les employés d'Uber et de Rockstar Games seraient tout simplement mieux informés.

Pire, étant donné la taille et l'importance des deux entreprises, il est presque certain que les employés qui y travaillaient ont reçu une formation approfondie en matière de cybersécurité. Pourtant, quelqu'un, quelque part, tant chez Uber que chez Rockstar, s'est laissé prendre au piège de la plus vieille ruse des pirates informatiques.

Il est tout à fait possible qu'à la suite d'une combinaison d'événements fortuits, les utilisateurs en question n'aient jamais assimilé une leçon clé de leur formation en cybersécurité. Qu'ils aient été trop occupés, qu'ils aient sauté une leçon... ou autre chose.

Cependant, étant donné la fréquence à laquelle nous voyons apparaître dans l'actualité une importante attaque d'ingénierie sociale réussie, nous avons de sérieuses questions à poser à tous ceux qui disent encore qu'ils "ne savaient pas qu'ils ne devaient pas cliquer sur les liens dans les courriels...".

Le renforcement constant du message reste la meilleure option.

Les outils de cybersécurité peuvent offrir des solutions magiques à toutes sortes de problèmes de cybersécurité, mais aucune solution miracle ne permet d'éliminer le risque lié à l'élément humain. Les utilisateurs continueront à faire des erreurs. Il y aura toujours un moment d'inattention qui donnera une opportunité à un acteur malveillant.

Aucune organisation n'est à l'abri des risques liés au comportement humain. Il suffit de voir ce qui se passe dans certaines des entreprises les plus avancées sur le plan technologique. 

Certes, vos stratégies de défense en matière de cybersécurité feront de leur mieux pour protéger votre organisation, mais le renforcement continu des connaissances de vos utilisateurs sur la manière d'éviter d'ouvrir accidentellement une porte dérobée doit rester une stratégie prioritaire.

Ce renforcement constant de l'éducation est également important pour votre équipe technique. Vous devez insister sur l'importance de la gestion des autorisations, de l'application de correctifs et de la maintenance globale et cohérente de la posture de sécurité de l'organisation.

Au bout du compte, le risque demeure : un utilisateur, quelque part, clique accidentellement sur quelque chose qu'il ne devrait pas. Mais, comme c'est toujours le cas en matière de cybersécurité, une protection efficace consiste à faire tout ce qui est possible pour minimiser le risque que quelque chose se passe mal.

Une formation continue et permanente à la cybersécurité est le meilleur moyen de se prémunir contre les erreurs humaines qui contribuent aux problèmes de cybersécurité.

Résumé
Nom de l'article
Est-il possible de réparer le maillon le plus faible de la cybersécurité ?
Description
combien de fois avez-vous entendu la promesse d'une solution simple et rapide qui résoudra tous vos problèmes de cybersécurité en un clic de doigt ?
Auteur
Nom de l'éditeur
Tuxcare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information