Cyber-résilience 2.0, investissez dans l’Humain!

Par Bertrand Milot

La cyber-résilience, le nouveau mot à la mode pour définir la corrélation de la gestion des risques, des contrôles de sécurité de l’information et des processus de relève et de continuité. Mais justement, en 2015, à l’heure où les cybercriminels et autres pirates informatiques sont en pleine escalade de créativité et d’ingéniosité, où les pertes records atteignent des sommets (CryptoWall, le logiciel malveillant de rançon et d’extorsion aurait rapporté à lui seul plus de 325 millions de dollars US) et, à l’heure où les entreprises dépensent des millions en projets de sécurité informatique, ne sommes-nous pas en droit de poser la question : « avons-nous investi sur le bon plan? »

C’est LA question importante. Toutes les bonnes pratiques de sécurité, les régulations, les normes et standards nous informent que le contrôle le plus important réside dans la sensibilisation de l’interface « chaise-clavier » : l’Humain. Quand on y réfléchit bien, c’est le premier contrôle de sécurité : la toute première manière de répondre au risque, avant même d’implanter toute forme de protection, quelle qu’elle soit, c’est la confiance. Un principe 100 % humain que nous partageons avec les autres êtres vivants sur cette planète.

Et c’est là que les Ressources humaines et les Communications internes interviennent. Les équipes de sécurité de l’information ont besoin d’aide pour mettre en place des programmes de sensibilisation pour comprendre et non juste signer le formulaire d’acceptation de la politique de sécurité interne. La très grande majorité des sources de cyber-menaces sont efficaces à cause de l’action ou de l’inaction de l’Humain à l’intérieur des murs « protégés » de l’entreprise.

Combien d’entre nous continuent de transférer des chaînes de courriel ou des photos poétiques ou des PowerPoint™ de chatons rigolos. Aucun risque? Cela provient de votre oncle Bernard? Il vous en envoie tous les jours sur votre adresse courriel personnelle, ou pire professionnelle? Si c’est le cas, vous ignorez les risques de la stéganographie, c’est-à-dire l’art de cacher du code (potentiellement malveillant) dans une image. Vous aimez, le midi, naviguer sur des sites de nouvelles et parfois à droite de l’écran, il y a un article au titre racoleur et à l’illustration scandaleuse qui vous nargue. Un petit « click » n’est pas très dangereux? Vous ignorez alors les

risques de codes JavaScript malveillants qui s’exécutent à l’ouverture du nouvel onglet de votre navigateur Internet préféré. Vous avez reçu un courriel qui vous explique que vous avez été sélectionné pour gagner une croisière, une tablette intelligente ou une belle somme d’argent, il ne vous reste plus qu’à cliquer sur le lien ou télécharger le formulaire en PDF pour répondre? Là encore, vous ignorez les risques liés à une trop grande crédulité, une utilisation d’Internet peu responsable en milieu de travail. Il faut sensibiliser nos utilisateurs, nos collègues à considérer Internet comme un outil. Au bureau, si on joue avec, il est potentiellement dangereux et, à la maison, il est nécessaire de le réserver pour les loisirs et de l’utiliser dans un environnement de données non-sensibles.

Crédit photo : istockphoto.com

Votre prochaine question pourrait être : « alors, à quoi servent tous ces antivirus, pare-feu et autres bébelles de sécurité qui coûtent si chers? », la réponse est claire : « à rien, si l’utilisateur fait tout pour aller droit dans l’obstacle, ou à défaut, rien pour l’éviter ». Comme nous le rappelle Thucydide : « L’épaisseur de la muraille compte moins que la volonté de la défendre. »

Le code de déontologie de l’entreprise est le premier échelon de la sécurité, il encourage l’employé à exercer ses fonctions (et toutes tâches connexes) à travers un comportement éthique et responsable, sauvegardant les intérêts de l’organisation qui l’emploie. Le document qui explique les bonnes pratiques sécuritaires d’utilisation des technologies de l’information n’est rien d’autre que la politique de sécurité de l’information et les documents qui en découlent. En intégrant la sécurité à chaque processus de gestion des ressources humaines : contrat d’embauche, évaluation des performances, mentorat, formation, restructuration, promotion, démotion, fin de contrat, etc.

En effet, qu’est-ce que la sécurité, à part la sauvegarde et la protection des actifs de l’entreprise? Qu’est-ce qui définit la valeur d’une entreprise? Ses ressources monétaires, NON! La seule et unique chose créant de la valeur, c’est le savoir. Le savoir, les savoir-faire et l’expérience sont les ressources informationnelles les plus précieuses de l’organisation, elles renferment intrinsèquement tous les morceaux critiques pour continuer ou rebâtir l’activité de l’organisation après un incident. C’est ultimement ça que la politique de sécurité de l’information protège : les actifs informationnels critiques. Plusieurs pensent que la matière première ou la donnée brute sont vides de valeur si elles ne sont pas exploitables et demeurent inertes. Vous comprenez que l’écosystème de données sensibles de l’entreprise est donc vaste et seul un service de sécurité dédié à la protection ne peut le protéger. Il est donc nécessaire d’insérer dans les clauses du contrat, dans les objectifs de performance, dans les programmes de mentorat et dans les plans de restructuration, des tâches spécifiques liées à la protection des actifs critiques de l’entreprise. Une politique de sanction formelle est nécessaire et requiert pour son adoption auprès des employés de leur expliquer les risques liés à leur comportement, la réalité des menaces et les impacts désastreux d’une brèche de sécurité sur la vie de l’entreprise. Chaque individu doit être un acteur responsable de la sécurité de l’organisation dont il fait partie.

C’est un véritable changement de culture et comme tout changement de culture, il s’opère d’abord de façon individuelle en 3 étapes :

1- c’est ridicule,

2- c’est dangereux,

3- c’est une évidence.

Arrivé à 3, l’adoption d’une nouvelle culture peut affecter un groupe d’individus et a une chance de s’élargir de façon virale. Vous avez compris, il est nécessaire de commencer la sensibilisation à l’échelle humaine personnelle. Aidez les employés à se protéger, à protéger leurs informations personnelles, des automatismes se créeront plus facilement au quotidien dans leur travail et l’adoption des règles et des sanctions de sécurité deviendront des évidences.

À proposMentions Légales