Nous sommes ravis de vous présenter notre étude intitulée Déconstruction des Violations Liées à l’Homme, qui met en lumière les nombreux risques que représentent les interactions humaines — une problématique qui a préoccupé les équipes de cybersécurité depuis plusieurs décennies. Cette recherche peut servir de tremplin pour des échanges constructifs entre dirigeants et collaborateurs dans divers services, afin d’explorer les solutions adaptées à réduire les types de violations humaines les plus fréquentes dans leurs organisations et secteurs d’activité.

Ce billet comprend une FAQ basée sur les questions les plus posées par nos clients et la communauté des fournisseurs de sécurité concernant les violations liées à l’humain.

Les violations humaines ne sont-elles que des cas d’ingénierie sociale et d’erreurs humaines ?

Lorsque l’on évoque les violations liées à l’humain, il est courant que les dirigeants S&R et les praticiens pensent principalement à deux catégories : l’ingénierie sociale et l’erreur humaine. Bien que cela ne soit pas inexact, cela ne représente pas l’ensemble du tableau. Après avoir traité ces sujets séparément pendant des années, nous avons décidé de décomposer cette problématique des violations liées à l’humain pour en comprendre les différentes facettes et les solutions à adopter. Cela englobe diverses catégories telles que la culture de la sécurité, l’ingénierie sociale (y compris le phishing) et les risques internes.

Comment utiliser la Roue des Violations Liées à l’Homme de Forrester ?

Dans le cadre de notre recherche, nous avons décomposé 8 familles de violations comprenant 25 types de violations liées à l’humain. Ces types incluent des attaques établies et émergentes telles que l’ingénierie sociale, l’exfiltration de données par des collaborateurs et les erreurs humaines simplement dues à la méprise. Les attaquants ciblent les individus de multiples manières, et les comportements distincts des personnes les rendent vulnérables aux attaques. Les leaders en sécurité peuvent utiliser cette roue pour évaluer les types de violations représentant les risques les plus importants pour leur organisation, définir et décrire chaque violation à toutes les parties prenantes, et obtenir l’adhésion pour les investissements nécessaires à l’atténuation de ces risques.

Pourquoi avons-nous besoin de cette clarté ?

Bien que la sécurité axée sur l’humain soit devenue une préoccupation majeure, les violations liées à l’humain restent souvent définies de manière inconsistante. Par exemple, des organismes respectables tels que le rapport annuel de Verizon, l’ENISA de l’UE et le rapport sur les violations de l’OAIC d’Australie offrent des perspectives différentes sur ce qui constitue une violation liée à l’humain. Cette confusion peut amener les organisations à se concentrer sur des violations courantes au détriment de d’autres, limitant ainsi leurs solutions à des recommandations bien connues, mais souvent inefficaces, telles que la sensibilisation à la sécurité et la formation. Mieux vaut ne pas se concentrer exclusivement sur la technologie sans prendre en compte l’humain.

Peut-on simplement former les personnes, après tout, il s’agit juste d’un problème humain ?

Selon les données de Forrester, 97 % des organisations mettent en place une forme de sensibilisation à la sécurité et de formation. Cependant, malgré cette approche, les attaques liées à l’humain telles que le compromis d’emails d’entreprise ont quadruplé. Les directeurs de la sécurité n’ont pas réussi à instaurer une culture de la sécurité dans leurs organisations, et la formation peut parfois créer des frictions pour les apprenants. La sensibilisation aux enjeux de sécurité est cruciale, mais elle ne peut jamais remplacer le rôle des contrôles techniques. Même l’employé le plus vigilant peut chuter face à un phishing crédible ou à un appel de voix deepfake, ou encore mal configurer un réglage d’API.

Si la formation n’est pas aussi efficace que vous le dites, ne peut-on pas juste utiliser la technologie ?

Bien que certaines violations, comme celles dues à une erreur humaine ou à l’ingénierie sociale, soient facilement associées aux comportements humains, d’autres, plus technologiques, comme l’utilisation abusive de GenAI, sont un peu plus complexes à appréhender. Néanmoins, c’était des individus s’appuyant sur un contenu GenAI faillible qui ont conduit le Parlement fédéral australien à publier une soumission inexacte. Ne pas reconnaître cette dimension humaine rend une confiance excessive en la technologie tentante pour résoudre le problème.

Quid de la gestion du risque humain (HRM) ?

Contrairement à être simplement une version rajeunie de la sensibilisation à la sécurité et à la formation, les solutions de gestion des risques humains représentent un changement significatif en termes de mentalité, de stratégie, de processus et de technologie. Forrester a défini le HRM et a commencé à évaluer les fournisseurs de cette approche, encourageant les organisations à influencer positivement les comportements de sécurité par une détection fondée sur des preuves au lieu de se reposer uniquement sur la formation.

A-t-on vraiment besoin d’un nouvel outil pour gérer le risque humain ?

Bien que certaines technologies de votre infrastructure et de votre boîte à outils offrent des perspectives comportementales limitées, le HRM se distingue par son objectif unique : le risque humain. Il s’intègre aux outils existants pour mesurer une vaste gamme de comportements de sécurité et fournit une vue d’ensemble complète de ce risque.

Pour en savoir plus

Source de recherche de Forrester pour plus d’informations.

Bon à savoir

  • Il est essentiel de comprendre que les violations liées à l’humain ne se limitent pas à l’ingénierie sociale et aux erreurs, mais incluent également une multitude d’autres facteurs.
  • Les formations sur la sécurité ne suffisent pas seules en raison de la complexité croissante des attaques.
  • Uniquement se fier à la technologie pour résoudre les problèmes de sécurité peut créer des lacunes qui sont exploitées par des attaquants.

En conclusion, la gestion des risques humains requiert un équilibre entre formation, sensibilisation et contrôles techniques. Chacune des composantes joue un rôle crucial, et la réflexion sur la sécurité doit intégrer l’humain non seulement comme un point de vulnérabilité, mais aussi comme un facteur clé de succès dans la création d’environnements sécurisés. Qu’en pensez-vous ?




Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *