Lorsqu’on évoque la sécurité des systèmes d’information et de communication, on imagine souvent un système robuste – une muraille – qui vise à résister aux assauts extérieurs. Que nenni, comme dans les châteaux forts, le plus grand risque provient de l’intérieur : la faille humaine. Le dernier numéro du Flash info de la DGSI revient sur les failles humaines, qui présentent un risque pour la sécurité des installations et des organisations sensibles. Un enseignement pour la sécurité publique ?
Vulnérabilité des structures
« 90 % des cyberattaques trouvent leur origine dans une erreur humaine ! », indique un rapport de France Num. « Comparé à d’autres vecteurs de risques comme l’exploitation de failles logicielles, l’erreur humaine reste le point d’entrée le plus fréquemment exploité par les cybercriminels. Dans la majorité des cas, les attaques avec des logiciels malveillants (malwares) sont que la conséquence de comportements d’utilisateurs imprudents ou mal informés. »
Et pour cause, il ne suffit pas de disposer d’un outil robuste, il convient aussi de renforcer le vecteur humain. « Il est ainsi essentiel que la politique de sécurité informatique d’une entité repose à la fois sur un pan technologique avec une architecture de protection robuste et sur un pan humain par la formation, la sensibilisation et la responsabilisation de tous les collaborateurs », confirme la DGSI dans son Flash mensuel.
Des cas d’usage concrets
Le dernier Flash DGSI du mois d’avril relaie plusieurs cas d’usage rencontrés souvent par des entreprises ayant des activités protégées et sensibles. D’abord, le mélange entre les outils numériques professionnels et personnels peut amener à inclure des failles dans un système souvent robuste et conçu pour faire face à des attaques extérieures.
L’erreur humaine peut être d’origine involontaire comme c’est le cas pour ce salarié s’étant connecté à sa messagerie professionnelle sur ses outils personnels ou encore un salarié ayant ouvert la pièce jointe envoyée par un soi-disant recruteur, qui contenait finalement un virus. La faille humaine peut aussi être d’origine volontaire à l’instar de ce salarié qui a installé un programme keylogger, connu pour permettre d’enregistrer toutes les frappes de clavier, y compris les identifiants et mots de passe.
« Si certaines attaques informatiques se démarquent par leur complexité, les rendant difficiles à contrer, la faille humaine reste le principal vecteur de compromission des systèmes d’information. De nombreuses attaques informatiques pourraient être évitées si les consignes étaient appliquées et respectées », souligne le Flash DGSI du mois d’avril. A la suite de ces incidents, les entreprises concernées ont rappelé les bonnes pratiques à leurs salariés, premiers maillons en matière de sécurité informatique.
Les recommandations de la DGSI
Outre la robustesse des infrastructures en elles-mêmes, la DGSI recommande de miser sur la formation humaine en développant une culture de sécurité informatique. « Il est conseillé d’instaurer une politique de formation, de sensibilisation et de responsabilisation à destination de l’ensemble des collaborateurs, indépendamment du service de rattachement et de la position hiérarchique », souligne la DGSI. Et d’ajouter : « Donner seulement accès aux données nécessaires pour l’accomplissement des tâches confiées permet d’agir à titre préventif en limitant les risques de fuite de données intentionnelles, mais également en cas d’attaque en restreignant les parties exposées du système informatique ».
Prendre en compte le facteur humain nécessite de prendre en compte l’ensemble des intervenants à un système informatique. « Les sous-traitants ou les prestataires peuvent, volontairement ou non, être à l’origine d’une attaque informatique. Il peut être pertinent d’évaluer leur rôle précis et l’accès qu’ils peuvent avoir aux données de l’entité afin de limiter les conséquences d’une attaque par ce vecteur. »
Ainsi, dans le domaine de la sécurité informatique comme en matière de sécurité publique, la faille humaine reste probablement la faille la plus importante et la plus difficile à appréhender. La formation, le cloisonnement des accès et l’exigence de rigueur sont des éléments ne permettant pas toujours d’améliorer la sécurité mais qui doivent au moins permettre de réduire l’exposition à la menace.
