DR

Secu

Le facteur humain, maillon faible de la cybersécurité ?

Par La rédaction, publié le 08 avril 2018

L’automne 2017 aura été marqué par le piratage des comptes de 57 millions d’utilisateurs de la plateforme Uber et par celui des données de 143 millions de clients de la société de crédit américaine Equifax. Deux cyberattaques spectaculaires par leur ampleur et symptomatiques d’une faiblesse encore trop sous-estimée de la cybersécurité, le facteur humain. En effet, dans les deux cas, la fiabilité des solutions technologiques de sécurité n’a pas été mise en cause. Dans les deux cas, il s’agit d’une erreur humaine avérée. Auditionné par le Congrès américain le 3 octobre 2017, le PDG d’Equifax, Richard Smith, l’a reconnu lui-même. Une faille avait, en effet, été détectée avant la cyberattaque, mais les techniciens chargés de la corriger sous 48h ne l’ont pas fait. Cette négligence humaine a coûté très cher à l’entreprise, notamment en termes de réputation et de capital confiance. Les hackers d’Uber ont pu infiltrer son serveur cloud alors qu’il existe des outils de sécurisation et de contrôle des accès efficaces comme les Cloud Access Security Brokers (CASB). Ne sommes-nous pas là face à une question très humaine de choix managérial en matière de sécurité informatique ?

Aujourd’hui, la cybersécurité peut s’appuyer sur de solides solutions technologiques. De grandes entreprises en utilisent parfois plus d’une centaine pour se protéger. Et pourtant, des cyberattaques d’envergure continuent de faire les gros titres dans un monde où les nouvelles technologies dominent les usages. Aujourd’hui, il est donc devenu crucial de prendre en compte cette dimension dans sa politique de cybersécurité. Dans le cadre de notre travail de réflexion mené au sein du World Economic Forum, le vice-président d’Israel Electric nous explique que le facteur humain est le levier le plus fragile de la cyberdéfense. Toujours selon Yosi Shneck, « la plupart des problèmes peuvent être résolus si on change les comportements ». La principale entreprise d’électricité d’Israël a développé de manière intensive la formation non seulement de ses spécialistes de cybersécurité, mais aussi de ses managers opérationnels, de ses employés de bureau et de ses techniciens.

Un des dilemmes récurrents auxquels les responsables d’une politique de sécurité informatique doivent faire face concerne le déploiement des actions correctrices. La plupart du temps, elles interviennent après un process de validation destiné à éviter ses impacts négatifs pour les utilisateurs. Mais ce laps de temps accroît fortement la vulnérabilité d’un système. Rendre les actions correctrices automatiques, un process suggéré par un représentant du Congrès américain au cours de l’audition d’Equifax, permet de réduire ce risque. Cet arbitrage et ses conséquences commerciales engagent les managers décisionnaires.

Plus les enjeux sont stratégiques, plus les efforts pour éliminer des comportements trop laxistes en matière de cybersécurité doivent être importants. C’est particulièrement vrai dans des industries impliquant des risques vitaux, sociétaux ou environnementaux et des activités plaçant les données au cœur de la création de valeur. Pour s’en convaincre, il suffit de reprendre les chiffres d’une étude réalisée par Cybersecurity Ventures et qui estime à 6 billions (millions de millions) de dollars le coût annuel du cybercrime d’ici 2021. Un risque aussi élevé que celui qu’a fait peser la crise financière de 2007-2008 – dont le coût total a été évalué à 12 billions de dollars par le Fonds monétaire international – à l’économie mondiale. Face à un tel enjeu, le sujet de la cyber-résilience doit être porté au plus haut niveau du leadership. Or, les données disponibles sur le réseau professionnel LinkedIn, montrent que seuls 3% des dirigeants de grandes entreprises américaines disposent d’un bagage en cybersécurité. Pour construite une véritable cyber-résilience, il est essentiel aujourd’hui de développer des comportements et des usages adaptés à l’environnement digital et d’impliquer les dirigeants dans les choix stratégiques à réaliser en matière de cybersécurité.

 

Antoine Gourévitch, directeur associé senior BCG  

 

Dans l'actualité

Verified by MonsterInsights