Investissements de protection et facteurs humains
Les entreprises investissent des fortunes pour se protéger contre les derniers malwares, botnets et ransomwares, en achetant les solutions de cybersécurité les plus sophistiquées sur le marché. Ceci est nécessaire mais ce n’est pas suffisant, ce n’est pas, par conséquent, l’investissement le plus adéquat. Les statistiques montrent que la plus grande menace pour les systèmes d’information des entreprises sont les facteurs humains. Le rapport d’enquête sur les violations de données 2022 de Verizon (https://www.verizon.com/business/resources/reports/dbir/) montre que « 82 % des violations impliquaient l’élément humain, y compris les attaques sociales, les erreurs et les abus ». Le rapport montre également que « 62 % des incidents du modèle d’intrusion dans le système impliquaient des acteurs de menace compromettant des partenaires ». Les humains sont l’application la plus difficile à et la plus lente à mettre à jour lorsqu’il s’agit de la protection de la cybersécurité. Réduire le risque lié aux facteurs humains nécessite de la formation et de la sensibilisation continue, ainsi qu’un changement de culture organisationnelle. Dans ce domaine, les bénéfices valent bien l’investissement.
Formation de sensibilisation
Les facteurs humains interviennent à tous les niveaux de protection de l’organisation. Les humains peuvent être la première couche de défense comme ils peuvent aussi être la toute dernière. Investir dans la formation des employés, ce qui peut représenter moins de 20 % de l’effort et du budget de protection de la sécurité de l’information, aide l’organisation à résoudre plus de 80 % des problèmes de cybersécurité. Tomber dans le piège d’une attaque de phishing, ne pas suivre la politique de mot de passe ou révéler des informations sensibles à des tiers non autorisés ne sont que des exemples de sources de problèmes qui peuvent être facilement évitées grâce à une formation de sensibilisation adéquate.
Menaces internes
Comprendre les racines et la motivation derrière les menaces internes aide l’organisation à préparer le plan de protection. La CISA (https://www.cisa.gov/defining-insider-threats) identifie trois types de menaces internes ; le premier concerne les menaces non intentionnelles, qui entraînent un risque pour l’organisation soit par négligence, soit par accident. La seconde concerne les menaces intentionnelles, qui sont motivées par un intérêt personnel ou un grief personnel. Le troisième concerne les menaces collusoires et tierces. Les mesures de protection de l’organisation ne seront efficaces que si elles prennent en compte chacune de ces catégories.